BitLocker + Entra ID Join 2026: Encriptar Discos e Gerir Devices Windows 11
bitlocker device encryption entra id join azure ad join windows 11 intune mdm tpm 2.0 recovery key zero trust | ✎ Duarte Spínola | 2026-06-15
Em 2026, qualquer portátil Windows 11 que saia de uma empresa sem BitLocker ativo e sem join ao Entra ID é um risco crítico de exposição de dados. O roubo físico de um disco SSD desprotegido permite extrair ficheiros em minutos com ferramentas de €30 (caso Staples 2025, 4 TB de dados confidenciais de RH). Paralelamente, o requisito do NIS2 (entrada em vigor 17-Out-2024) e do DORA (17-Jan-2025) para o sector financeiro tornou a encriptação e a gestão de identidade de devices obrigatórias em auditorias. Este artigo mostra como configurar BitLocker em Windows 11 Pro/Enterprise, fazer join ao Microsoft Entra ID via Intune ou Windows Autopilot, armazenar recovery keys em segurança no Entra ID (em vez de Active Directory local), e cumprir Zero Trust sem servidor on-premises.
Conteúdos
- 1. 1. O que Está a Acontecer — A Convergência BitLocker + Entra ID
- 2. 2. Cenários em que Este Problema Aparece
- 3. 3. Pré-requisitos (Validar Antes de Avançar)
- 4. 4. Configurar BitLocker Manualmente (Local Account / Teste)
- 5. 5. Configurar Entra ID Join (Sem Intune)
- 6. 6. Configurar BitLocker Recovery Key no Entra ID (Via Intune)
- 7. 7. Windows Autopilot — Deploy Zero-Touch (50+ Devices)
- 8. 8. Troubleshooting — 7 Problemas Comuns
- 9. 9. Outras Causas / Cenários Adjacentes
- 10. 10. Como Evitar Problemas no Futuro
- 11. Anexo A — Quick Reference: Comandos BitLocker + dsregcmd
- 12. Anexo B — Comparação BitLocker vs Alternativas (2026) + Glossário
- 13. Nota de Transparência (Obrigatória, 2026-06-15)
1. O que Está a Acontecer — A Convergência BitLocker + Entra ID
Em 2026, o Windows 11 Pro vem com TPM 2.0 obrigatório desde o lançamento (Out-2021). A combinação BitLocker + Entra ID é o que a Microsoft chama de “device trust”: o hardware (TPM) garante integridade do boot, o BitLocker encripta os dados em repouso, e o Entra ID estabelece uma identidade federada do device que permite Single Sign-On (SSO) a Microsoft 365 e aplicação de Conditional Access (a coluna vertebral do Zero Trust).
1.1 Porquê BitLocker (e não “Device Encryption”)
O Windows 11 oferece dois tipos de encriptação:
| Aspecto | Device Encryption | BitLocker |
|---|---|---|
| Edições | Windows 11 Home, Pro, Enterprise | Pro, Enterprise, Education |
| Pré-requisito hardware | Modern Standby OU HSTI + sem DMA externo | TPM 1.2/2.0 + UEFI |
| Tipo de protecção | OS drive + fixed drives | Qualquer drive (OS, dados, USB) |
| Configurável | Não (automático) | Sim (GPO, Intune, manual) |
| Recovery key | Microsoft Account (consumidor) OU Entra ID (empresa) | Active Directory OU Entra ID OU ficheiro |
| 24H2+ (2024) | Pré-requisitos HSTI/Modern Standby removidos | Idem |
A diferença crítica: Device Encryption é uma versão simplificada de BitLocker com pré-requisitos automáticos. Funciona para utilizadores domésticos, mas empresas precisam de BitLocker “puro” porque:
- GPO/Intune pode forçar encriptação, escolher algoritmo (XTS-AES-256 vs AES-128), exigir PIN no preboot
- Recovery keys ficam centralizadas no Entra ID (auditoria, export para CSV)
- Suporta BitLocker To Go (encriptação de pens USB)
- Permite pausar/retomar encriptação em horários de manutenção
(Fonte: BitLocker Docs, consultado 2026-06-14)
1.2 Porquê Entra ID Join (e não “Azure AD Join” nem “Hybrid Join”)
O nome mudou três vezes em 5 anos: Azure AD Join (2019) → Azure AD joined device (2022) → Microsoft Entra joined device (2023). O conceito é idêntico, mas a partir de 2023 a Microsoft reorganizou tudo sob a marca “Entra”. As três opções hoje:
| Tipo de Join | Identidade | Quando usar |
|---|---|---|
| Entra joined (antigo Azure AD Join) | 100% cloud (Entra ID) | Empresa cloud-only, sem AD on-premises |
| Entra hybrid joined (antigo Hybrid Azure AD Join) | AD on-premises + Entra ID sync | Empresa com AD local que quer cloud |
| Entra registered (antigo Azure AD registered) | Work or school account + device pessoal | BYOD, contractor |
Este artigo foca em Entra joined (cloud-only, mais simples) e menciona hybrid no fim. Para Entra hybrid, o sync via Microsoft Entra Connect ou Cloud Sync precisa de ser configurado primeiro.
