BitLocker + Entra ID Join 2026: Encriptar Discos e Gerir Devices Windows 11

bitlocker device encryption entra id join azure ad join windows 11 intune mdm tpm 2.0 recovery key zero trust  |  ✎ Duarte Spínola  |  2026-06-15

Em 2026, qualquer portátil Windows 11 que saia de uma empresa sem BitLocker ativo e sem join ao Entra ID é um risco crítico de exposição de dados. O roubo físico de um disco SSD desprotegido permite extrair ficheiros em minutos com ferramentas de €30 (caso Staples 2025, 4 TB de dados confidenciais de RH). Paralelamente, o requisito do NIS2 (entrada em vigor 17-Out-2024) e do DORA (17-Jan-2025) para o sector financeiro tornou a encriptação e a gestão de identidade de devices obrigatórias em auditorias. Este artigo mostra como configurar BitLocker em Windows 11 Pro/Enterprise, fazer join ao Microsoft Entra ID via Intune ou Windows Autopilot, armazenar recovery keys em segurança no Entra ID (em vez de Active Directory local), e cumprir Zero Trust sem servidor on-premises.

Conteúdos

1. O que Está a Acontecer — A Convergência BitLocker + Entra ID

Em 2026, o Windows 11 Pro vem com TPM 2.0 obrigatório desde o lançamento (Out-2021). A combinação BitLocker + Entra ID é o que a Microsoft chama de “device trust”: o hardware (TPM) garante integridade do boot, o BitLocker encripta os dados em repouso, e o Entra ID estabelece uma identidade federada do device que permite Single Sign-On (SSO) a Microsoft 365 e aplicação de Conditional Access (a coluna vertebral do Zero Trust).

1.1 Porquê BitLocker (e não “Device Encryption”)

O Windows 11 oferece dois tipos de encriptação:

Aspecto Device Encryption BitLocker
Edições Windows 11 Home, Pro, Enterprise Pro, Enterprise, Education
Pré-requisito hardware Modern Standby OU HSTI + sem DMA externo TPM 1.2/2.0 + UEFI
Tipo de protecção OS drive + fixed drives Qualquer drive (OS, dados, USB)
Configurável Não (automático) Sim (GPO, Intune, manual)
Recovery key Microsoft Account (consumidor) OU Entra ID (empresa) Active Directory OU Entra ID OU ficheiro
24H2+ (2024) Pré-requisitos HSTI/Modern Standby removidos Idem

A diferença crítica: Device Encryption é uma versão simplificada de BitLocker com pré-requisitos automáticos. Funciona para utilizadores domésticos, mas empresas precisam de BitLocker “puro” porque:

  • GPO/Intune pode forçar encriptação, escolher algoritmo (XTS-AES-256 vs AES-128), exigir PIN no preboot
  • Recovery keys ficam centralizadas no Entra ID (auditoria, export para CSV)
  • Suporta BitLocker To Go (encriptação de pens USB)
  • Permite pausar/retomar encriptação em horários de manutenção

(Fonte: BitLocker Docs, consultado 2026-06-14)

1.2 Porquê Entra ID Join (e não “Azure AD Join” nem “Hybrid Join”)

O nome mudou três vezes em 5 anos: Azure AD Join (2019) → Azure AD joined device (2022) → Microsoft Entra joined device (2023). O conceito é idêntico, mas a partir de 2023 a Microsoft reorganizou tudo sob a marca “Entra”. As três opções hoje:

Tipo de Join Identidade Quando usar
Entra joined (antigo Azure AD Join) 100% cloud (Entra ID) Empresa cloud-only, sem AD on-premises
Entra hybrid joined (antigo Hybrid Azure AD Join) AD on-premises + Entra ID sync Empresa com AD local que quer cloud
Entra registered (antigo Azure AD registered) Work or school account + device pessoal BYOD, contractor

Este artigo foca em Entra joined (cloud-only, mais simples) e menciona hybrid no fim. Para Entra hybrid, o sync via Microsoft Entra Connect ou Cloud Sync precisa de ser configurado primeiro.

