BitLocker מבקש מפתח שחזור — מדריך מלא לטכנאי Helpdesk (2026)

אחד הסיוטים היומיומיים של טכנאי Helpdesk ב-2026? אותו מסך כחול-תכלת של BitLocker שמבקש 48 ספרות של מפתח שחזור בשבע בבוקר, עשר דקות לפני ישיבה. עדכון BIOS שנכפה בלילה, החלפת לוח אם, שינוי קטן ב-Secure Boot — ואפילו דיסק און קי ותיק שהמשתמש שכח להוציא לפני Boot. כל אחד מאלה יכול להקפיץ את Recovery Mode ולנעול את המשתמש מחוץ למערכת.

אני יודע כי ראיתי את זה קורה יותר פעמים משהייתי רוצה לספור. במדריך הזה ריכזתי את כל מה שטכנאי צריך לדעת כשעובדים עם BitLocker בסביבה היברידית (Entra ID + AD מקומי + חשבונות Microsoft אישיים): איתור המפתח, אבחון שורש הבעיה, השהיה חכמה, השבתה מלאה בחירום, ומניעה אמיתית — לא רק "לקוות שזה לא יחזור".

אז מה בעצם קורה כש-BitLocker דורש מפתח שחזור?

הקצרה: BitLocker בנוי על "שרשרת אמון". ה-TPM (שבב האבטחה במחשב) מודד את רכיבי ה-Boot — ה-firmware של ה-UEFI, ה-bootloader, מדיניות Secure Boot, ערכי PCR וכו'. כל שינוי שמודד אחרת מהמצב שבו הדיסק הוצפן מקפיץ דגל אדום, וה-TPM פשוט מסרב לשחרר את המפתח אוטומטית. התוצאה: Recovery Mode ו-48 ספרות לא מזמינות.

הגורמים שאני פוגש הכי הרבה בפועל:

• עדכון BIOS/UEFI firmware — Dell, Lenovo ו-HP דוחפים עדכונים דרך Windows Update או LCU, לרוב בלי שהמשתמש שם לב.
• החלפת חומרה — לוח אם, מעבד, ואפילו העברת דיסק NVMe לחריץ אחר על אותו מחשב.
• שינוי ב-Secure Boot או CSM — מעבר בין Legacy ל-UEFI, הפעלה/כיבוי של Secure Boot.
• Feature updates גדולים של Windows — במיוחד המעברים 23H2 → 24H2 → 25H2.
• התקני USB בזמן Boot — דיסק און קי עם אזור EFI, תחנת עגינה עם Storage מובנה. כן, זה קטן, אבל קורה.
• תקלת TPM — בדרך כלל אחרי יותר מדי ניסיונות PIN שגויים.
• שינוי באותיות הכונן או בסדר ה-Boot — בעיקר אחרי טעויות ב-F12/Boot Menu.

שלב 1: איתור מפתח השחזור (Recovery Key)

לפני שצוללים לאבחון — החזר את המשתמש לעבודה. הוא לא יכול לחכות לכם שעה בזמן שאתם קוראים אירועים. מפתח השחזור מאוחסן באחד מארבעה מקומות אפשריים, והסדר שבו תבדוק תלוי בסוג הארגון.

1.1 Microsoft Entra ID (Azure AD) — סביבות מודרניות

אם המחשב מצורף ל-Entra ID (Azure AD Join או Hybrid Join), מפתח השחזור אמור להיות מסונכרן ל-Entra אוטומטית. הנה הדרך המהירה:

1. היכנס ל-entra.microsoft.com עם הרשאות Cloud Device Administrator, Helpdesk Administrator, או לכל הפחות Global Reader (לקריאה בלבד).
2. נווט ל-Devices → All devices וחפש לפי שם המחשב או Device ID.
3. פתח את המכשיר, לחץ על BitLocker keys. ההתאמה היא לפי שמונה התווים הראשונים של ה-Key ID שמופיע במסך ה-Recovery של המשתמש. (כן, לפעמים יש שם כמה מפתחות — בחר לפי ה-ID, לא לפי התאריך.)

אני אישית מעדיף את הדרך של ה-PowerShell, במיוחד כשיש כמה כרטיסים במקביל:

Connect-MgGraph -Scopes "BitlockerKey.Read.All"

# Get the device
$device = Get-MgDevice -Filter "displayName eq 'LAPTOP-USER01'"

# Get BitLocker keys linked to this device
$keys = Get-MgInformationProtectionBitlockerRecoveryKey -All |
    Where-Object { $_.DeviceId -eq $device.DeviceId }

foreach ($k in $keys) {
    $full = Get-MgInformationProtectionBitlockerRecoveryKey `
        -BitlockerRecoveryKeyId $k.Id `
        -Property "key"
    "{0}  {1}" -f $k.Id.Substring(0,8), $full.Key
}

1.2 Active Directory On-Prem — סביבות היברידיות או Legacy

אם המחשב מצורף לדומיין On-Prem וה-GPO הוגדר לגבות BitLocker keys ל-AD, המפתחות מאוחסנים באובייקט המחשב תחת msFVE-RecoveryInformation. פשוט, אבל חובה לזכור: אם המחשב הוצפן לפני שה-GPO הופעל — לא יהיה שם כלום.