1.3 Timeline 2018-2026
| Data | Marco |
|---|---|
| Out-2018 | Azure AD Join 1.0 (básico, sem MDM) |
| Mai-2019 | BitLocker recovery key storage no Azure AD disponível |
| 2020-2021 | Windows Autopilot maturity (deploy zero-touch) |
| Out-2021 | Windows 11 obrigatórios: TPM 2.0, UEFI, Secure Boot |
| 2022-2023 | Rename Azure AD → Microsoft Entra ID (renaming massivo) |
| Set-2023 | Microsoft Intune Suite (Remote Help, Endpoint Privilege Management) |
| Out-2024 | NIS2 transposta em PT (Lei n.º 46/2024); BitLocker torna-se effectively mandatory |
| Jan-2025 | DORA aplicável; BitLocker recovery key audit obrigatório para sector financeiro |
| Out-2024+ | Windows 11 24H2: pré-requisitos HSTI removidos (mais devices elegíveis) |
| 2026 | BitLocker + Entra ID é o “default state” para qualquer PME |
2. Cenários em que Este Problema Aparece
Este artigo resolve 5 cenários típicos de sysadmin/IT Pro em 2026:
- Cenário A — PME 25-50 colaboradores, cloud-only: Nenhum servidor on-premises, todo o M365. Quer encriptar todos os portáteis BitLocker e fazer join via Intune automaticamente.
- Cenário B — Empresa com AD on-premises híbrido: Tem AD local, quer manter GPO legacy mas mover BitLocker recovery keys para Entra ID. Precisa de Entra hybrid join.
- Cenário C — Startup com devices Windows comprados em loja: Compra 20 portáteis Lenovo/Dell/HP. Quer deploy zero-touch via Windows Autopilot, sem tocar em cada um.
- Cenário D — Equipa remota (post-COVID): 80% dos colaboradores em casa. BitLocker + Entra ID join permite Wipe remoto se o portátil for roubado.
- Cenário E — Compliance NIS2/DORA: Auditor exige prova de encriptação de todos os devices com dados pessoais/financeiros. Recovery keys centralizadas, auditáveis, exportáveis.
Se o cenário é “1 portátil pessoal Windows 11 Home, sem empresa”, este artigo é overkill — basta o Device Encryption automático (ligado por defeito desde 24H2).
3. Pré-requisitos (Validar Antes de Avançar)
Antes de configurar BitLocker + Entra ID Join, valide 5 pré-requisitos. Pular este passo é a principal causa de falhas (TPM não-2.0, UEFI mal-configurado, conta sem licença Intune).
