Чтобы сохранить ключ восстановления BitLocker в Microsoft Entra ID или Active Directory, можно настроить групповые доменные политики GPO: 12

1. Откройте консоль управления доменными GPO (gpmc.msc). 2
2. Создайте новую GPO и назначьте её на OU с компьютерами, для которых хотите включить автоматическое сохранение ключей BitLocker в AD. 2
3. Перейдите в раздел Computer Configuration → Policies → Administrative Templates → Windows Components → BitLocker Drive Encryption. 2
4. Включите политику Store BitLocker recovery information in Active Directory Domain Services со следующими настройками: Require BitLocker backup to AD DS и Select BitLocker recovery information to store: Recovery passwords and key packages. 2
5. Затем перейдите в раздел Computer Configuration → Policies → Administrative Templates → Windows Components → BitLocker Drive Encryption → Operating System Drives и включите политику Choose how BitLocker-protected operating system drives can be recovered. 2
6. Желательно включить опцию Do not enable BitLocker until recovery information is stored to AD DS for operating system drives. 2 В этом случае BitLocker не начнёт шифрование диска, пока компьютер не сохранит новый ключ восстановления в AD. 2
7. Обновите настройки политик на клиентах: gpupdate /force. 2
8. Зашифруйте диск с помощью BitLocker. 2 Windows сохранит ключ восстановления BitLocker компьютера в Active Directory и зашифрует диск. 1

Ещё один способ сохранить ключ восстановления BitLocker при наличии доступа к диску: 4

1. Нажмите правой кнопкой мыши по зашифрованному диску и выберите пункт «Управление BitLocker». 4
2. Раскройте нужный раздел, например, «Диск операционной системы» и нажмите «Архивировать ключ восстановления». 4
3. Выберите одну из опций: сохранить в учётную запись Майкрософт, сохранить в файл (сохранить потребуется не на тот же диск, который зашифрован) или напечатать ключ восстановления. 4

Для точной настройки и управления ключами восстановления BitLocker рекомендуется обратиться к специалисту.