Khắc phục sự cố 13 phút đọc

BitLocker Recovery Key trong Microsoft Entra ID: Hướng dẫn IT Helpdesk 2026

Mã 48 chữ số BitLocker Recovery Key là phao cứu sinh khi Windows không tự mở khóa. Hướng dẫn tra cứu key trong Microsoft Entra admin center, self-service qua myaccount.microsoft.com, vai trò RBAC, script Microsoft Graph PowerShell và xử lý recovery prompt sau bản vá tháng 4/2026 (KB5083769).

Editorial Team
BitLocker Recovery Key Entra ID 2026: Tra Cứu Fix

BitLocker Recovery Key là chuỗi 48 chữ số mà Windows tự sinh ra khi bật mã hóa ổ đĩa — và nói thật, đây gần như là phao cứu sinh duy nhất mỗi khi BitLocker không thể tự mở khóa thiết bị. TPM thay đổi, BIOS vừa được cập nhật, mainboard hỏng, hay đơn giản là sau một bản vá Patch Tuesday "đụng" Secure Boot... bạn đều cần đến nó.

Đối với IT Helpdesk vận hành tenant Microsoft 365 hỗn hợp Windows 10 và Windows 11 (mà tôi tin là phần lớn các bạn đang gặp), việc nắm chính xác cách tra cứu và khôi phục key trong Microsoft Entra ID — tên gọi mới của Azure AD — gần như là kỹ năng bắt buộc. Đặc biệt sau loạt bản vá tháng 4/2026, không ít doanh nghiệp đã ngập trong ticket kiểu "máy em vừa khởi động lại đã hỏi BitLocker Recovery Key, em không có đâu cả".

Hướng dẫn này tôi cố gắng tổng hợp toàn bộ những gì một IT Helpdesk thực sự cần: nơi key được lưu trữ, cách tra cứu trong portal, các role RBAC nên cấp (và những role không nên cấp), script Microsoft Graph PowerShell để xuất hàng loạt, và cả những tình huống "key biến mất khỏi Entra ID" khiến bạn phải sao lưu thủ công. Cùng vào việc nhé.

1. BitLocker Recovery Key là gì và khi nào cần dùng?

BitLocker Recovery Key là một khóa số 48 ký tự được sinh ra trong quá trình bật BitLocker. Đừng nhầm với mật khẩu đăng nhập Windows — Windows chỉ yêu cầu key này khi nền tảng bảo mật (TPM, Secure Boot, PCR) phát hiện thay đổi đáng ngờ. Cụ thể là các tình huống:

  • TPM PCR thay đổi sau khi cập nhật BIOS/UEFI, hoặc một bản vá nào đó "lỡ tay" động vào Secure Boot.
  • Người dùng nhập sai PIN BitLocker quá nhiều lần và TPM kích hoạt cơ chế chống dò (anti-hammering).
  • Tháo ổ đĩa được mã hóa ra lắp sang máy khác (chuyện hay xảy ra khi đem máy đi sửa).
  • Reset CMOS, thay mainboard hoặc cập nhật firmware.
  • Một số chính sách Group Policy/Intune mới được áp dụng làm mất hiệu lực khóa cũ.

Khi key không còn trên thiết bị (vì người dùng không in/lưu USB) thì Microsoft Entra ID hoặc Active Directory Domain Services chính là nơi duy nhất bạn có thể lấy lại key. Một điểm quan trọng nhiều người vẫn nhầm: Microsoft Support không giữ và không thể tạo lại key cho bạn. Đừng mất thời gian gọi điện cho họ.

2. Microsoft Entra ID lưu Recovery Key ở đâu?

Khi một thiết bị Windows được Microsoft Entra joined hoặc Hybrid Entra joined, và một chính sách Intune (hoặc tập lệnh thủ công) escrow key thành công, recovery key sẽ được gán trực tiếp vào đối tượng thiết bị (device object) trong tenant.

Mỗi key có một Key ID 8 ký tự đầu hiển thị trên màn hình recovery của Windows — đây chính là chuỗi mà người dùng sẽ đọc cho bạn khi gọi điện. Mẹo nhỏ: tập cho người dùng đọc đủ 8 ký tự ngay từ đầu, đỡ phải hỏi đi hỏi lại.

Đường đi của key trong môi trường Intune-managed:

  1. Intune triển khai chính sách BitLocker drive encryption với tùy chọn Save BitLocker recovery information to Microsoft Entra ID = Yes.
  2. Khi BitLocker hoàn tất mã hóa ổ đĩa, agent Windows gọi API BackupToAAD-BitLockerKeyProtector để tải key lên Entra ID.
  3. Key được liên kết với deviceId; bạn xem được dưới Devices → All devices → [chọn thiết bị] → BitLocker keys.