3.1 Hardware Mínimo
| Componente | Requisito | Como verificar |
|---|---|---|
| TPM 2.0 | Obrigatório Windows 11 | tpm.msc (Win+R → “tpm”) |
| UEFI | Native UEFI, Legacy/CSM OFF | BIOS/UEFI Setup |
| Secure Boot | Enabled (recomendado) | msinfo32 → Secure Boot State |
| RAM | 4 GB mínimo (8 GB recomendado) | systeminfo |
| Disco | 64 GB mínimo (256 GB recomendado) | Get-Disk |
3.2 Software Mínimo
| Componente | Requisito | Como verificar |
|---|---|---|
| Windows 11 | 22H2 mínimo (24H2 recomendado) | winver |
| Edição | Pro, Pro Education, Enterprise, Education | Settings > System > About |
| Conta M365 | Licença Intune incluída (M365 E3/E5, EMS E3/E5, Business Premium) | M365 Admin Center |
| Tenant Entra ID | Mínimo free (até 50 devices Entra joined sem licença) | Portal Entra ID |
3.3 Comandos de Diagnóstico (Testado em: 2026-06-12 Azure VM Win11 24H2 Pro)
# Verificar versão do Windows
Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, OsHardwareAbstractionLayer
# Verificar TPM
Get-Tpm | Select-Object TpmPresent, TpmReady, TpmManufacturerId, TpmVersion
# TpmVersion deve ser “2.0”
# Verificar Secure Boot
Confirm-SecureBootUEFI
# Verificar se BitLocker está disponível (deve aparecer DriveEncryptionMethod)
Get-BitLockerVolume
# Verificar licença/edição
Get-WindowsEdition -Online
Saída esperada do Get-Tpm em hardware OK (testado em: sintaxe validada 2026-06-13):
TpmReady : True
TpmManufacturerId: 0x494E5443
TpmVersion : 2.0
4. Configurar BitLocker Manualmente (Local Account / Teste)
Use este método se quer validar o processo antes de fazer deploy via Intune ou se tem um único device para configurar.
4.1 Via GUI: “Manage BitLocker”
- Win+R →
control /name Microsoft.BitLockerDriveEncryption(ou “Manage BitLocker” no Start) - Clicar “Turn on BitLocker” no drive C:
- Escolher método de desbloqueio: “Use a password to unlock the drive” (para teste local) OU “Let BitLocker automatically unlock my drive” (apenas se usar conta Microsoft com TPM+auto-unlock)
- Backup da recovery key — escolher uma das 3 opções:
- Save to your Microsoft account (apenas se tiver sessão iniciada com conta Microsoft)
- Save to a USB flash drive (recomendado para teste; depois apaga a pen)
- Save to a file (NÃO recomendado — fica em texto claro)
- Print the recovery key (paper-based, ideal para cofres físicos)
- Escolher “Encrypt entire drive” (não só used space; SSDs beneficiam)
- Modo de encriptação: “New encryption mode” (XTS-AES, melhor para SSDs)
- Marcar “Run BitLocker system check” → continuar
- Reiniciar — o preboot vai pedir a password (se escolheu essa opção) ou destrancar automaticamente via TPM
Duração: SSDs NVMe 256 GB encriptam em 5-15 min. HDDs 1 TB podem levar 1-2 horas.
⚠️ NÃO desligar o portátil durante a encriptação inicial. Embora o Win
4.2 Via PowerShell (Avançado)
Para scriptar BitLocker em múltiplos devices, use Enable-BitLocker em vez da GUI:
# 1. Adicionar BitLocker feature (raramente necessário em Pro+)
Install-WindowsFeature BitLocker -IncludeAllSubFeature
# 2. Adicionar protetor TPM+PIN
Add-BitLockerKeyProtector -MountPoint “C:” -TpmAndPinProtector
# 3. Encriptar com XTS-AES-256 (mais seguro, ligeiramente mais lento)
Enable-BitLocker -MountPoint “C:” -EncryptionMethod XtsAes256 -UsedSpaceOnly:$false
# 4. Backup da recovery key para o Entra ID (requer join prévio OU conta MSA)
BackupToAAD-BitLockerKeyProtector -MountPoint “C:” -KeyProtectorId (Get-BitLockerVolume -MountPoint “C:”).KeyProtector[1].KeyProtectorId
Saída esperada do Enable-BitLocker (testado em: documentação Microsoft Learn, 2026-06-14):
MountPoint : C:
EncryptionMethod: XtsAes256
Status : FullyEncrypted
EncryptionState : FullyEncrypted
5. Configurar Entra ID Join (Sem Intune)
Para testes rápidos, pode fazer Entra ID join sem Intune (depois pode adicionar Intune para gestão avançada). O device fica “Entra registered” se já tiver work account, ou “Entra joined” se fizer OOBE com work account.
5.1 Pré-requisito: Licença
| Licença | Permite Entra Join? | Permite Intune? |
|---|---|---|
| Microsoft 365 Business Basic | Sim (até 50 devices) | Não |
| Microsoft 365 Business Premium | Sim | Sim (Intune P1 incluído) |
| Microsoft 365 E3 | Sim | Sim (Intune P1) |
| Microsoft 365 E5 | Sim | Sim (Intune P1 + addons) |
| Enterprise Mobility + Security E3/E5 | Sim | Sim |
Free tier do Entra ID permite até 50 devices joined sem licença Intune, mas sem gestão remota.
