如何批量导出Microsoft Entra ID上的Bitlocker recovery key

Azure云服务技术支持

2025-06-24

导读：Microsoft Entra ID 提供了用于管理设备标识和监视相关事件信息的集中场所。

Microsoft Entra ID 提供了用于管理设备标识和监视相关事件信息的集中场所。从设备概述中，可以了解设备总数、陈旧设备、不兼容设备和非托管的设备。它还提供了指向 Intune、条件访问、BitLocker 密钥和基本监视的链接。

可以查看和复制 BitLocker 密钥以允许用户恢复加密驱动器。这些密钥仅适用于已加密并将其密钥存储在 Microsoft Entra ID 中的 Windows 设备。可以在查看设备详细信息时通过选择“显示恢复密钥”找到这些密钥。

接下来，开始进行导出Bitlocker Recovery Key的操作：

当前Bitlocker密钥在Entra ID门户中，需要根据Bitlocker密钥ID进行搜索。

而在Intune门户中，需要单台设备查询。

出于备份目的，如何批量将所有Windows设备的bitlocker的recovery key导出到excel，以方便管理员提高工作效率呢？

1．请参考以下官方文档中的步骤创建一个application。

https://learn.microsoft.com/en-us/powershell/microsoftgraph/authentication-commands?view=graph-powershell-1.0#using-connect-mggraph

2．在App registrations中找到对应的application，然后找到Certificates&secrets – New client secret，创建一个secret，并记录Value的值。

3．在API permissions中添加BitlockerKey.Read.All的权限。

4．安装graph的Module

Install-Module Microsoft.Graph -Scope AllUsers -Repository PSGallery -Force

5. 参考以下命令使用应用登录，请将黄色背景部分替换为您环境中的值。

$ClientSecretCredential = Get-Credential -Credential "应用的Application ID"

##运行上命令后，会弹出输入Password的窗口，请输入第2步中记录的secret的Value。

Connect-MgGraph -Environment China -TenantId "租户ID" -ClientSecretCredential $ClientSecretCredential

6．最后使用以下命令导出Bitlocker Recovery Key

Get-MgInformationProtectionBitlockerRecoveryKey -All | select Id,CreatedDateTime,DeviceId,@{n="Key";e={(Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $_.Id -Property key).key}},VolumeType | Export-Csv .\bitlockerkey.csv

结果类似以下截图：

建议您同时导出Entra ID中的设备信息，以便通过DeviceID查询其他信息，如设备名称等。

【声明】内容源于网络

Azure云服务技术支持

由世纪互联运营的Azure云服务技术支持

内容 18

粉丝 0

Azure云服务技术支持由世纪互联运营的Azure云服务技术支持

总阅读6

粉丝0

内容18