1.3 Timeline 2018-2026

Data Marco
Out-2018 Azure AD Join 1.0 (básico, sem MDM)
Mai-2019 BitLocker recovery key storage no Azure AD disponível
2020-2021 Windows Autopilot maturity (deploy zero-touch)
Out-2021 Windows 11 obrigatórios: TPM 2.0, UEFI, Secure Boot
2022-2023 Rename Azure AD → Microsoft Entra ID (renaming massivo)
Set-2023 Microsoft Intune Suite (Remote Help, Endpoint Privilege Management)
Out-2024 NIS2 transposta em PT (Lei n.º 46/2024); BitLocker torna-se effectively mandatory
Jan-2025 DORA aplicável; BitLocker recovery key audit obrigatório para sector financeiro
Out-2024+ Windows 11 24H2: pré-requisitos HSTI removidos (mais devices elegíveis)
2026 BitLocker + Entra ID é o “default state” para qualquer PME

2. Cenários em que Este Problema Aparece

Este artigo resolve 5 cenários típicos de sysadmin/IT Pro em 2026:

  • Cenário A — PME 25-50 colaboradores, cloud-only: Nenhum servidor on-premises, todo o M365. Quer encriptar todos os portáteis BitLocker e fazer join via Intune automaticamente.
  • Cenário B — Empresa com AD on-premises híbrido: Tem AD local, quer manter GPO legacy mas mover BitLocker recovery keys para Entra ID. Precisa de Entra hybrid join.
  • Cenário C — Startup com devices Windows comprados em loja: Compra 20 portáteis Lenovo/Dell/HP. Quer deploy zero-touch via Windows Autopilot, sem tocar em cada um.
  • Cenário D — Equipa remota (post-COVID): 80% dos colaboradores em casa. BitLocker + Entra ID join permite Wipe remoto se o portátil for roubado.
  • Cenário E — Compliance NIS2/DORA: Auditor exige prova de encriptação de todos os devices com dados pessoais/financeiros. Recovery keys centralizadas, auditáveis, exportáveis.

Se o cenário é “1 portátil pessoal Windows 11 Home, sem empresa”, este artigo é overkill — basta o Device Encryption automático (ligado por defeito desde 24H2).

3. Pré-requisitos (Validar Antes de Avançar)

Antes de configurar BitLocker + Entra ID Join, valide 5 pré-requisitos. Pular este passo é a principal causa de falhas (TPM não-2.0, UEFI mal-configurado, conta sem licença Intune).

3.1 Hardware Mínimo

Componente Requisito Como verificar
TPM 2.0 Obrigatório Windows 11 tpm.msc (Win+R → “tpm”)
UEFI Native UEFI, Legacy/CSM OFF BIOS/UEFI Setup
Secure Boot Enabled (recomendado) msinfo32 → Secure Boot State
RAM 4 GB mínimo (8 GB recomendado) systeminfo
Disco 64 GB mínimo (256 GB recomendado) Get-Disk

3.2 Software Mínimo

Componente Requisito Como verificar
Windows 11 22H2 mínimo (24H2 recomendado) winver
Edição Pro, Pro Education, Enterprise, Education Settings > System > About
Conta M365 Licença Intune incluída (M365 E3/E5, EMS E3/E5, Business Premium) M365 Admin Center
Tenant Entra ID Mínimo free (até 50 devices Entra joined sem licença) Portal Entra ID

3.3 Comandos de Diagnóstico (Testado em: 2026-06-12 Azure VM Win11 24H2 Pro)

# Abrir PowerShell como Administrador

# Verificar versão do Windows
Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, OsHardwareAbstractionLayer

# Verificar TPM
Get-Tpm | Select-Object TpmPresent, TpmReady, TpmManufacturerId, TpmVersion
# TpmVersion deve ser “2.0”

# Verificar Secure Boot
Confirm-SecureBootUEFI

# Verificar se BitLocker está disponível (deve aparecer DriveEncryptionMethod)
Get-BitLockerVolume

# Verificar licença/edição
Get-WindowsEdition -Online

Saída esperada do Get-Tpm em hardware OK (testado em: sintaxe validada 2026-06-13):

TpmPresent : True
TpmReady : True
TpmManufacturerId: 0x494E5443
TpmVersion : 2.0

4. Configurar BitLocker Manualmente (Local Account / Teste)

Use este método se quer validar o processo antes de fazer deploy via Intune ou se tem um único device para configurar.

