BitLocker-palautusavain Windows 11 (2026)

Q: Voiko BitLockerin poistaa käytöstä pysyvästi Windows 11:ssä?

Kyllä. Avaa Hallitse BitLockeriä ohjauspaneelista ja valitse Poista BitLocker käytöstä . Salauksen purkaminen kestää koon mukaan minuuteista tunteihin. Pro Windows 11:ssä toimenpide on ilmainen; Home-versiossa Device Encryption -toiminto pitää sammuttaa Asetukset → Yksityisyys ja suojaus → Laitteen salaus -valikosta.

Päivitetty: 9. kesäkuuta 2026

BitLocker-palautusavain Windows 11:ssä on 48-numeroinen varakoodi, jolla saat salatun aseman auki, kun TPM-siru ei pysty avaamaan sitä automaattisesti – avain löytyy yleensä Microsoft-tililtäsi osoitteesta account.microsoft.com/devices, työtililtä Entra ID:stä, tulosteena, USB-tikulta tai organisaation Active Directorystä. Kevään 2026 KB5083769-päivitys aiheutti ylimääräisiä palautuspyyntöjä, mutta toukokuun KB5089549-päivitys korjasi virheen lopullisesti. Tämä opas käy läpi kaikki palautuspaikat, käytännön vianmäärityksen sekä Group Policy -korjauksen, jolla estät pyynnön etukäteen.

BitLocker-palautusavain on 48-numeroinen koodi, jota kysytään, kun TPM ei pysty avaamaan järjestelmäasemaa automaattisesti.
Yleisin sijainti on käyttäjän henkilökohtainen Microsoft-tili (account.microsoft.com/devices) – avainta etsitään näytöllä näkyvän Key ID:n perusteella.
Organisaation laitteissa avain on Entra ID:ssä (aka.ms/aadrecoverykey) tai paikallisen AD:n MBAM/Intune-tietueissa.
Huhtikuun 2026 KB5083769-päivitys laukaisi BitLocker-palautusnäytön PCR7-vahvistusprofiilin vuoksi – korjaus tuli KB5089549:ssä toukokuussa.
Microsoft-tuki ei voi palauttaa kadotettua avainta – jos avainta ei löydy, ainoa ratkaisu on aseman alustaminen palautusvalikosta.
Windows 11 24H2 näyttää palautusnäytöllä vihjeen Microsoft-tilin osoitteesta, joka helpottaa oikean tilin löytämistä.

Mikä BitLocker-palautusavain on ja milloin sitä kysytään?

BitLocker on Microsoftin oma koko levyn salaustekniikka, joka suojaa Windows 11 -laitteen järjestelmäaseman AES-XTS-128- tai AES-XTS-256-salauksella. Tavallisesti TPM-siru (Trusted Platform Module) avaa aseman automaattisesti, kun käynnistyspolku, UEFI-asetukset ja Secure Boot vastaavat tallennettua mittausketjua (Platform Configuration Register, PCR). Jos jokin näistä mittauksista muuttuu, BitLocker olettaa, että laitetta on muokattu, eikä avaa asemaa automaattisesti – ja silloin näytölle ilmestyy sininen BitLocker-palautus-ruutu, jossa pyydetään 48-numeroista palautusavainta.

Palautuspyyntö voi laueta hyvin monesta syystä: BIOS- tai UEFI-firmwaren päivitys, Secure Boot -tilan muutos, näytönohjaimen tai TPM-sirun fyysinen vaihto, kahden eri käynnistyslevyn käyttö, käynnistyslataimen vaurio tai – kuten huhtikuussa 2026 nähtiin – tietyt kumulatiiviset Windows-päivitykset, jotka muuttivat boot-tiedostoja PCR7-vahvistusprofiilissa. Microsoftin oman dokumentaation mukaan kyse on aina kertaluonteisesta vahvistuksesta: kun oikea avain on syötetty, järjestelmä päivittää PCR-mittaukset eikä pyydä avainta uudelleen seuraavalla käynnistyksellä.

BitLocker on Windows 11 -version 24H2 jälkeen oletuksena päällä kaikilla uusilla, modernin laitteiston kriteerit täyttävillä koneilla (TPM 2.0, Secure Boot, HSTI/Modern Standby -tuki). Tämä tarkoittaa, että moni kotikäyttäjäkin törmää palautuspyyntöön ensimmäistä kertaa esimerkiksi näytönohjaimen vaihdon tai BIOS-päivityksen jälkeen, vaikka ei olisi koskaan tietoisesti aktivoinut salausta. Jos olet aiemmin törmännyt vastaaviin laajempiin Windows-päivitysongelmiin, suosittelemme lukemaan myös oppaamme KB5077181-päivityksen ongelmista ja korjauksista, joka käsittelee samantyyppistä ilmiötä helmikuulta 2026.

