D'une manière ou d'une autre, la machine d'un utilisateur n'a pas pu lire le mot de passe bitlocker de la puce TPM, et j'ai dû entrer la clé de récupération (stockée dans AD) pour y entrer. Pas grand-chose, mais une fois dans la machine, je a essayé de suspendre bitlocker selon la documentation de récupération et a reçu un message d'erreur indiquant que le module de plateforme sécurisée n'était pas initialisé. Je savais que le TPM était activé et activé dans le BIOS, mais Windows m'a quand même fait réinitialiser la puce TPM, et dans le processus, il a créé un nouveau mot de passe propriétaire du TPM.
J'ai trouvé cela étrange parce qu'il m'a incité à enregistrer ce mot de passe ou à l'imprimer (il n'y avait pas d'option de ne pas le faire), mais il n'a fait aucune référence à un mot de passe de récupération, ni n'a sauvegardé ce mot de passe dans AD.
Après que l'utilisateur a pris son ordinateur portable et est parti, j'ai commencé à penser que si le mot de passe du TPM change, le mot de passe de récupération change-t-il également? Si tel est le cas, ce nouveau mot de passe de récupération devra être téléchargé vers AD, mais la documentation de MS ne le précise pas et ne sauvegarde pas automatiquement la nouvelle clé de récupération (si elle existe) dans AD lorsque la stratégie de groupe le dit. doit, et d'un point de vue réseau AD est accessible.