Windows podrška 14 min čitanja

BitLocker traži ključ za oporavak na Windows 11? Vodič za helpdesk timove

BitLocker recovery zaslon na Windows 11 noćna je mora za helpdesk. Evo kako brzo pronaći ključ za oporavak u Entra ID, AD i Intuneu, dijagnosticirati problem PowerShellom i spriječiti da se ponovi.

Editorial Team
BitLocker Oporavak Windows 11: Helpdesk Fix 2026

Uvod: BitLocker i Windows 11 — glavni generator helpdesk tiketa

Zamislite ovakav scenarij. Ponedjeljak ujutro, korisnik uključi računalo, a umjesto uobičajenog Windows zaslona dočeka ga plavi ekran s porukom: "Enter the BitLocker recovery key for this drive." Bez tog ključa — nikamo. Računalo je zaključano. I naravno, korisnik nema pojma što je BitLocker, a kamoli gdje mu je ključ za oporavak.

Zvuči poznato?

Ako radite na helpdesku, ovo vam je gotovo svakodnevica. BitLocker recovery zahtjevi spadaju među najčešće razloge poziva u korporativnim okruženjima — a u 2026., iskreno, situacija je postala još gora nego prije. Microsoftova ažuriranja za Windows 11 24H2 i 25H2 opetovano izazivaju neočekivane BitLocker recovery zaslone, čak i na uređajima koji su radili savršeno dan ranije.

Ovaj vodič napisan je za IT helpdesk tehničare koji trebaju brza, konkretna rješenja. Proći ćemo kroz sve — od razumijevanja zašto se BitLocker recovery pojavljuje, preko pronalaženja ključeva u Active Directory i Microsoft Entra ID, do PowerShell naredbi za dijagnostiku i prevenciju. Dakle, krenimo.

Što je BitLocker i zašto traži ključ za oporavak?

Kratki podsjetnik za helpdesk tehničare

BitLocker je Microsoftova ugrađena tehnologija za enkripciju cijelih diskova, dostupna na Windows 11 Pro, Enterprise i Education izdanjima. Koristi TPM (Trusted Platform Module) čip na matičnoj ploči za sigurno pohranjivanje ključeva za enkripciju. Kad sve radi kako treba — a uglavnom radi — korisnik BitLocker uopće ne primjećuje. Sustav se automatski otključava tijekom pokretanja i to je to.

Problem nastaje kad BitLocker detektira promjenu u hardveru, firmware-u ili konfiguraciji pokretanja koja bi mogla ukazivati na sigurnosnu prijetnju. Tada odbija automatsko otključavanje i traži 48-znamenkasti ključ za oporavak. Tehnički, to je potpuno logičan sigurnosni mehanizam. Ali kad se aktivira bez ikakvog očitog razloga nakon rutinskog Windows ažuriranja? Noćna mora za helpdesk.

Najčešći okidači za BitLocker recovery zaslon

  • Windows ažuriranja — daleko najčešći uzrok u 2026. Kumulativna ažuriranja znaju promijeniti boot konfiguraciju i aktivirati BitLocker zaštitu
  • BIOS/UEFI ažuriranja — promjena firmware-a mijenja TPM stanje i lako može izazvati recovery zahtjev
  • Promjene hardvera — zamjena matične ploče, RAM-a, pa čak i spajanje novog USB uređaja tijekom pokretanja
  • Isključen Secure Boot — ako je Secure Boot onemogućen u BIOS-u, BitLocker to odmah tretira kao prijetnju
  • TPM problemi — neispravan, resetiran ili onemogućen TPM čip
  • Promjene boot redoslijeda — čak i jednostavna promjena redoslijeda pokretačkih uređaja u BIOS-u može aktivirati recovery

Windows ažuriranja u 2026. koja izazivaju BitLocker recovery

KB5063878 i kasnija ažuriranja — poznati problem

Microsoft je službeno potvrdio da nakon instalacije ažuriranja KB5063878 ili kasnijih verzija za Windows 11 24H2, postoji ozbiljan problem: ako korisnik deinstalira kumulativno ažuriranje i vrati OS build na verziju raniju od 26100.4770, BitLocker može odbiti otključati disk čak i s ispravnim PIN-om.

I evo zašto je to posebno nezgodno — mnogi helpdesk tehničari (uključujući mene, priznajem) instinktivno pokušavaju rollback kao prvo rješenje. A time situaciju samo pogoršate.

Zapamtite: Nikad ne radite rollback na build stariji od 26100.4770 na uređajima s BitLockerom nakon instalacije KB5063878 ili novijih ažuriranja. Ozbiljno, zapišite si to negdje.

KB5079473 — ožujsko ažuriranje 2026.

