Uma simplificação de gerenciamento de bitlocker em seu ambiente seria considerar uma abordagem multidisciplinar.
Política de grupo
Defina sua política de grupo para fazer backup automaticamente da chave de recuperação para o diretório ativo e para não criptografar o computador, se a chave de recuperação não estiver armazenada no AD. Além disso, se os usuários estiverem criptografando suas próprias máquinas, desative a solicitação de PINs e senhas, a menos que você os use em seu ambiente.
Implantação
Crie um plano para criptografar máquinas que já estão no ambiente, vs. estações de trabalho recém-construídas. Novas estações de trabalho são mais fáceis, como o BitLocker requer que uma partição do sistema exista na estação de trabalho, para armazenar seu bootloader. Dependendo do seu processo de criação de imagens, isso pode ou não existir em suas estações de trabalho atuais e, se não houver uma etapa separada, seria necessário executar para preparar o disco rígido para o bitlocker , mas o comando me escapa no momento. A GUI vai fazer isso automaticamente e requer uma reinicialização antes de continuar, eu tenho que assumir que a linha de comando é da mesma maneira. manage-bde
também pode ser usado para fazer backup da recuperação de máquinas que já foram criptografadas, como antes da política de grupo ser implementada, para o diretório ativo. É claro que você também precisa levar em conta a habilitação e a ativação do chip TPM ao falar sobre uma implantação automatizada de bitlockers.
Manutenção / Recuperação de Desastres
Fazer backup de chaves de recuperação para o Active Directory é bom, mas desaparece quando a conta do computador é levada pelo vento. Não é grande coisa se a máquina tiver sido descartada, mas pode ser um grande problema se este for apenas um laptop que ficou fora da rede por um tempo e foi submetido a um script de limpeza do AD. O Powershell pode ser usado para recuperar chaves de backup do diretório ativo, se isso é algo que você quer pensar.