Problemas com o protetor de chave do Bitlocker AD

Usamos o protetor de chave do Active Directory do Bitlocker para proteger e desbloquear automaticamente unidades USB, mas estamos vendo falhas aleatórias para desbloquear.

Temos dois grupos do AD que usamos

• DOMAIN \ BitlockerAdmin (contém administradores do sistema)
• DOMAIN \ BitlockerPerComputer (contém o usuário que usa o laptop)

Os usuários são todos membros de um grupo de domínio "DOMAIN \ BitlockerPerComputer" e nós executamos o comando:

Enable-BitLocker -MountPoint F: -EncryptionMethod XtsAes256 -UsedSpaceOnly -AdAccountOrGroup "Domain\BitlockerAdmin" –AdAccountOrGroupProtector 
Add-BitLockerKeyProtector -MountPoint $BACKUPVOL -AdAccountOrGroup "DOMAIN\BitlockerPerComputer" –AdAccountOrGroupProtector

O que esperamos que aconteça (o que funciona apenas às vezes)

• O usuário efetua login e a unidade é desbloqueada ou o Sysadmin efetua login e a unidade é desbloqueada.
• Se removermos o usuário do grupo AD, a unidade permanecerá sempre bloqueada e o usuário não poderá desbloqueá-la.

O que estamos vendo.

• Às vezes, percebemos que o usuário faz login e a unidade não é desbloqueada. Podemos esperar dias e fazer várias reinicializações, mas nenhuma mudança de comportamento.
• Qualquer pessoa no grupo BitlockerAdmin que efetua login sempre desbloqueia bem
• Se adicionarmos o usuário ao grupo BitlockerAdmin, o logoff e a unidade às vezes serão desbloqueados, ou seja, funciona melhor, mas às vezes não.
• Mesmo depois de remover o usuário do grupo AD, eles ainda podem desbloquear a unidade

Também tentamos usar os comandos Manage-bde em vez de powershell, mas obtemos os mesmos resultados

Alterar a ordem dos grupos que adiciono primeiro também não faz diferença.

Tentamos pesquisar exatamente como o protetor AD funciona para diagnosticar o problema, mas há poucas informações por aí.

Qualquer indicação para ajudar a diagnosticar o problema recebido com gratidão