3. Tra cứu Recovery Key trong Microsoft Entra Admin Center

Đây là quy trình tiêu chuẩn cho IT Helpdesk khi nhận cuộc gọi quen thuộc kiểu "máy em đang bị màn hình xanh hỏi recovery key":

  1. Đăng nhập vào https://entra.microsoft.com bằng tài khoản có quyền đọc BitLocker key.
  2. Mở Identity → Devices → All devices.
  3. Tìm thiết bị theo display name (thường là tên máy domain) hoặc theo device ID.
  4. Mở thiết bị và chọn tab BitLocker keys.
  5. Đối chiếu Key ID 8 ký tự đầu mà người dùng đọc với cột Key ID; nhấp Show recovery key để xem chuỗi 48 chữ số.

Lưu ý vận hành: Portal không hỗ trợ tìm kiếm theo Key ID rút gọn — đây là điểm khá khó chịu. Trong tình huống cấp bách, hãy yêu cầu người dùng đọc đủ 8 ký tự của Key ID; đọc thiếu sẽ buộc bạn phải duyệt thủ công cả danh sách thiết bị, mất thời gian quý giá.

Tra cứu qua Microsoft Intune Admin Center

Nếu thiết bị nằm dưới quyền quản lý Intune, bạn cũng có thể vào https://intune.microsoft.com:

  1. Devices → Windows → All devices → [tên thiết bị].
  2. Chọn Recovery keys trong menu trái.
  3. Nhấp Show recovery key.

4. Người dùng tự lấy Recovery Key (Self-Service)

Mặc định, người dùng cuối có thể tự truy xuất key của thiết bị do họ sở hữu — và thật lòng, đây là cứu cánh giảm tải đáng kể cho Helpdesk. Hai kênh tự phục vụ chính:

Nếu bạn muốn vô hiệu kênh tự phục vụ (ví dụ trong môi trường yêu cầu Helpdesk xác minh danh tính trước khi cấp key), bật cài đặt Restrict users from recovering the BitLocker key(s) for their owned devices trong Entra device settings. Tổ chức nào có yêu cầu tuân thủ chặt thường chọn cách này.

5. Vai trò RBAC bắt buộc để đọc Recovery Key

Để tránh cấp Global Administrator một cách lãng phí (và rủi ro), hãy gán đúng vai trò theo nguyên tắc least privilege. Đây là bảng tham chiếu tôi vẫn dùng:

Vai tròĐọc BitLocker KeyGhi chú
Helpdesk AdministratorPhù hợp nhất cho L1/L2 helpdesk.
Cloud Device AdministratorCó thể quản lý thiết bị nhưng không reset password.
Intune AdministratorKhi helpdesk cũng quản lý chính sách Intune.
Custom roleCó (nếu có quyền microsoft.directory/bitlockerKeys/key/read)Có thể giới hạn theo Administrative Unit.
Global ReaderCó (mặc định)Đây là điểm tiềm ẩn rủi ro — hãy review.

Cảnh báo bảo mật: Vai trò Global Reader mặc định đọc được toàn bộ BitLocker key của tenant. Nhiều tổ chức cấp Global Reader rộng rãi cho audit/báo cáo mà không hề nhận ra điều này (tôi đã thấy không ít tenant có hơn 20 tài khoản Global Reader). Hãy rà soát tất cả tài khoản dịch vụ và người dùng đang giữ vai trò này — ngay tuần này.

6. Tự động hóa với Microsoft Graph PowerShell

Trong các sự cố quy mô lớn (CrowdStrike outage 2024 vẫn còn ám ảnh nhiều admin, hoặc tình huống tháng 4/2026 mà chúng ta sẽ nói đến ngay sau đây), bạn cần xuất hàng loạt key — không thể click từng thiết bị một, đó là ảo tưởng. Sử dụng module Microsoft.Graph với phạm vi BitlockerKey.Read.All.

Cài đặt module và kết nối

# Cài đặt một lần
Install-Module Microsoft.Graph -Scope CurrentUser

# Kết nối với phạm vi tối thiểu
Connect-MgGraph -Scopes "BitlockerKey.ReadBasic.All", "BitlockerKey.Read.All", "Device.Read.All" -TenantId "your-tenant-id"

Liệt kê toàn bộ Recovery Key (chưa kèm giá trị key)

Get-MgInformationProtectionBitlockerRecoveryKey -All |
    Select-Object Id, CreatedDateTime, DeviceId, VolumeType

Vì lý do bảo mật, lệnh LIST không trả về giá trị key. Để lấy giá trị thực, bạn phải gọi $select=key trên từng key — và mỗi lần gọi sẽ tự ghi vào Entra audit log dưới mục KeyManagement. Đó là chủ đích chứ không phải bug, nên đừng tìm cách lách.