# Requires BitLocker Recovery Password Viewer feature (RSAT)
Import-Module ActiveDirectory

$computer = Get-ADComputer LAPTOP-USER01

Get-ADObject -Filter 'objectclass -eq "msFVE-RecoveryInformation"' `
    -SearchBase $computer.DistinguishedName `
    -Properties 'msFVE-RecoveryPassword','whenCreated' |
    Sort-Object whenCreated -Descending |
    Select-Object whenCreated, `
        @{n='KeyID';e={$_.Name.Substring(11,8)}}, `
        @{n='RecoveryPassword';e={$_.'msFVE-RecoveryPassword'}}

במקרה שזה חוזר ריק — אל תתייאש. בדוק קודם את Entra ID (יכול להיות Hybrid Join), ואחר כך את חשבון ה-Microsoft של המשתמש.

1.3 חשבון Microsoft אישי

במחשבים שלא מצורפים לארגון (Home, מחשב אישי שעובד מביא מהבית), Windows מעלה את המפתח ל-aka.ms/myrecoverykey של חשבון ה-Microsoft המחובר. הנחה את המשתמש להיכנס משום מכשיר אחר — טלפון, טאבלט, מחשב של בן משפחה — ולהעתיק את המפתח משם. זה נשמע טריוויאלי, אבל תתפלאו כמה משתמשים לא יודעים שיש להם חשבון Microsoft פעיל.

1.4 Microsoft Intune (למכשירי Co-managed)

עבור מכשירים מנוהלי Intune, המפתחות מסונכרנים גם ל-Entra ID, אבל אפשר לצפות ישירות דרך Intune Admin Center:

1. היכנס ל-intune.microsoft.com.
2. Devices → All devices → בחר את המכשיר → Recovery keys.
3. לחץ על Show Recovery Key. שים לב: הפעולה נרשמת ב-Audit Log, אז אל תבקש "לראות" סתם כדי לסקר.

שלב 2: זיהוי הסיבה לחסימה — כי אחרת זה פשוט יחזור

הטעות הנפוצה של טכנאים חדשים: מוסרים למשתמש את המפתח, המערכת עולה, הכל "נפתר", ולמחרת בבוקר — אותו סיפור. לא. אחרי שהעברת את המשתמש, חייבים לאבחן מה הפעיל את ה-Recovery Mode מלכתחילה, אחרת רק דחית את הבעיה ב-24 שעות.

פתח PowerShell כ-Administrator והרץ את הסט הבא:

# 1) View BitLocker status on all drives
manage-bde -status

# 2) Find what changed at last boot - Windows Event Logs
Get-WinEvent -LogName 'Microsoft-Windows-BitLocker/BitLocker Management' -MaxEvents 20 |
    Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize -Wrap

# 3) PCR measurements - what did TPM measure differently?
Get-WinEvent -LogName 'Microsoft-Windows-Kernel-Boot/Operational' -MaxEvents 10

# 4) BIOS/UEFI firmware version
Get-CimInstance Win32_BIOS | Select-Object SMBIOSBIOSVersion, ReleaseDate

# 5) Secure Boot state
Confirm-SecureBootUEFI

בלוג של Microsoft-Windows-BitLocker/BitLocker Management — חפש בעיקר Event ID 24620 ו-24621. הם מציינים אילו PCRs השתנו ובאיזו מידה. רמז שימושי: PCR 7 קשור ל-Secure Boot policy, PCR 11 ל-OS loader, ו-PCR 4 ל-MBR/GPT ו-boot manager. רוב התקלות שראיתי מתרכזות סביב PCR 7 או 11.

שלב 3: השהיה של BitLocker לפני פעולות "מסוכנות"

אם אתה יודע מראש שאתה הולך לבצע משהו שבטוח יפיל את BitLocker ל-Recovery — עדכון BIOS, החלפת חומרה, feature update גדול — אל תחכה שזה יקרה. פשוט השהה מראש.

חשוב להבין: Suspend אינו מבטל הצפנה. הוא רק משאיר את ה-VMK במצב גלוי עד ה-Boot הבא (או עד שתחליט אחרת).