Kumulativno ažuriranje iz ožujka 2026. također je izazvalo val BitLocker recovery zahtjeva. Pogođeni su posebno uređaji s Intel procesorima koji podržavaju Modern Standby (S0). Simptom je tipičan: računalo se normalno ažurira, restarta — i umjesto Windowsa, BitLocker recovery zaslon.

Ponavljajući obrazac kroz 2025./2026.

Ovo, nažalost, nije izolirani incident. Microsoft ima identične probleme s više ažuriranja tijekom 2025. i 2026. Obrazac je uvijek isti:

  1. Kumulativno ažuriranje se instalira
  2. Ažuriranje mijenja boot konfiguraciju ili PCR (Platform Configuration Register) vrijednosti u TPM-u
  3. BitLocker detektira promjenu i aktivira recovery mode
  4. Microsoft objavi ispravku nekoliko dana (ili tjedana) kasnije

Za helpdesk timove to znači jednu jedinu stvar: morate imati brz i pouzdan sustav za pronalaženje BitLocker ključeva za oporavak. Ne pitanje je "ako", nego "kad" se ovo dogodi vašim korisnicima.

Kako pronaći BitLocker ključ za oporavak

Opcija 1: Microsoft Entra ID (Azure AD) — za korporativne uređaje

Ako je uređaj pridružen Microsoft Entra ID-u (ranije poznat kao Azure AD), ključ za oporavak bi trebao biti automatski pohranjen u oblaku. Evo kako ga pronaći:

  1. Prijavite se na Microsoft Entra admin centar (entra.microsoft.com)
  2. Idite na Identity → Devices → All devices
  3. Pronađite uređaj po imenu ili korisniku
  4. Kliknite na uređaj, zatim odaberite BitLocker keys
  5. Kopirajte 48-znamenkasti ključ za oporavak

Potrebne uloge: Cloud Device Administrator, Helpdesk Administrator ili prilagođena uloga s dozvolom microsoft.directory/bitlockerKeys/key/read.

Opcija 2: Microsoft Intune admin centar

Za uređaje upravljane putem Intunea, ključ možete pronaći i u Intune admin centru:

  1. Prijavite se na intune.microsoft.com
  2. Idite na Devices → All devices
  3. Odaberite uređaj → Recovery keys
  4. Ključ za oporavak bit će prikazan zajedno s Key ID-em

Relativno jednostavno, zar ne?

Opcija 3: Active Directory (on-premises)

U organizacijama koje koriste on-premises Active Directory s konfiguriranom BitLocker pohranom ključeva:

  1. Otvorite Active Directory Users and Computers
  2. Pronađite računalni objekt korisnika
  3. Na kartici BitLocker Recovery pronaći ćete sve pohranjene ključeve

Ili, još bolje, putem PowerShella — brže i prikladnije za svakodnevni helpdesk rad:

# Dohvaćanje BitLocker ključa za oporavak iz Active Directory
$computer = "NAZIV-RACUNALA"
Get-ADObject -Filter {objectclass -eq 'msFVE-RecoveryInformation'} `
  -SearchBase (Get-ADComputer $computer).DistinguishedName `
  -Properties msFVE-RecoveryPassword, whenCreated |
  Select-Object @{N='Datum';E={$_.whenCreated}}, @{N='Ključ za oporavak';E={$_."msFVE-RecoveryPassword"}} |
  Format-Table -AutoSize

Napomena: Da bi ovo radilo, vaša organizacija mora imati konfiguriranu Group Policy koja automatski sprema BitLocker ključeve u AD. Bez toga — ključevi jednostavno neće biti tamo.

Opcija 4: Korisnikov Microsoft račun (osobni uređaji)

Za osobne uređaje ili BYOD scenarije, korisnik može pronaći ključ na:

  • aka.ms/myrecoverykey — za osobne Microsoft račune
  • aka.ms/aadrecoverykey — za poslovne/školske račune

Dobra vijest: od Windows 11 24H2, BitLocker recovery zaslon prikazuje hint s e-mail adresom Microsoft računa povezanog s ključem. To korisnicima uvelike pomaže da sami pronađu pravi račun (konačno, jedno korisno UX poboljšanje).

Opcija 5: Company Portal (samoposluga za korisnike)

Ako vaša organizacija koristi Intune Company Portal, korisnici mogu sami dohvatiti svoj ključ:

  1. Na drugom uređaju, prijavite se na Company Portal web stranicu
  2. Idite na Moji uređaji
  3. Odaberite zaključano računalo
  4. Kliknite Get recovery key

Ovo je, po mom mišljenju, jedna od najboljih opcija jer značajno smanjuje opterećenje helpdeska. Korisnici riješe problem sami, bez poziva. Svi sretni.

Dijagnostika BitLocker problema putem PowerShella

Kad korisnik uspije ući u sustav (ili kad pristupate računalu remote), ove PowerShell naredbe su vam nezamjenjive za dijagnostiku i prevenciju budućih problema. Držite ih pri ruci.

