目前的情況是這樣:
ASUS筆電，使用者沒有主動設定過Bitlocker
固態硬碟沒有移機、換機過，BIOS也沒有改設定或者被重置，也沒有更新過BIOS版本(一直
都是初版)
上述任何設定都沒有變動過的情況下，在7月下旬的某天開機，就看到Win10開機畫面已經
被Bitlocker鎖定，原因是「安全性原則已變更」
(這個安全性原則是來自BIOS設定還是公司網域來管理，就不清楚了，只知道平時的使用者
帳號是公司網域帳號)
到這裡為止我覺得，這台電腦跟許多品牌電腦一樣，剛買來時的狀態，供應商預先裝好的
Win10，Bitlocker會被「開啟」，但沒有「啟用」，類似下圖:
https://i.imgur.com/fHjsJyl.png
此時「磁碟管理」裡面也一樣會顯示Bitlocker加密，類似下圖:
https://i.imgur.com/WfaYXc8.png
不必等到Win11，當時Win10就已經很多品牌電腦買來預設會是這種狀態，沒有關閉的按鈕
，還得自己打指令去關閉，只是這個狀態很奇怪，處於加密開啟後又沒設定完成的步驟，
此時金鑰根本不知道會存在哪裡，據某些文章所言是「Win10登入微軟帳號後，金鑰就會
自動上傳到微軟帳號裡」
那如果一開始登入的帳號是公司網域的員工帳號(例如: 員工英文名@公司網域.com.tw)，
那這金鑰會自動上傳到哪裡?
我知道Bitlocker是沒有任何後門的，除了找到金鑰以外是無解的
既然沒有手動設定過Bitlocker，當然不可能把金鑰印出來或者存在某硬碟/隨身碟內，登
入Microsoft公司帳號後，雖然有綁定這台裝置，但詳細資料點開來，沒有儲存任何
Bitlocker修復金鑰，也就是顯示「您並未將任何 BitLocker 修復金鑰上傳到自己的
Microsoft 帳戶。」
另外也請IT登入看過公司網域(Azure AD，也就是Microsoft Entra)的管理員帳號，裡面有
公司所有使用者帳號、以及所有綁定的裝置，有看到這台裝置，但沒有紀錄這台裝置的
BitLocker修復金鑰，也沒有紀錄任何一台電腦的BitLocker修復金鑰
不過Azure AD的頁面太多設定，還沒有完全檢查完畢，另外我也不知道怎麼使用
Microsoft BitLocker Administration and Monitoring (MBAM)，以及Microsoft 端點管
理員 Microsoft Intune，甚至都不知道這兩個功能是用什麼網站還是軟體來登入
Bitlocker修復金鑰還有可能存在哪裡?
有可能會自動傳到微軟的Onedrive空間，或者寄到微軟Hotmail(Outlook.com)信箱嗎?
補充:
微軟帳號登入時查看裝置的詳細資訊，有看到「此裝置由Intune管理」這樣的字句，
所以我覺得Microsoft Intune網站登入有機率可以找到(裝置>>監視>>裝置加密狀態)
，就是要再請IT去找

無解，重灌吧

我有七月更新記錄了出現asus韌體更新

正常來說 如果你買來登錄時就用domain，金鑰會在dc裡

試最近更新拿掉

除了DC會有 另一個可能的方向是"recovery agent"https://4sysops.com/archives/unlock-bitlocker-drives-using-recovery-agents/ 縮 https://tinyurl.com/mv2skdhData Recovery Agent certificate 或其他可能選項:https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/recovery-overview#bitlocker-recovery-options縮: https://tinyurl.com/4d5h4aw8

聽起來MDM有一堆坑要跳

AD DS跟DC 通常是指同一個東西不過可能要看你們是純用azure ad還是有本地ad還是混用

更新BIOS的話，有些情況會把TPM金鑰重置，會影響到

如果有加入公司的網域，BitLocker金鑰會在公司的AD內。如果是個人電腦 BitLocker金鑰會保存在Microsoft帳號內