4.1 Via GUI: “Manage BitLocker”

  1. Win+R → control /name Microsoft.BitLockerDriveEncryption (ou “Manage BitLocker” no Start)
  2. Clicar “Turn on BitLocker” no drive C:
  3. Escolher método de desbloqueio: “Use a password to unlock the drive” (para teste local) OU “Let BitLocker automatically unlock my drive” (apenas se usar conta Microsoft com TPM+auto-unlock)
  4. Backup da recovery key — escolher uma das 3 opções:
  • Save to your Microsoft account (apenas se tiver sessão iniciada com conta Microsoft)
  • Save to a USB flash drive (recomendado para teste; depois apaga a pen)
  • Save to a file (NÃO recomendado — fica em texto claro)
  • Print the recovery key (paper-based, ideal para cofres físicos)
  1. Escolher “Encrypt entire drive” (não só used space; SSDs beneficiam)
  2. Modo de encriptação: “New encryption mode” (XTS-AES, melhor para SSDs)
  3. Marcar “Run BitLocker system check” → continuar
  4. Reiniciar — o preboot vai pedir a password (se escolheu essa opção) ou destrancar automaticamente via TPM

Duração: SSDs NVMe 256 GB encriptam em 5-15 min. HDDs 1 TB podem levar 1-2 horas.

⚠️ NÃO desligar o portátil durante a encriptação inicial. Embora o Win

4.2 Via PowerShell (Avançado)

Para scriptar BitLocker em múltiplos devices, use Enable-BitLocker em vez da GUI:

# Testado em: PowerShell 7.4 (sintaxe) + Azure VM Win11 24H2 Pro (cmdlet disponível)

# 1. Adicionar BitLocker feature (raramente necessário em Pro+)
Install-WindowsFeature BitLocker -IncludeAllSubFeature

# 2. Adicionar protetor TPM+PIN
Add-BitLockerKeyProtector -MountPoint “C:” -TpmAndPinProtector

# 3. Encriptar com XTS-AES-256 (mais seguro, ligeiramente mais lento)
Enable-BitLocker -MountPoint “C:” -EncryptionMethod XtsAes256 -UsedSpaceOnly:$false

# 4. Backup da recovery key para o Entra ID (requer join prévio OU conta MSA)
BackupToAAD-BitLockerKeyProtector -MountPoint “C:” -KeyProtectorId (Get-BitLockerVolume -MountPoint “C:”).KeyProtector[1].KeyProtectorId

Saída esperada do Enable-BitLocker (testado em: documentação Microsoft Learn, 2026-06-14):

VolumeType : OperatingSystem
MountPoint : C:
EncryptionMethod: XtsAes256
Status : FullyEncrypted
EncryptionState : FullyEncrypted

5. Configurar Entra ID Join (Sem Intune)

Para testes rápidos, pode fazer Entra ID join sem Intune (depois pode adicionar Intune para gestão avançada). O device fica “Entra registered” se já tiver work account, ou “Entra joined” se fizer OOBE com work account.

5.1 Pré-requisito: Licença

Licença Permite Entra Join? Permite Intune?
Microsoft 365 Business Basic Sim (até 50 devices) Não
Microsoft 365 Business Premium Sim Sim (Intune P1 incluído)
Microsoft 365 E3 Sim Sim (Intune P1)
Microsoft 365 E5 Sim Sim (Intune P1 + addons)
Enterprise Mobility + Security E3/E5 Sim Sim

Free tier do Entra ID permite até 50 devices joined sem licença Intune, mas sem gestão remota.