Provjera statusa BitLocker enkripcije

# Provjera statusa svih volumena
Get-BitLockerVolume | Format-Table MountPoint, VolumeStatus, ProtectionStatus, EncryptionMethod, KeyProtector -AutoSize

# Detaljni status za C: disk
manage-bde -status C:

Provjera TPM stanja

# Provjera TPM modula
Get-Tpm | Format-List TpmPresent, TpmReady, TpmEnabled, TpmActivated, TpmOwned

# Ako TPM nije spreman, pokušajte ga inicijalizirati
Initialize-Tpm

Provjera nedavnih ažuriranja koja bi mogla uzrokovati problem

# Prikaz nedavno instaliranih ažuriranja
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10 |
Format-Table HotFixID, InstalledOn, Description -AutoSize

# Provjera specifičnih problematičnih ažuriranja
$problematicKBs = @("KB5063878", "KB5079473", "KB5066835")
Get-HotFix | Where-Object { $_.HotFixID -in $problematicKBs } |
Format-Table HotFixID, InstalledOn -AutoSize

Backup ključa za oporavak prije ažuriranja

# Backup BitLocker ključa za oporavak u Azure AD / Entra ID
$BLV = Get-BitLockerVolume -MountPoint "C:"
$KeyProtectorId = ($BLV.KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"}).KeyProtectorId
BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $KeyProtectorId

# Backup u Active Directory
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $KeyProtectorId

Privremena suspenzija BitLockera prije planiranih promjena

# Suspenzija BitLockera za 1 restart ciklus (npr. prije BIOS ažuriranja)
Suspend-BitLocker -MountPoint "C:" -RebootCount 1

# Provjera da je suspenzija aktivna
Get-BitLockerVolume -MountPoint "C:" | Select-Object MountPoint, ProtectionStatus

Ova naredba je apsolutno ključna za prevenciju. Prije svakog planiranog BIOS ažuriranja, firmware promjene ili velikog Windows ažuriranja — suspendirajte BitLocker. Ozbiljno, uštedjet ćete sebi (i korisnicima) tone nepotrebnog stresa.

Kad korisnik nema ključ za oporavak — scenariji najgoreg slučaja

Ponekad ključ za oporavak jednostavno ne postoji. Nije pohranjen ni u AD, ni u Entra ID, ni u korisnikovom Microsoft računu. Nigdje. Ovo je najgori mogući scenarij i, nažalost, opcije su jako ograničene.

Što možete pokušati

  1. Provjerite baš sve moguće lokacije — AD, Entra ID, Intune, USB pogon, isprintana kopija, osobni Microsoft račun korisnika. Budite temeljiti.
  2. Provjerite koristi li korisnik ispravan Microsoft račun — ovo je češće nego što mislite. Korisnik ima dva-tri Microsoft računa, a ključ je na onom na koji je zaboravio
  3. Kontaktirajte Microsoft podršku — ali imajte na umu da Microsoft izričito navodi kako ne može pružiti, kreirati niti oporaviti izgubljeni BitLocker ključ. Dakle, nemojte računati na to.

Kad nema drugog izlaza

Ako ključ za oporavak stvarno nije nigdje dostupan, jedina preostala opcija je resetiranje uređaja korištenjem Windows recovery opcija. Da, to znači brisanje svih podataka na enkriptiranom disku. Zato je toliko važno imati sustav za automatski backup ključeva — prevencija je jedini pravi lijek za ovaj problem.

Prevencija: Kako spriječiti BitLocker recovery probleme

1. Konfigurirajte automatski backup ključeva

Ovo je najvažnija preventivna mjera. Bez nje, sve ostalo je zakrpa. Evo kako to postaviti putem Group Policy:

  • Otvorite Group Policy Management
  • Navigirajte do: Computer Configuration → Administrative Templates → Windows Components → BitLocker Drive Encryption → Operating System Drives
  • Omogućite "Choose how BitLocker-protected operating system drives can be recovered"
  • Označite "Save BitLocker recovery information to AD DS for operating system drives"
  • Označite "Do not enable BitLocker until recovery information is stored to AD DS"

Za Entra ID / Intune okruženja, konfigurirajte BitLocker profil u Intuneu s uključenom opcijom za pohranu ključeva u Entra ID. Relativno brzo za postaviti, a uštedi vam nebrojene sate kasnije.