Xuất toàn bộ key kèm giá trị ra CSV

Import-Module Microsoft.Graph.Identity.SignIns
Connect-MgGraph -Scopes "BitlockerKey.ReadBasic.All", "BitlockerKey.Read.All"

Get-MgInformationProtectionBitlockerRecoveryKey -All |
    Select-Object Id, CreatedDateTime, DeviceId,
        @{
            Name = "RecoveryKey"
            Expression = {
                (Get-MgInformationProtectionBitlockerRecoveryKey `
                    -BitlockerRecoveryKeyId $_.Id `
                    -Property "key").Key
                Start-Sleep -Milliseconds 200   # tránh bị throttle
            }
        },
        VolumeType |
    Export-Csv -Path "C:\Temp\bitlocker-keys.csv" -NoTypeInformation -Encoding UTF8

Cảnh báo: File CSV chứa key dạng plain-text. Lưu trên ổ được EFS-encrypt hoặc gửi thẳng vào Azure Key Vault, xóa ngay sau khi sử dụng và bật Microsoft Purview audit trên thư mục đó. Tôi từng thấy file kiểu này nằm chình ình trên Desktop của một admin trong nhiều tháng — đừng để chuyện đó xảy ra.

Phiên bản an toàn hơn dùng SecureString

$keys = Get-MgInformationProtectionBitlockerRecoveryKey -All

$result = foreach ($k in $keys) {
    $value = (Get-MgInformationProtectionBitlockerRecoveryKey `
                -BitlockerRecoveryKeyId $k.Id -Property "key").Key
    [pscustomobject]@{
        DeviceId        = $k.DeviceId
        KeyId           = $k.Id
        VolumeType      = $k.VolumeType
        CreatedDateTime = $k.CreatedDateTime
        Key             = ConvertTo-SecureString -String $value -AsPlainText -Force
    }
    Start-Sleep -Milliseconds 250
}

$result | Export-Clixml -Path "C:\Temp\bitlocker-keys.xml"

File CLIXML chỉ giải mã được trên đúng tài khoản và máy đã tạo, an toàn hơn nhiều so với CSV. Nếu phải để file tồn tại quá vài giờ, đây luôn là lựa chọn nên ưu tiên.

Kiểm tra thiết bị thiếu key

# Lấy danh sách thiết bị Windows trong tenant
$devices = Get-MgDevice -All -Filter "operatingSystem eq 'Windows'"

# Lấy danh sách deviceId đã có ít nhất một key
$keyedDeviceIds = (Get-MgInformationProtectionBitlockerRecoveryKey -All).DeviceId | Sort-Object -Unique

# Liệt kê thiết bị thiếu key
$devices | Where-Object { $_.DeviceId -notin $keyedDeviceIds } |
    Select-Object DisplayName, DeviceId, OperatingSystemVersion, ApproximateLastSignInDateTime |
    Export-Csv "C:\Temp\devices-missing-bitlocker-key.csv" -NoTypeInformation

7. Sự cố tháng 4/2026: BitLocker recovery prompt sau Windows Update

OK, đây có lẽ là phần thực tế nhất của bài viết. Sau Patch Tuesday tháng 4/2026 với các bản vá KB5083769, KB5082052, KB5082200, nhiều thiết bị Windows 10/11 đột ngột yêu cầu BitLocker Recovery Key sau lần khởi động lại đầu tiên. Nguyên nhân: bản vá thay đổi cấu hình Secure Boot, làm các giá trị PCR mà TPM dùng để "ràng buộc" key BitLocker không còn khớp.

Triệu chứng phổ biến mà Helpdesk nhận được (chắc nhiều bạn đã trải qua):

  • Hàng chục đến hàng trăm ticket cùng lúc trong vòng vài giờ sau khi triển khai bản vá tự động qua Intune/WSUS.
  • Người dùng đọc chính xác Key ID nhưng key 48 chữ số... vẫn không mở khóa được — do bản vá đã thay đổi PCR profile.
  • Một số thiết bị bị khóa hoàn toàn vì không có key trong Entra ID (đây là kịch bản tệ nhất).