# Suspend for the next reboot only (default)
Suspend-BitLocker -MountPoint "C:" -RebootCount 1

# Suspend across 3 reboots (useful for multi-stage BIOS updates)
Suspend-BitLocker -MountPoint "C:" -RebootCount 3

# Check current status
Get-BitLockerVolume -MountPoint "C:" | Format-List *

# Resume protection manually (restores automatically after RebootCount)
Resume-BitLocker -MountPoint "C:"

הפרמטר RebootCount מקבל ערכים בין 0 ל-15. ערך 0 משאיר את ההגנה Suspended עד שתפעיל Resume ידנית — נוח לתחזוקה ממושכת, אבל מסוכן אם שוכחים. (ואל תאמינו לי, שוכחים.)

שלב 4: כשצריך להשבית לחלוטין את BitLocker

יש מקרים — תקלת TPM בלתי-הפיכה, צורך להעביר דיסק למחשב אחר, בקשה מפורשת מהמשתמש או מהארגון — שבהם פשוט צריך להסיר את ההצפנה לגמרי. זו פעולה שלוקחת זמן (שעות, תלוי בגודל הדיסק) ואסור להפסיק באמצע. באמת שאסור.

# Start decryption on C:
Disable-BitLocker -MountPoint "C:"

# Monitor decryption progress
while ($true) {
    $v = Get-BitLockerVolume -MountPoint "C:"
    Write-Host "$($v.VolumeStatus) - $($v.EncryptionPercentage)%"
    if ($v.VolumeStatus -eq 'FullyDecrypted') { break }
    Start-Sleep -Seconds 30
}

אם המחשב תקוע ב-Recovery Mode ולא מצליח לעלות ל-Windows בכלל, אפשר ללכת דרך Recovery Environment (Shift + Restart → Troubleshoot → Advanced → Command Prompt):

manage-bde -unlock C: -RecoveryPassword 123456-123456-123456-123456-123456-123456-123456-123456
manage-bde -off C:

שלב 5: איפוס TPM כשהוא הגורם לבעיה

אם האבחון מצביע בבירור על ה-TPM (למשל, ננעל לאחר ניסיונות PIN שגויים, או ש-tpm.msc מציג "TPM is not ready for use"), לפעמים אין ברירה אלא לבצע Clear. שים לב — זו לא פעולה תמימה: Clear-Tpm מאפס את כל המפתחות שמאוחסנים ב-TPM. לא רק BitLocker, אלא גם Windows Hello, Virtual Smart Cards וכל מה שתלוי בו.

# Check TPM status
Get-Tpm

# Clear TPM (requires physical presence on most devices - user has to press F12/Y at boot)
Clear-Tpm

# After TPM clear, BitLocker will be Suspended - you MUST re-protect it
Resume-BitLocker -MountPoint "C:"

אחרי Clear-Tpm, חשוב לוודא שה-Recovery Key החדש אכן עלה ל-Entra/AD. אל תסמוך על סנכרון אוטומטי — בדוק:

# Force backup of current BitLocker key to Entra ID
$bv = Get-BitLockerVolume -MountPoint "C:"
$rp = $bv.KeyProtector | Where-Object KeyProtectorType -eq 'RecoveryPassword'
BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $rp.KeyProtectorId

# Or to on-prem AD
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $rp.KeyProtectorId

שלב 6: מניעה — מדיניות ב-Intune וב-GPO

האמת? רוב התקריות של BitLocker Recovery שטיפלתי בהן לא נבעו מבעיה בחומרה אלא ממדיניות חלקית. הגדרה נכונה מכסה שלושה מרכיבים בסיסיים: הצפנה אוטומטית, גיבוי מפתח לפני ההפעלה, וניהול עדכוני BIOS.

Intune — Configuration Profile מומלץ ל-2026

• Encryption Method: XTS-AES 256-bit (ברירת המחדל מאז Windows 11 22H2).
• Startup Authentication: TPM only למכשירים סטנדרטיים; TPM + PIN למכשירים עם מידע רגיש.
• Recovery Options → Save BitLocker recovery information to Azure AD: Enabled.
• Do not enable BitLocker until recovery information is stored: Enabled. הסעיף הזה הוא הכי חשוב — הוא מונע את הסיוט של "מחשב מוצפן שאף אחד לא יכול לשחזר".
• Allow standard users to enable encryption during Autopilot: Enabled.

Group Policy (GPO) לסביבות On-Prem

Path: Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption → Operating System Drives

• Choose how BitLocker-protected operating system drives can be recovered → Enable
  ✓ Allow data recovery agent
  ✓ Save BitLocker recovery information to AD DS
  ✓ Do not enable BitLocker until recovery information is stored in AD DS
• Configure minimum PIN length → 8 ספרות (אם אתם משתמשים ב-PIN בכלל).