2. Suspendirajte BitLocker prije planiranih promjena

Prije svakog:

  • BIOS/UEFI ažuriranja
  • Velikog Windows ažuriranja (feature update)
  • Zamjene hardvera
  • Promjene boot konfiguracije

Koristite: Suspend-BitLocker -MountPoint "C:" -RebootCount 1

3. Delegirajte pristup ključevima helpdesk timu

Nema smisla da helpdesk mora čekati admina za svaki BitLocker tiket. U Active Directory možete delegirati pristup BitLocker recovery informacijama helpdesk grupi:

# Primjer: Delegiranje pristupa u AD
# U Active Directory Users and Computers:
# 1. Desni klik na OU s računalima
# 2. Delegate Control → Add helpdesk grupu
# 3. Custom task → Only "msFVE-RecoveryInformation" objects
# 4. Dodijelite Read dozvole

U Entra ID, dodijelite ulogu Helpdesk Administrator ili kreirajte prilagođenu ulogu s dozvolom za čitanje BitLocker ključeva.

4. Educirajte korisnike

Pošaljite korisnicima kratku uputu kako provjeriti je li njihov ključ za oporavak pohranjen. Usmjerite ih na aka.ms/myrecoverykey da potvrde da ključ postoji u njihovom računu. Mali korak, ali može spriječiti veliku glavobolju.

5. Testirajte ažuriranja prije širokog raspoređivanja

Koristite Windows Update for Business ili WSUS za fazno raspoređivanje ažuriranja. Neka prva skupina (pilot ring) budu IT zaposlenici — tako ćete otkriti BitLocker probleme prije nego pogode cijelu organizaciju. Iz iskustva vam kažem, ovo se isplati.

Brzi dijagnostički postupak za helpdesk — korak po korak

Kad korisnik nazove s BitLocker recovery zaslonom, slijedite ovaj postupak:

  1. Zatražite Key ID — na recovery zaslonu prikazan je kratki identifikator ključa (Key ID). Neka vam ga korisnik pročita ili slikajte zaslon ako imate remote pristup
  2. Pretražite Entra ID / AD — pomoću Key ID-a pronađite odgovarajući 48-znamenkasti ključ za oporavak
  3. Korisnik unosi ključ — uputite korisnika da pažljivo unese svih 48 znamenki. Jedna pogrešna znamenka i ključ neće raditi (upozorite ih na to unaprijed)
  4. Provjera nakon pokretanja — kad se korisnik prijavi, provjerite:
    • Je li BitLocker i dalje aktivan: Get-BitLockerVolume
    • Je li TPM ispravan: Get-Tpm
    • Koja su nedavna ažuriranja instalirana: Get-HotFix
  5. Preventivna mjera — napravite backup ključa za oporavak u AD ili Entra ID ako već nije pohranjen
  6. Dokumentirajte — zabilježite incident u tiket sustav s detaljima o uzroku. Vaši budući vi će vam biti zahvalni

Često postavljana pitanja (FAQ)

Gdje mogu pronaći svoj BitLocker ključ za oporavak?

Ključ za oporavak može biti pohranjen na nekoliko mjesta: u vašem Microsoft računu (aka.ms/myrecoverykey), u Microsoft Entra ID ili Active Directory (za korporativne uređaje), na USB pogonu, isprintan na papiru ili u Azure Key Vault. Počnite s Microsoft računom, a zatim kontaktirajte IT odjel ako ste na korporativnom uređaju.

Zašto BitLocker traži ključ za oporavak nakon Windows ažuriranja?

Windows ažuriranja mogu promijeniti boot konfiguraciju ili PCR (Platform Configuration Register) vrijednosti u TPM čipu. BitLocker to detektira kao potencijalnu sigurnosnu prijetnju i aktivira recovery mode. Ovo je poznati problem s više ažuriranja za Windows 11 tijekom 2025. i 2026., uključujući KB5063878 i KB5079473.

Može li Microsoft oporaviti izgubljeni BitLocker ključ?

Kratki odgovor: ne. Microsoft izričito navodi da njihov tim za podršku ne može pružiti, kreirati niti oporaviti izgubljeni BitLocker ključ za oporavak. Ako ključ nije pohranjen nigdje, jedina opcija je resetiranje uređaja — što znači gubitak svih podataka na enkriptiranom disku.

Kako spriječiti neočekivani BitLocker recovery zaslon?

Suspendirajte BitLocker prije planiranih promjena (BIOS ažuriranja, veliki Windows update) naredbom Suspend-BitLocker -MountPoint "C:" -RebootCount 1. Konfigurirajte automatski backup ključeva u AD ili Entra ID putem Group Policy. I obavezno testirajte ažuriranja na pilot grupi prije širokog raspoređivanja.

Što ako tipkovnica ne radi na BitLocker recovery zaslonu?

Pokušajte spojiti drugu USB tipkovnicu. Ako ni to ne pomaže, resetirajte BIOS na tvorničke postavke — ovo ponekad rješava problem s USB kontrolerom. Na nekim uređajima trebat će vam omogućen USB Legacy Support u BIOS postavkama.

O Autoru Editorial Team

Our team of expert writers and editors.

Povezani Članci