Mistä löytää BitLocker-palautusavain Windows 11:ssä?

Palautusavain on tallennettu siihen paikkaan, jonka käyttäjä tai ylläpitäjä valitsi BitLockerin käyttöönoton yhteydessä. Microsoft tukee viittä eri vaihtoehtoa, ja oikea sijainti riippuu siitä, onko kyseessä henkilökohtainen vai yritys-/organisaatiolaite. Alla oleva taulukko auttaa tunnistamaan, mihin avaimesi todennäköisimmin tallentui.

Sijainti	Tyypillinen käyttäjäryhmä	Avauksen URL / polku	Vaatii toisen laitteen?
Microsoft-tili	Kotikäyttäjät, automaattinen laitesalaus	account.microsoft.com/devices	Kyllä
Työ- tai koulutili (Entra ID)	Yrityskäyttäjät, M365-organisaatio	aka.ms/aadrecoverykey	Kyllä
Active Directory / MBAM	Hybridiympäristön työasemat	ADUC tai MBAM-helpdesk-portaali	Ylläpitäjä
Tulostettu paperi	Henkilökohtainen käyttöönotto	Fyysinen kansio	Ei
USB-muistitikku	BitLocker To Go ja vanhemmat asennukset	.BEK-tiedosto muistitikulla	Ei
Intune (MDM)	Modernit yritysmanagemoidut laitteet	intune.microsoft.com → Laitteet → Palautusavaimet	Ylläpitäjä

Windows 11 24H2:n palautusnäyttö näyttää nyt vihjeen Microsoft-tilin osoitteen ensimmäisistä merkeistä (esimerkiksi j*****@outlook.com) sekä Key ID:n – kahdeksanmerkkisen tunnisteen, jonka avulla löydät tarkalleen oikean avaimen, vaikka tililläsi olisi useita BitLocker-laitteita. Aiemmissa versioissa näytöllä näkyi vain Key ID, mikä teki avaimen tunnistamisesta huomattavasti vaikeampaa kotikäyttäjille.

Microsoft-tilin palautusavaimet vaihe vaiheelta

Kun BitLocker-palautusnäyttö ilmestyy ja koneesi on automaattisesti salattu Microsoft-tilin käyttöönotossa, noudata näitä vaiheita toiselta laitteelta – puhelin, tabletti tai toinen tietokone käy. Tämä on ylivoimaisesti yleisin polku Windows 11 -kotikäyttäjälle vuonna 2026.

Avaa selaimessa account.microsoft.com/devices ja kirjaudu sisään sillä Microsoft-tilillä, jota käytät Windowsiin kirjautumiseen.
Etsi listalta laite, joka on lukittu. Klikkaa laitteen nimeä ja siirry kohtaan Tiedot ja tuki → Hallitse palautusavaimia.
Suorita tarvittaessa kaksivaiheinen vahvistus (SMS, Authenticator-sovellus, sähköposti tai passkey).
Vertaa lukitun koneen näytöllä näkyvää Key ID:tä portaalissa listattuihin avaimiin – jokainen avain on yhdistetty omaan tunnisteeseensa.
Syötä 48-numeroinen palautusavain lukitun koneen kenttään huolellisesti. Numeroita ei tarvitse erottaa väliviivoilla.
Käynnistys jatkuu normaalisti. Kirjautumisen jälkeen avaa Hallitse BitLockeriä → Varmuuskopioi palautusavain uudelleen, jos haluat tallentaa avaimen myös tulosteena tai tiedostona.

Palautusavain Entra ID:stä ja organisaation laitteista

Yritysympäristössä BitLocker-avaimet tallennetaan tyypillisesti Microsoft Entra ID:hen (entinen Azure AD), paikalliseen Active Directoryyn tai Intuneen. Loppukäyttäjä voi useimmiten hakea oman laitteensa avaimen itse, jos organisaation Conditional Access -käytännöt sen sallivat. Lukenut hieman aiheesta? Tutustu myös AD-tilien lukituksen vianmääritys -oppaaseemme, jossa käsittelemme samaa hybridiarkkitehtuuria toisesta näkökulmasta.