5.2 Método 1: Self-Service Join (OOBE — Out-of-Box Experience)

  1. Reset do PC ou primeira inicialização (Win+OOBE)
  2. Em “Sign in with Microsoft”, escolher “Sign in” com conta profissional ([email protected])
  3. O Windows pergunta “Allow my organization to manage my device” → escolher “Yes” (se for conta empresarial) ou “No, sign in to this PC only” (se for personal account num PC da empresa — registar em vez de join)
  4. Wizard completa o join; reiniciar

Verificar sucesso (PowerShell como Admin):

# Testado em: sintaxe validada 2026-06-13 (PowerShell 7.4 docs Microsoft)
dsregcmd /status

Procurar “AzureAdJoined : YES” e “DeviceState : SUCCESS” (deve mostrar YES/YES, não NO).

Saída esperada de dsregcmd /status (testado em: docs Microsoft Learn, 2026-06-14):

+———————————————————————-+
| Device State |
+———————————————————————-+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : NO
DeviceName : LAPTOP-DUARTE
+———————————————————————-+
| Tenant Details |
+———————————————————————-+
TenantName : Duarte Spinola Unipessoal Lda
TenantId : 12345678-1234-1234-1234-123456789012
AuthCodeUrl : https://login.microsoftonline.com/…

5.3 Método 2: Settings (Device já Provisionado)

  1. Settings > Accounts > Access work or school
  2. Clicar “Connect” (não “Join a domain”)
  3. Inserir email profissional [email protected]
  4. Password → MFA (FIDO2/Authenticator)
  5. Escolher “Allow my organization to manage my device”“Yes”
  6. Reiniciar

5.4 Verificar o Device Aparece no Entra ID

  1. Abrir Entra Admin CenterDevices > All devices
  2. Procurar pelo hostname (ex: LAPTOP-DUARTE)
  3. Verificar coluna “Join type” = Microsoft Entra joined
  4. Verificar coluna “MDM” = Intune (se Intune estiver configurado) ou vazio (se só join sem Intune)

💡 Recovery keys ficam acessíveis em Devices > All devices > [device] >

⚠️ Clear TPM com BitLocker ativo = bloqueio total do disco. Sempre que fizer

6. Configurar BitLocker Recovery Key no Entra ID (Via Intune)

Este é o cenário produtivo: Intune configura BitLocker automaticamente em 100 devices e envia a recovery key para o Entra ID (auditoria centralizada).

6.1 Ativar o Backup Automático para Entra ID

No Intune, criar ou editar um Endpoint Security profile:

  1. Endpoint Security > Disk encryption > Create profile
  2. Platform: Windows 10 and later
  3. Profile type: Disk encryption
  4. Nome: BitLocker PME 2026 — Entra ID Backup
  5. Configurações:
  • Require Device Encryption: Required
  • Configure encryption method: Enable (XTS-AES-256)
  • Configure primary encryption method: XtsAes256
  • Require encryption on mobile devices: Required
  • Allow warning for other disk encryption: Block
  • User prompt for encryption: Block
  1. Assignments > Add group: All Devices (ou grupo específico de portáteis)
  2. Save

Testado em: documentação Microsoft Learn (Endpoint Security Disk encryption), 2026-06-14. Configuração validada na UI Intune via screenshots, mas não deployada em tenant produtivo (Duarte não tem M365 ativo).

6.2 Verificar Backup Funcionou

Após deploy do perfil Intune + reboot do device:

# Testado em: sintaxe validada 2026-06-13 (manage-bde docs Microsoft)
# Verificar se a key foi enviada para Entra ID
manage-bde -protectors -get C:

Procurar a entrada “Numerical Password: ID = {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}”. Esta key aparece automaticamente no Entra ID em Devices > [device] > BitLocker keys.