Khắc phục tức thời

  1. Cung cấp recovery key cho người dùng từ Entra/Intune để mở khóa máy ngay.
  2. Sau khi vào được Windows, mở PowerShell Run as administrator và chạy: 
    manage-bde -protectors -delete C: -type tpm
manage-bde -protectors -add C: -tpm
BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId `
    ((Get-BitLockerVolume -MountPoint "C:").KeyProtector |
        Where-Object KeyProtectorType -eq "RecoveryPassword").KeyProtectorId
  3. Cấu hình lại TPM protector sẽ đọc cấu hình PCR mới sau bản vá và tạo key mới đã được sao lưu lên Entra ID.

Phòng ngừa hàng loạt

Microsoft khuyến nghị tạm thời gỡ bỏ chính sách BitLocker bắt buộc xác thực TPM nghiêm ngặt và để Windows tự chọn cấu hình PCR phù hợp. Trong Intune:

  1. Vào Endpoint security → Disk encryption.
  2. Mở chính sách BitLocker hiện hành.
  3. Trong phần BitLocker - OS Drive Settings, xem lại System Boot Verification Profile; nếu đang bắt buộc cụ thể PCR 0/2/4/11, đổi thành Not configured hoặc cấu hình mặc định Microsoft.
  4. Lưu chính sách và đợi nó được áp dụng (sync trong 8h, hoặc kích hoạt sync thủ công nếu nhanh hơn).

8. Recovery Key biến mất khỏi Entra ID — checklist khắc phục

Một trong những ticket "ám ảnh" nhất là khi bạn mở thiết bị trong Entra ID và tab BitLocker keys hoàn toàn trống. Đây là quy trình kiểm tra theo thứ tự tôi vẫn áp dụng:

  1. Kiểm tra trạng thái join: Trên máy chạy dsregcmd /status. Cần thấy AzureAdJoined : YES hoặc DomainJoined : YES + AzureAdJoined : YES đối với hybrid.
  2. Xác minh chính sách Intune đã áp dụng: Mở Settings → Accounts → Access work or school → [tài khoản] → Info → Sync, kiểm tra timestamp.
  3. Kiểm tra Event Log: mở Event Viewer → Applications and Services Logs → Microsoft → Windows → BitLocker-API → Management. Sự kiện Event ID 845 báo escrow thành công, Event ID 846 báo lỗi (đây là nơi đầu tiên tôi luôn xem).
  4. Đảm bảo policy có bật escrow: trong Intune, Save BitLocker recovery information to Microsoft Entra ID phải = YesClient-driven recovery password rotation được cấu hình.
  5. Sao lưu thủ công: nếu các bước trên đều ổn nhưng key vẫn vắng, chạy lệnh push key trực tiếp: 
    $kp = (Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector |
       Where-Object KeyProtectorType -eq "RecoveryPassword"

BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $kp.KeyProtectorId
    Lệnh này có thể đóng gói thành Win32 app/Remediation script Intune để chạy hàng loạt — và đây là một trong những script "khó thiếu" trong bộ công cụ của bất kỳ admin nào.
  6. Hybrid join: với thiết bị Hybrid Entra joined, key cũng được escrow đồng thời lên AD DS. Nếu Entra trống, kiểm tra msFVE-RecoveryInformation trên đối tượng máy trong Active Directory Users and Computers (nhớ bật Advanced Features, không thì sẽ không thấy tab này đâu).

9. Best Practices cho IT Helpdesk 2026

  • Bật xoay key tự động (Recovery Password Rotation): sau mỗi lần Helpdesk lộ key cho người dùng, key cũ phải vô hiệu trong vòng vài giờ. Không có lý do gì để bỏ qua thiết lập này.
  • Audit hàng tuần: chạy script PowerShell so khớp danh sách thiết bị với danh sách key, gắn cờ máy thiếu key sau 7 ngày.
  • Chuẩn hóa quy trình xác minh danh tính: không bao giờ đọc key qua kênh không xác thực; chỉ cấp key sau khi xác minh đa yếu tố (gọi qua số điện thoại đã đăng ký, hoặc xác nhận qua Microsoft Authenticator). Đã có những vụ social engineering thành công chỉ vì bước này bị bỏ qua.
  • Tài liệu hóa Key ID flow: hướng dẫn người dùng cuối cách đọc Key ID đầy đủ 8 ký tự, có hình minh họa màn hình recovery.
  • Test bản vá Windows Update: luôn triển khai theo wave (pilot → broad), monitor số lượng ticket BitLocker trong 24h đầu để phát hiện sớm sự cố loại tháng 4/2026.
  • Giảm tải bằng self-service: hướng dẫn người dùng truy cập myaccount.microsoft.com trước khi gọi Helpdesk; chỉ leo thang khi self-service không hoạt động.
  • Lưu ý DRA: với các môi trường có thiết bị offline lâu, cấu hình một Data Recovery Agent để mount ổ ở máy khác là backup cuối cùng — và nó đã cứu tôi đôi lần.