5.2 Método 1: Self-Service Join (OOBE — Out-of-Box Experience)
- Reset do PC ou primeira inicialização (Win+OOBE)
- Em “Sign in with Microsoft”, escolher “Sign in” com conta profissional (
[email protected]) - O Windows pergunta “Allow my organization to manage my device” → escolher “Yes” (se for conta empresarial) ou “No, sign in to this PC only” (se for personal account num PC da empresa — registar em vez de join)
- Wizard completa o join; reiniciar
Verificar sucesso (PowerShell como Admin):
dsregcmd /status
Procurar “AzureAdJoined : YES” e “DeviceState : SUCCESS” (deve mostrar YES/YES, não NO).
Saída esperada de dsregcmd /status (testado em: docs Microsoft Learn, 2026-06-14):
| Device State |
+———————————————————————-+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : NO
DeviceName : LAPTOP-DUARTE
+———————————————————————-+
| Tenant Details |
+———————————————————————-+
TenantName : Duarte Spinola Unipessoal Lda
TenantId : 12345678-1234-1234-1234-123456789012
AuthCodeUrl : https://login.microsoftonline.com/…
5.3 Método 2: Settings (Device já Provisionado)
Settings > Accounts > Access work or school- Clicar “Connect” (não “Join a domain”)
- Inserir email profissional
[email protected] - Password → MFA (FIDO2/Authenticator)
- Escolher “Allow my organization to manage my device” → “Yes”
- Reiniciar
5.4 Verificar o Device Aparece no Entra ID
- Abrir Entra Admin Center → Devices > All devices
- Procurar pelo hostname (ex:
LAPTOP-DUARTE) - Verificar coluna “Join type” =
Microsoft Entra joined - Verificar coluna “MDM” =
Intune(se Intune estiver configurado) ou vazio (se só join sem Intune)
💡 Recovery keys ficam acessíveis em Devices > All devices > [device] >
⚠️ Clear TPM com BitLocker ativo = bloqueio total do disco. Sempre que fizer
6. Configurar BitLocker Recovery Key no Entra ID (Via Intune)
Este é o cenário produtivo: Intune configura BitLocker automaticamente em 100 devices e envia a recovery key para o Entra ID (auditoria centralizada).
6.1 Ativar o Backup Automático para Entra ID
No Intune, criar ou editar um Endpoint Security profile:
- Endpoint Security > Disk encryption > Create profile
- Platform: Windows 10 and later
- Profile type: Disk encryption
- Nome:
BitLocker PME 2026 — Entra ID Backup - Configurações:
- Require Device Encryption:
Required - Configure encryption method:
Enable(XTS-AES-256) - Configure primary encryption method:
XtsAes256 - Require encryption on mobile devices:
Required - Allow warning for other disk encryption:
Block - User prompt for encryption:
Block
- Assignments > Add group:
All Devices(ou grupo específico de portáteis) - Save
Testado em: documentação Microsoft Learn (Endpoint Security Disk encryption), 2026-06-14. Configuração validada na UI Intune via screenshots, mas não deployada em tenant produtivo (Duarte não tem M365 ativo).
6.2 Verificar Backup Funcionou
Após deploy do perfil Intune + reboot do device:
# Verificar se a key foi enviada para Entra ID
manage-bde -protectors -get C:
Procurar a entrada “Numerical Password: ID = {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}”. Esta key aparece automaticamente no Entra ID em Devices > [device] > BitLocker keys.
O que FOI testado
- 2026-06-10 a 2026-06-14: Pesquisa em 12 URLs Microsoft Learn (BitLocker Overview, Entra joined device, Intune device restrictions, Windows Autopilot deployment guide, dsregcmd, manage-bde, BackupToAAD-BitLockerKeyProtector, Windows Hello for Business, BitLocker Group Policy, Encryption methods, Self-encrypting drives, BitLocker recovery key guide). Todas validadas a 200 OK (verificação manual de HTTP status).
- 2026-06-12: Azure VM Standard_B2s (Windows 11 24H2 Pro, en-US) — verificação de UI: Manage BitLocker (control /name Microsoft.BitLockerDriveEncryption), Settings > Accounts > Access work or school, tpm.msc, msinfo32, winver. Sem BitLocker ativo (Azure VM não tem TPM 2.0 físico, é virtual — testes de UI apenas).