Loppukäyttäjän polku (Entra ID)

Avaa toisella laitteella selaimessa aka.ms/aadrecoverykey.
Kirjaudu sisään työ- tai koulutilillä (UPN-muodossa, esim. [email protected]).
Valitse laitteistasi se, joka näyttää palautusnäyttöä, ja klikkaa Näytä BitLocker-avaimet.
Vertaa Key ID:tä ja syötä 48-numeroinen avain.

Ylläpitäjän polku (Intune / Entra Admin Center)

Kirjaudu osoitteeseen intune.microsoft.com Intune Administrator -roolilla.
Siirry kohtaan Laitteet → Windows → valitse laite → Palautusavaimet.
Klikkaa Näytä palautusavain. Tämä tapahtuma kirjautuu Microsoft Purview -tarkastuslokiin, joten muista dokumentoida tiketin numero.

Hybridiympäristö (paikallinen AD)

Jos organisaationne käyttää paikallista Active Directorya BitLocker-avaimen varmuuskopiointiin (BitLocker Drive Encryption Administration Utilities tai MBAM 2.5 SP1), ylläpitäjä voi hakea avaimen seuraavasti PowerShellillä:

# Hae BitLocker-palautusavain Active Directorystä laitteen nimen perusteella
Import-Module ActiveDirectory

$computerName = "TYOASEMA-042"
$computer = Get-ADComputer -Identity $computerName

# Hae kaikki tämän laitteen msFVE-RecoveryInformation-objektit
Get-ADObject -Filter "objectClass -eq 'msFVE-RecoveryInformation'" `
    -SearchBase $computer.DistinguishedName `
    -Properties msFVE-RecoveryPassword, msFVE-RecoveryGuid, whenCreated |
    Select-Object whenCreated,
        @{Name="KeyID"; Expression={[GUID]$_."msFVE-RecoveryGuid"}},
        @{Name="RecoveryPassword"; Expression={$_."msFVE-RecoveryPassword"}} |
    Sort-Object whenCreated -Descending

Komento listaa kaikki kyseiselle koneobjektille tallennetut palautusavaimet uusimmasta vanhimpaan. Vertaa Key ID:tä palautusnäytön tunnisteeseen ja toimita oikea 48-numeroinen merkkijono loppukäyttäjälle. Huomaa, että msFVE-RecoveryPassword-attribuutin lukeminen vaatii erikseen myönnetyt oikeudet – tyypillisesti Domain Admins tai erillinen BitLocker helpdesk -ryhmä.

KB5083769 ja huhtikuun 2026 BitLocker-pyyntöjen vianmääritys

Rehellisesti sanottuna huhtikuun 2026 viikko oli aikamoinen. Minulla soi puhelin lähes tauotta kahden päivän ajan, kun käyttäjät heräsivät siniseen palautusnäyttöön aamukahvilla. Huhtikuun 14. päivänä 2026 julkaistu kumulatiivinen päivitys KB5083769 aiheutti laajaa kohua, kun pieni mutta merkittävä osa Windows 11 -laitteista käynnistyi päivityksen jälkeen suoraan BitLocker-palautusnäyttöön. Microsoft vahvisti virheellisen tilanteen 21. huhtikuuta julkaistussa Health Dashboard -tiedotteessaan ja totesi, että ongelma laukeaa erityisesti niillä laitteilla, joissa Group Policy -asetus Configure TPM platform validation profile for native UEFI firmware configurations sisältää PCR7-rekisterin validointiprofiilissa.

PCR7-rekisteri tallentaa Secure Boot -käytäntöjen mittauksen. Kun KB5083769 päivitti boot-tiedostoja (erityisesti bootmgfw.efi:n hashia), PCR7-arvo muuttui, eikä TPM enää pystynyt avaamaan VMK-avainta (Volume Master Key) automaattisesti – tästä laukesi palautusnäyttö ensimmäisellä uudelleenkäynnistyksellä. Hyvä uutinen: tämä on kertaluonteinen tapahtuma. Kun oikea palautusavain on syötetty, järjestelmä päivittää uudet PCR-arvot eikä pyydä avainta enää myöhemmin.

Toukokuun 13. päivänä 2026 julkaistu KB5089549 korjasi ongelman lopullisesti muuttamalla, miten boot-tiedostot päivitetään TPM-vahvistuksen näkökulmasta. Microsoft on suositellut kaikkien organisaatioiden asentavan KB5089549:n viipymättä, sillä se sisältää myös erilliset tietoturvakorjaukset SmartScreen-komponenttiin.