10. FAQ — Câu hỏi thường gặp

Microsoft có thể giúp tôi lấy lại BitLocker Recovery Key bị mất không?

Không. Microsoft Support không lưu, không truy xuất và không thể tạo lại recovery key. Key chỉ được lưu ở những nơi bạn (hoặc tổ chức của bạn) đã chủ động cấu hình: Microsoft Entra ID, Active Directory, tài khoản Microsoft cá nhân, file in, USB hoặc Data Recovery Agent. Nếu mất hết, bạn buộc phải xóa và cài lại Windows. Đáng tiếc nhưng đó là sự thật.

Vì sao Recovery Key của tôi không xuất hiện trong Entra ID?

Có nhiều nguyên nhân: thiết bị chưa hoàn tất Entra/Hybrid join, chính sách Intune chưa bật escrow, BitLocker đã được bật trước khi join Entra, hoặc lỗi mạng tại thời điểm escrow. Chạy dsregcmd /status và kiểm tra Event Log BitLocker-API/Management ID 845 (thành công) hoặc 846 (lỗi). Sau đó dùng BackupToAAD-BitLockerKeyProtector để sao lưu thủ công.

Vai trò Entra ID nào tối thiểu để Helpdesk đọc Recovery Key?

Helpdesk Administrator hoặc Cloud Device Administrator là lựa chọn tiêu chuẩn. Nếu cần ràng buộc phạm vi, hãy tạo custom role với quyền microsoft.directory/bitlockerKeys/key/read và gán vào một Administrative Unit. Tránh cấp Global Reader cho mục đích này — vai trò đó đọc được toàn bộ key trong tenant, đó là vùng phơi nhiễm không cần thiết.

Sau khi cấp key cho người dùng, key có còn giá trị không?

Mặc định vẫn còn giá trị. Hãy bật tính năng Client-driven recovery password rotation trong chính sách Intune để Windows tự sinh key mới và escrow lên Entra ID sau mỗi lần sử dụng key, vô hiệu key cũ trong vòng vài giờ. Đây là kiểm soát bắt buộc trong các môi trường tuân thủ ISO 27001 hoặc SOC 2.

Bản vá Windows tháng 4/2026 có làm thiết bị mất key vĩnh viễn không?

Không — key cũ vẫn nằm trong Entra ID và mở được ổ một lần. Tuy nhiên cấu hình PCR mới sau bản vá có thể không tương thích với protector TPM cũ. Sau khi mở khóa, hãy xóa và tạo lại TPM protector bằng manage-bde -protectors -delete/-add rồi chạy BackupToAAD-BitLockerKeyProtector để sao lưu key mới phù hợp với cấu hình PCR mới.

Tôi có thể tự động phát hiện thiết bị thiếu Recovery Key không?

Có, và bạn nên làm. Sử dụng script PowerShell với module Microsoft.Graph để so khớp Get-MgDevice (Windows) với Get-MgInformationProtectionBitlockerRecoveryKey -All. Lên lịch chạy hàng tuần qua Azure Automation và xuất báo cáo các thiết bị thiếu key, kèm ApproximateLastSignInDateTime để xác định ưu tiên xử lý.

Kết luận

BitLocker Recovery Key là điểm giao giữa bảo mậtkhả năng vận hành: thiếu nó, IT Helpdesk không thể giúp người dùng vào lại máy; quản lý lỏng lẻo, nó trở thành lỗ hổng nghiêm trọng. Quy trình bốn lớp — escrow tự động qua Intune, tra cứu nhanh trong Entra/Intune admin center, tự động hóa bằng Microsoft Graph PowerShell, và phản ứng có sẵn cho các sự cố Windows Update — sẽ giúp đội Helpdesk của bạn xử lý tức thì cả những đợt ticket BitLocker hàng loạt như tháng 4/2026 mà không cần leo thang lên L3.

Tóm lại, nếu hôm nay bạn chỉ làm được ba việc: bật xoay key tự động, review danh sách Global Reader, và chuẩn bị sẵn một Remediation script trên Intune cho các thiết bị "thiếu key" — đó là ba việc đơn giản nhưng giúp bạn tránh được hầu hết các tình huống mất key thảm họa. Phần còn lại sẽ rơi vào đúng quỹ đạo theo thời gian.

Về Tác Giả Editorial Team

Our team of expert writers and editors.

Bài Viết Liên Quan