- 2026-06-13: PowerShell 7.4 em host Linux — verificação sintática dos cmdlets
Get-Tpm,Get-BitLockerVolume,Enable-BitLocker,Add-BitLockerKeyProtector,BackupToAAD-BitLockerKeyProtector,manage-bde,Confirm-SecureBootUEFI. Sem execução real (não há Windows físico com BitLocker disponível ao Duarte). - 2026-06-14: Pesquisa no kbase.pt (sitemap com 243+ artigos) — confirmada ausência de artigos dedicados a BitLocker ou Entra ID Join. Único artigo relacionado: Windows 11 24H2/25H2 Migration (linkado em
related:).
O que NÃO foi testado
- BitLocker encriptação real: o Duarte não tem hardware Windows 11 físico com BitLocker ativo. Os cmdlets foram validados sintaticamente, não executados contra um disco real. Testes de tempo de encriptação (5-15 min para SSD), impacto de performance, comportamento em clear TPM, etc. são extrapolados da documentação Microsoft e de experiência de comunidade.
- Entra ID join com tenant M365 produtivo: o Duarte não tem M365 ativo (trial E5 expirado 2026-04-30). O workflow de join foi seguido visualmente em Azure VM, mas o
dsregcmd /statusnão mostra join real. - Windows Autopilot: não testado em hardware real. Workflow documentado com base em Microsoft Learn e casos públicos (Dell TechDirect, Lenovo Zero Touch, HP RGS). Procedimento de extração de hardware hash via
Get-WindowsAutopilotInfo.ps1validado sintaticamente. - Intune profile para BitLocker: configuração de Endpoint Security > Disk encryption documentada mas não deployada em tenant produtivo. Sem teste de backup automático de recovery key.
- PIM, audit logs, Customer Key, Defender for Endpoint integration: documentados com base em Microsoft Learn, não testados em ambiente real.
- CEN/TS 18075 (Common Criteria BitLocker): mencionado na doc oficial mas não explorado em detalhe neste artigo (nicho).
Hardware do autor
- Termux num Samsung SM-G986B (Android 13, OneUI 5.1, kernel 4.14.190-perf+). Sem WSL, sem Windows físico, sem GPU x86_64, sem TPM 2.0, sem M365 produtivo. Validação feita em Azure VM Standard_B2s (Windows 11 24H2 Pro, en-US, sem TPM virtual) para screenshots de UI.
- Limitação crítica: o Duarte não pode testar BitLocker em hardware real porque não tem PC com Windows. Os comandos PowerShell foram validados contra a sintaxe da documentação Microsoft, mas o output esperado pode variar em hardware com TPM diferente, BIOS OEM específico (Dell/HP/Lenovo têm quirks conhecidos), ou versões OEM do Windows (Dell tem software de gestão próprio).
Vigilância temporal
- Validade deste artigo: até Dez-2027 (18 meses a partir de 2026-06-15).
- Razão: BitLocker e Entra ID são frameworks estáveis com poucas mudanças ano-a-ano. Mudanças previsíveis até Dez-2027: (1) renomeações dentro da marca “Entra” (e.g. eventual Microsoft Entra ID v2), (2) novos métodos de autenticação (FIDO2 obrigatório, passwordless completo), (3) Windows 12 (provável Out-2026) com novos pré-requisitos TPM, (4) NIS2 2.0 (revisão a cada 2 anos, próximo 2028).
- Verificar antes de aplicar: confirmar versões de PowerShell (5.1 built-in, 7.4 PS Core), cmdlets Microsoft.Graph (substituem MSOnline desde 2024), e interface do portal Entra (Microsoft renomeia menus com frequência — a localização exata de “Devices > BitLocker keys” pode mudar).
Artigos relacionados
- BitLocker + Entra Hybrid Join + Entra Connect 2026 — a versão hybrid deste guia, para ambientes com AD on-premises e Entra Connect Sync.
- Microsoft Entra MFA 2026 — complementar ao Entra ID Join para garantir autenticação forte nos dispositivos.
- Zero Trust para PMEs 2026 — enquadrar o Entra ID Join e BitLocker num modelo Zero Trust.
- NIS2: Implementação em 90 Dias — a encriptação de disco e identidade são pilares de compliance NIS2.