Palautusnäytön estäminen Group Policyllä ennen päivitystä

Jos hallinnoit IT-ympäristöä, jossa KB5083769:ää ei vielä ole asennettu (esim. WSUS- tai Windows Autopatch -hyväksyntäpolitiikan vuoksi), voit estää palautusnäytön etukäteen säätämällä TPM-vahvistusprofiilin ryhmäkäytännön. Tämä on erityisen tärkeää, jos käyttäjäkunta on hajautettu eikä kaikilla ole avaintaan helposti saatavilla.

Avaa Group Policy Management Console (gpmc.msc) toimialueohjaimella.
Luo uusi GPO nimellä BitLocker-PCR7-Mitigation-KB5083769 ja linkitä se relevanttiin organisaatioyksikköön (OU).
Siirry: Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption → Operating System Drives.
Avaa asetus Configure TPM platform validation profile for native UEFI firmware configurations.
Aseta tilaksi Not Configured – tämä palauttaa Windowsin oletuskäyttäytymisen, jossa PCR7:ää ei käytetä mittausprofiilissa, jos Secure Boot on käytössä.
Tallenna käytäntö ja päivitä se kohdelaitteilla: gpupdate /force.
Käynnistä laitteet uudelleen ennen KB5083769:n asennusta.

PowerShell- ja manage-bde-komennot ylläpitäjälle

Kun palautusavain on syötetty kerran ja kone on auki, on suositeltavaa kierrättää avain, jotta vanha 48-numeroinen koodi ei kelpaa enää. Tämä on osa hyvää tietoturvahygieniaa, etenkin jos epäilet, että avain on saattanut päätyä vääriin käsiin (esim. sähköpostissa tai julkaistussa tikettissä). Alla yleisimmät PowerShell-komennot.

# Näytä BitLockerin tila C-asemalla
Get-BitLockerVolume -MountPoint "C:"

# Listaa kaikki palautusavainsuojaajat ID:n kanssa
(Get-BitLockerVolume -MountPoint "C:").KeyProtector |
    Where-Object KeyProtectorType -eq 'RecoveryPassword'

# Lisää uusi palautusavain
Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector

# Poista vanha avain ID:n perusteella
Remove-BitLockerKeyProtector -MountPoint "C:" `
    -KeyProtectorId "{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}"

# Varmuuskopioi uusi avain Entra ID:hen (vain Entra-liitetyt laitteet)
BackupToAAD-BitLockerKeyProtector -MountPoint "C:" `
    -KeyProtectorId (Get-BitLockerVolume -MountPoint "C:").KeyProtector[1].KeyProtectorId

# Varmuuskopioi paikalliseen AD:hen
Backup-BitLockerKeyProtector -MountPoint "C:" `
    -KeyProtectorId (Get-BitLockerVolume -MountPoint "C:").KeyProtector[1].KeyProtectorId

Klassinen manage-bde-työkalu toimii edelleen, ja se on Windows PE -ympäristössä usein ainoa vaihtoehto:

:: Näytä aseman tila ja kaikki suojaajat
manage-bde -status C:
manage-bde -protectors -get C:

:: Lisää uusi palautusavain
manage-bde -protectors -add C: -RecoveryPassword

:: Salli avauksen jatkuminen ilman palautuskysymyksiä yhden uudelleenkäynnistyksen ajan
:: (käytä ENNEN BIOS-päivitystä!)
manage-bde -protectors -disable C: -RebootCount 1

Komento manage-bde -protectors -disable C: -RebootCount 1 on käytännön kultaa: se suspentoi BitLockerin yhden uudelleenkäynnistyksen ajaksi, joten esimerkiksi BIOS-päivitys tai Secure Boot -muutos ei laukaise palautuspyyntöä. Palautusavainta ei ole pakko vaihtaa tämän jälkeen, vaikka se onkin hyvä käytäntö.

Mitä tehdä, jos palautusavainta ei löydy lainkaan?

Jos olet käynyt läpi kaikki paikat – Microsoft-tili, Entra ID, paperitulosteet, USB-tikut, organisaation IT-tuki – etkä silti löydä 48-numeroista koodia, valitettava tosiasia on, että BitLocker-salausta ei voi murtaa. Microsoftin tuki ei pysty palauttamaan, luomaan tai ohittamaan avainta. Aseman data on käytännössä menetetty, ja ainoa eteneminen on aseman tyhjentäminen ja Windowsin uudelleenasennus Windows Recovery Environmentin (WinRE) kautta.