טבלת שגיאות נפוצות ומה לבדוק

שגיאה/סימפטום	סיבה שורש סבירה	פעולה ראשונה
Recovery בכל Boot	TPM לא שומר מדידות נכון; Auto-Unlock חסר	Clear-Tpm + גיבוי מפתח חדש
אחרי עדכון BIOS	PCR 0/2/7 השתנה	הזן מפתח, ואז Suspend-BitLocker -RebootCount 1
0x80310000 — BitLocker not available	שירות BDESVC לא רץ / TPM לא זמין	Get-Service BDESVC, Get-Tpm
Key ID לא נמצא ב-Entra	המכשיר לא Azure AD joined, או שסנכרון נכשל	dsregcmd /status → בדוק AzureAdJoined=YES
48 ספרות לא מתקבלות	NumLock כבוי / מקלדת לא באנגלית	הפעל NumLock, שנה שפה ל-EN במסך ה-Recovery

שאלות נפוצות (FAQ)

איך אני מוצא מפתח שחזור BitLocker במהירות בלי גישה למחשב?

הדרך המהירה ביותר לטכנאי Helpdesk היא Entra Admin Center → Devices → חיפוש המכשיר → BitLocker keys. אם המחשב לא ב-Entra, בדוק Active Directory (Get-ADObject עם class msFVE-RecoveryInformation). למשתמש פרטי — הפנה אותו ל-aka.ms/myrecoverykey.

האם אפשר לעקוף את מסך ה-Recovery של BitLocker בלי המפתח?

לא. BitLocker משתמש ב-AES-256, וללא המפתח או Recovery Password הדיסק מוצפן ללא יכולת שחזור. זה בדיוק מה ש-BitLocker אמור להגן מפניו. אם איבדת את המפתח ולא קיים גיבוי ב-Entra/AD/Microsoft Account — המידע אבוד. ולכן חייבים להגדיר גיבוי אוטומטי של מפתחות לפני שמתחילים להצפין.

למה BitLocker מבקש מפתח שחזור אחרי עדכון Windows?

עדכוני Windows גדולים (feature updates) לפעמים משנים את ה-Boot Configuration ואת ה-PCRs שה-TPM מודד. Windows 11 24H2 ו-25H2 שיפרו משמעותית את הטיפול במצבים האלה, אבל עדיין חייבים לוודא שמדיניות Secure Boot לא השתנתה. הטיפ: תשהה את BitLocker לפני העדכון באמצעות Suspend-BitLocker -RebootCount 2.

האם Clear-Tpm ימחק את הנתונים שלי?

לא ישירות. Clear-Tpm מאפס רק את המפתחות ששמורים בשבב ה-TPM. אבל — ויש כאן אבל גדול — אחרי האיפוס, BitLocker לא יצליח לפתוח את הדיסק אוטומטית, ותצטרך להזין Recovery Key כדי לעלות. ודא שיש לך את המפתח בהישג יד לפני שאתה מריץ Clear-Tpm, אחרת אתה מסתכן בהתקנה מחדש מלאה.

האם BitLocker פעיל כברירת מחדל ב-Windows 11 24H2?

כן. החל מ-Windows 11 24H2 (הפצה ציבורית אמצע 2024 ואילך), BitLocker Device Encryption מופעל אוטומטית בהתקנות חדשות עם TPM 2.0, גם במהדורת Home — לא רק Pro ו-Enterprise. זו אחת הסיבות המרכזיות שמספר פניות ה-Helpdesk על Recovery Keys זינק ב-2025-2026, גם בקרב משתמשים פרטיים שלא בהכרח מבינים שהדיסק שלהם מוצפן.

סיכום — Checklist מהיר לטכנאי Helpdesk

1. אסוף את ה-Key ID בן 8 התווים שמופיע במסך ה-Recovery.
2. חפש את המפתח בסדר הבא: Entra ID → Intune → AD on-prem → חשבון Microsoft.
3. תן למשתמש את המפתח המלא, ותעד את האירוע בכרטיס (כולל ה-Key ID).
4. בדוק לוגים (BitLocker Management, Kernel-Boot) כדי לזהות שורש.
5. אם צפוי עדכון BIOS נוסף — השהה מראש באמצעות Suspend-BitLocker.
6. ודא שהמפתח החדש (אם נוצר) אכן עלה ל-Entra ID, אל תסמוך על סנכרון אוטומטי.
7. בדוק את מדיניות ה-Intune / GPO במכשיר: gpresult /h report.html.
8. סגור את הכרטיס עם הנחיות מניעה למשתמש (בעיקר: לא לחבר התקני USB בזמן Boot).

טיפול מקצועי ב-BitLocker הוא בסוף של דבר שילוב של שלושה דברים: ידע על TPM, הבנה של שרשרת ה-Boot, ויכולת לנוע מהר מול Entra/AD/Intune. עם ה-Checklist הזה ופקודות ה-PowerShell במדריך, רוב התקריות של Recovery Mode נסגרות אצלי תוך פחות מ-15 דקות — בלי איבוד מידע, ובלי התקנה מחדש.