Pausieren reicht aus.
Was das macht, ist mehr oder weniger den Recovery Key auf den Datenträger selbst schreiben. So dass er das nächste mal kein Passwort oder TPM braucht zum entschlüsseln und auch nicht nach dem Recovery Key fragen musst..
Wenn du das pausieren vergisst, musst du halt den Recovery Key eingeben.
Beim Ent-Pausieren, was Windows beim nächsten Mounten des Datenträgers/Boots automatisch macht, wird versucht das TPM mit den aktuellen Messungen wieder einzurichten, wenn denn TPM für das entsprechende Laufwerk konfiguriert wurde (also vermutlich auf jedenfall nötig. Wenn man es nicht vorher / rechtzeitig macht, muss man es wahrscheinlich trotzdem einmal pausieren und neustarten, damit das neue TPM eingerichtet werden kann und man nicht jedesmal den Recovery Key eintippen muss).
Notwendig bei jeder Änderung die das TPM misst/beobachtet, also jedes bisschen Code das bootet bis hin zu Bitlocker, inklusive BootROMs und ein paar sicherheitsrelevante Einstellungen ab Werk.
PS: Wenn einmal neustarten an Pause nicht ausreicht, kann man via Powershell ("suspend-bitlocker C: -RebootCount X") auch mehrere Neustarts konfigurieren. Also zB pausieren für 5 Neustarts. Dann geht Bitlocker nicht beim ersten Neustart wieder an, weil Windows vermutlich mehrfach wegen der Treiber neustarten muss beim Platformwechsel. Man könnte das mit -RebootCount 0 auch dauerhaft pausieren. Dann muss man es via CMD auch wieder fortsetzen.
