HOWTO：解决基于 Intune 管理的 Bitlocker 无法创建恢复密码和密钥

        通过 Intune 我们可以在 Endpoint Manager 管理中心的“终结点安全性”下对客户端的“磁盘加密”进行管理。目前支持固定驱动器、可移动驱动器、OS 驱动器，以及基本设置的管理配置。

        但不当的配置也会对客户端的正常部署造成困扰，正如本例所要分享的，IT人员希望借助“磁盘加密”策略实现客户端自动化静默启用 Bitlocker，但结果并不如人意。你可以看到如下图所示，设备在经历 Autopilot 配置进入系统桌面后，系统栏弹出磁盘加密的需求提示，当点击这个通知会弹出“是否已准备好开始加密？”的向导。

        根据提示，确认没有安装和使用第三方的加密软件，但执行结果却失败了！提示“无法创建恢复密码和恢复密钥……”。此时，我们可以通过“事件查看器”，在“应用程序和服务日志 - Microsoft - Windows - Bitlocker-API - Management”下找到线索，可从下方截图中看到 ID 4103 的记录，Error Message 为“组策略设置不允许创建恢复密码”！！！既然是组策略的问题，且客户端是基于 Intune 管理的，那就要回到 Endpoint Manager 管理中心来排查。

        检查磁盘加密策略，在“Bitlocker - OS 驱动器设置”下找到“系统驱动器恢复” - “恢复密码创建”，确认该配置为“允许”。

        这是一个典型的配置问题，为避免不必要的错误发生，我们还是需要预先阅读各选项的详细说明，了解其设计意图和使用条件。