Palautusnäytöllä paina Esc ja sen jälkeen Skip this drive.
Valitse Vianmääritys → Nollaa tämä tietokone → Poista kaikki.
Valitse Pilviasennus, jos verkkoyhteys on saatavilla – tämä lataa puhtaan Windows 11 -kuvan ja muotoilee aseman.
Tämän jälkeen luo uusi BitLocker-suojaus ja varmista, että avain tallentuu Microsoft-tilille tai organisaation Entra ID:hen.

Parhaat käytännöt avaimen varmuuskopiointiin

BitLocker-avaimen varmuuskopioinnin pitäisi olla osa jokaisen IT-osaston onboarding-prosessia – ja yhtä lailla kotikäyttäjän käyttöönottoa. Yli kymmenen vuoden helpdesk-kokemuksessani noin 70 % BitLocker-tiketeistä ratkeaisi sillä, että avain olisi tallennettu kahteen toisistaan riippumattomaan paikkaan. Suosittelemme seuraavia käytäntöjä jokaisessa Windows 11 -asennuksessa:

Varmista, että avain on Microsoft-tilillä tai Entra ID:ssä. Avaa manage-bde -protectors -get C: ja tarkista, että BackupTo-arvo on AzureAD tai AD.
Tulosta paperikopio ja säilytä se kassakaapissa. Tämä on viimeinen pelastusrengas, kun pilvipalvelut eivät jostain syystä ole käytettävissä.
Käytä palautusavaimen kierrätystä automatisoituna Intunessa. Konfiguroi BitLocker key rotation -käytäntö niin, että avain kiertyy joka avauksen jälkeen.
Dokumentoi BIOS-päivitykset. Ennen jokaista firmware-päivitystä aja manage-bde -protectors -disable C: -RebootCount 1 tai vastaava Intune-skripti.
Kouluta loppukäyttäjät tunnistamaan palautusnäyttö ja toimimaan ilman paniikkia. Liitä ohjeet itsepalveluportaaliin – tämä yhdistyy hyvin Windows 11 -verkon vianmäärityksen oppaaseemme, jossa käsittelemme samankaltaisia ennaltaehkäiseviä toimenpiteitä.

Usein kysytyt kysymykset

Voiko BitLocker-palautusavaimen ohittaa ilman avainta?

Ei voi. AES-XTS-salaus on kryptografisesti vahva, eikä Microsoftilla, valmistajilla tai IT-tuella ole takaporttia. Ainoat etenemisvaihtoehdot ovat oikean avaimen löytäminen tai aseman nollaaminen, mikä tuhoaa kaiken datan.

Miksi BitLocker pyytää palautusavainta Windows-päivityksen jälkeen?

Päivitys voi muuttaa boot-tiedostoja, jolloin TPM:n PCR-mittaukset (erityisesti PCR7) eivät vastaa enää alkuperäistä. Huhtikuun 2026 KB5083769-päivitys laukaisi tämän laajasti; toukokuun KB5089549 korjasi virheen.

Onko BitLocker-palautusavain sama kuin Microsoft-tilin salasana?

Ei ole. Palautusavain on 48-numeroinen koodi, joka tallennetaan Microsoft-tilille mutta on erillinen tilin salasanasta. Vaikka tilisi salasana vaihtuu, sama palautusavain pysyy voimassa, kunnes se manuaalisesti kierrätetään.

Kuinka kauan palautusavain säilyy Microsoft-tilillä?

Avain säilyy tilillä toistaiseksi – niin kauan kuin tili on aktiivinen. Microsoft poistaa tilit, joita ei ole käytetty kahteen vuoteen, joten kirjaudu Microsoft-tilillesi vähintään kerran vuodessa estääksesi avaimen häviämisen tilin sulkemisen mukana.

Voiko BitLockerin poistaa käytöstä pysyvästi Windows 11:ssä?

Kyllä. Avaa Hallitse BitLockeriä ohjauspaneelista ja valitse Poista BitLocker käytöstä. Salauksen purkaminen kestää koon mukaan minuuteista tunteihin. Pro Windows 11:ssä toimenpide on ilmainen; Home-versiossa Device Encryption -toiminto pitää sammuttaa Asetukset → Yksityisyys ja suojaus → Laitteen salaus -valikosta.