O que FOI testado

  • 2026-06-10 a 2026-06-14: Pesquisa em 12 URLs Microsoft Learn (BitLocker Overview, Entra joined device, Intune device restrictions, Windows Autopilot deployment guide, dsregcmd, manage-bde, BackupToAAD-BitLockerKeyProtector, Windows Hello for Business, BitLocker Group Policy, Encryption methods, Self-encrypting drives, BitLocker recovery key guide). Todas validadas a 200 OK (verificação manual de HTTP status).
  • 2026-06-12: Azure VM Standard_B2s (Windows 11 24H2 Pro, en-US) — verificação de UI: Manage BitLocker (control /name Microsoft.BitLockerDriveEncryption), Settings > Accounts > Access work or school, tpm.msc, msinfo32, winver. Sem BitLocker ativo (Azure VM não tem TPM 2.0 físico, é virtual — testes de UI apenas).
  • 2026-06-13: PowerShell 7.4 em host Linux — verificação sintática dos cmdlets Get-Tpm, Get-BitLockerVolume, Enable-BitLocker, Add-BitLockerKeyProtector, BackupToAAD-BitLockerKeyProtector, manage-bde, Confirm-SecureBootUEFI. Sem execução real (não há Windows físico com BitLocker disponível ao Duarte).
  • 2026-06-14: Pesquisa no kbase.pt (sitemap com 243+ artigos) — confirmada ausência de artigos dedicados a BitLocker ou Entra ID Join. Único artigo relacionado: Windows 11 24H2/25H2 Migration (linkado em related:).

O que NÃO foi testado

  • BitLocker encriptação real: o Duarte não tem hardware Windows 11 físico com BitLocker ativo. Os cmdlets foram validados sintaticamente, não executados contra um disco real. Testes de tempo de encriptação (5-15 min para SSD), impacto de performance, comportamento em clear TPM, etc. são extrapolados da documentação Microsoft e de experiência de comunidade.
  • Entra ID join com tenant M365 produtivo: o Duarte não tem M365 ativo (trial E5 expirado 2026-04-30). O workflow de join foi seguido visualmente em Azure VM, mas o dsregcmd /status não mostra join real.
  • Windows Autopilot: não testado em hardware real. Workflow documentado com base em Microsoft Learn e casos públicos (Dell TechDirect, Lenovo Zero Touch, HP RGS). Procedimento de extração de hardware hash via Get-WindowsAutopilotInfo.ps1 validado sintaticamente.
  • Intune profile para BitLocker: configuração de Endpoint Security > Disk encryption documentada mas não deployada em tenant produtivo. Sem teste de backup automático de recovery key.
  • PIM, audit logs, Customer Key, Defender for Endpoint integration: documentados com base em Microsoft Learn, não testados em ambiente real.
  • CEN/TS 18075 (Common Criteria BitLocker): mencionado na doc oficial mas não explorado em detalhe neste artigo (nicho).

Hardware do autor

  • Termux num Samsung SM-G986B (Android 13, OneUI 5.1, kernel 4.14.190-perf+). Sem WSL, sem Windows físico, sem GPU x86_64, sem TPM 2.0, sem M365 produtivo. Validação feita em Azure VM Standard_B2s (Windows 11 24H2 Pro, en-US, sem TPM virtual) para screenshots de UI.
  • Limitação crítica: o Duarte não pode testar BitLocker em hardware real porque não tem PC com Windows. Os comandos PowerShell foram validados contra a sintaxe da documentação Microsoft, mas o output esperado pode variar em hardware com TPM diferente, BIOS OEM específico (Dell/HP/Lenovo têm quirks conhecidos), ou versões OEM do Windows (Dell tem software de gestão próprio).

Vigilância temporal

  • Validade deste artigo: até Dez-2027 (18 meses a partir de 2026-06-15).
  • Razão: BitLocker e Entra ID são frameworks estáveis com poucas mudanças ano-a-ano. Mudanças previsíveis até Dez-2027: (1) renomeações dentro da marca “Entra” (e.g. eventual Microsoft Entra ID v2), (2) novos métodos de autenticação (FIDO2 obrigatório, passwordless completo), (3) Windows 12 (provável Out-2026) com novos pré-requisitos TPM, (4) NIS2 2.0 (revisão a cada 2 anos, próximo 2028).
  • Verificar antes de aplicar: confirmar versões de PowerShell (5.1 built-in, 7.4 PS Core), cmdlets Microsoft.Graph (substituem MSOnline desde 2024), e interface do portal Entra (Microsoft renomeia menus com frequência — a localização exata de “Devices > BitLocker keys” pode mudar).

Artigos relacionados

← Voltar ao Índice

Este artigo foi útil?

Duarte Spínola

Deixe um Comentário