Chainload do gerenciador de boot do Windows para o Grub com inicialização segura ativada

Eu tenho um laptop UEFI com o Bitlocker na partição do Windows. Isso força o gerenciador de inicialização primário a ser o Gerenciador de Inicialização do Windows com Inicialização Segura ativada para que o Bitlocker funcione corretamente no Windows . Ou seja, com essa configuração, o Windows só pode inicializar se seu gerenciador de inicialização for a primeira coisa chamada pelo UEFI, devido às chaves de criptografia usadas pelo Bitlocker serem armazenadas no TPM.

Chainloading do Gerenciador de Inicialização do Windows do Grub não funciona [janelas reclamam que o ambiente de Inicialização Segura não é mais seguro], então devemos fazer o contrário: adicionando uma entrada de menu para shimx64.efi do Ubuntu na Inicialização do Windows Gerente usando bcdedit.exe .

Já experimentei todos os tipos de truques com bcdedit /copy bcdedit /create etc ... mas mesmo que o Windows detecte a entrada, ao entrar nela recebo um erro fatal na inicialização:

File: \EFI\ubuntu\shimx64.efi
Status: 0xc000007b
Info: The application or operating system couldn't be loaded because a required file is missing or contains errors.

Alguém sabe qual é a mágica correta do bcdedit para adicionar uma entrada do Ubuntu? TIA.

[Note que esta resposta produz infelizmente o acima]

edit: Observe que, se eu for ao meu UEFI Bios e selecionar a entrada do Ubuntu, o Linux será carregado corretamente. Então, por enquanto, estou preso a ir ao BIOS e selecionar o SO que gostaria de inicializar.

edit2: O Bitlocker não é usado no Linux nem eu quero fazê-lo; seu papel aqui é criptografar a partição do Windows.