Beveiliging van endpoints is tegenwoordig geen luxe meer, maar een noodzaak. Gelukkig helpt Microsoft BitLocker daarbij door schijven te versleutelen. Maar wat als BitLocker nog niet actief is op een apparaat? Of als de recovery key niet goed is opgeslagen?<\/p>\n\n\n\n
Met dit PowerShell-script wordt dat automatisch gecontroleerd \u00e9n opgelost. \ud83d\ude80<\/p>\n\n\n\n
Het script controleert of BitLocker correct is ingesteld op een Windows-apparaat en voert waar nodig automatisch herstelacties uit. Ideaal voor beheer via Intune<\/strong>, beheerplatformen<\/strong> of handmatige deployments.<\/p>\n\n\n\n Het script voert meerdere controles uit om te garanderen dat BitLocker correct en veilig is geconfigureerd.<\/p>\n\n\n\n Het script controleert eerst of er een TPM-chip aanwezig en klaar voor gebruik<\/strong> is. Zonder TPM kan BitLocker namelijk niet op de standaard veilige manier worden ingezet.<\/p>\n\n\n\n Daarna wordt gecontroleerd of BitLocker al actief is op de systeemschijf.<\/p>\n\n\n\n Is BitLocker nog niet ingeschakeld? Een recovery key is essentieel wanneer toegang tot het systeem verloren dreigt te gaan. Het script controleert daarom of een Recovery Password Protector<\/strong> aanwezig is.<\/p>\n\n\n\n Ontbreekt deze? Dan wordt hij automatisch toegevoegd.<\/p>\n\n\n\n Voor centraal beheer wordt de recovery key automatisch geback-upt naar Entra ID (Azure AD)<\/strong>. Hierdoor kunnen beheerders de sleutel altijd terugvinden wanneer dat nodig is.<\/p>\n\n\n\n Het script maakt uitgebreide logs met onder andere:<\/p>\n\n\n\n Daarnaast wordt een transcriptbestand<\/strong> aangemaakt dat automatisch wordt gekopieerd naar de Intune Management Extension logs<\/strong>. Zo blijft troubleshooting eenvoudig.<\/p>\n\n\n\n In grotere omgevingen komt het regelmatig voor dat:<\/p>\n\n\n\n Dit script lost die problemen automatisch op en zorgt voor een consistente beveiligingsconfiguratie op alle apparaten<\/strong>.<\/p>\n\n\n\n Perfect dus voor gebruik als:<\/p>\n\n\n\n Het script werkt op:<\/p>\n\n\n\n Uitvoering moet plaatsvinden als Administrator of SYSTEM<\/strong>.<\/p>\n\n\n\n Met dit script zorg je ervoor dat:<\/p>\n\n\n\n \u2705 BitLocker automatisch wordt ingeschakeld Een krachtige manier om endpoint-beveiliging automatisch af te dwingen binnen je organisatie<\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":" Beveiliging van endpoints is tegenwoordig geen luxe meer, maar een noodzaak. Gelukkig helpt Microsoft BitLocker daarbij door schijven<\/p>\n","protected":false},"author":2,"featured_media":111,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[13,6],"tags":[],"class_list":["post-110","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-intune","category-powershell"],"_links":{"self":[{"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/posts\/110","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/unen.nl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=110"}],"version-history":[{"count":2,"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/posts\/110\/revisions"}],"predecessor-version":[{"id":119,"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/posts\/110\/revisions\/119"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/media\/111"}],"wp:attachment":[{"href":"https:\/\/unen.nl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=110"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unen.nl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=110"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unen.nl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=110"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n\n\n\n\u2699\ufe0f Wat doet het script precies?<\/h2>\n\n\n\n
\ud83d\udd0d Controle op TPM<\/h3>\n\n\n\n
\ud83d\udd10 BitLocker status controleren<\/h3>\n\n\n\n
Dan wordt de versleuteling automatisch gestart met XTS-AES-256 encryptie<\/strong>.<\/p>\n\n\n\n\ud83d\udddd Recovery key controleren<\/h3>\n\n\n\n
\u2601\ufe0f Backup naar Entra ID \/ Azure AD<\/h3>\n\n\n\n
\ud83d\udcdd Logging en troubleshooting<\/h3>\n\n\n\n
\n
\n\n\n\n\ud83d\udca1 Waarom dit handig is<\/h2>\n\n\n\n
\n
\n
\n\n\n\n\ud83d\udda5 Ondersteunde systemen<\/h2>\n\n\n\n
\n
\n\n\n\n\ud83d\udcbb Het PowerShell-script<\/h1>\n\n\n\n
param ([switch]$Silent)
<#
.NOTES
===========================================================================
Created on: 2025-06-21
Updated on: 2026-03-12
Created by: Vincent van Unen
Filename: SCA_BitlockercheckenFix.ps1
Version: 1.3.1
===========================================================================
.DESCRIPTION
Remediation - BitLocker inschakelen en recovery key back-uppen
- Controleert of TPM aanwezig en gereed is
- Controleert of BitLocker al actief is, zo niet, dan wordt het ingeschakeld
- Controleert of een Recovery Password protector aanwezig is, zo niet, dan wordt deze toegevoegd
- Back-upt de recovery key naar Entra ID\/Azure AD (indien cmdlet beschikbaar)
- Hard Block: stopt veilig als TPM reset\/herinitialisatie nodig lijkt
- Pending reboot guard: voorkomt FVE_E_REBOOT_REQUIRED tijdens run
- Geschikt voor Windows 10\/11 Pro, Enterprise en Education
- Uitvoeren als administrator \/ SYSTEM
.CHANGELOG
[1.3.1] 2026-03-12 - FIX: bij bestaande TPM-protector eerst
'manage-bde -protectors -enable' en daarna 'manage-bde -on'
(anders start encryptie niet ondanks aanwezige protectors)
[1.3] 2026-03-12 - Duplication-safe enable (manage-bde fallback), Hard Block bij TPM not-ready,
verbeterde foutbranching (0x80310031\/0x8031004E), logging aangescherpt
[1.2] 2026-03-12 - Correct parameterset (-TpmProtector), pending reboot guard, extra logging
[1.1] 2026-03-09 - Opschoning, robuustere logging, betere foutafhandeling
[1.0] 2025-06-21 - Eerste versie
#>
#region Script metadata
$ScriptAuthor = \"Vincent van Unen\"
$ScriptVersion = \"1.3.1\"
$ScriptChangeDate = \"2026-03-12\"
$ScriptCurrentUser = $env:UserName
$ScriptRunningDevice = $env:COMPUTERNAME
$CurrentDate = Get-Date -Format \"yyyy-MM-dd\"
$LogName = \"SCA_CheckenFix_BitLocker\"
#endregion Script metadata
#region Configuration
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
$MaximumFunctionCount = 16384
$MaximumVariableCount = 16384
$TempDirs = @(\"C:\\Temp\",\"C:\\Tmp\",\"C:\\Log\")
$LogDirectory = \"C:\\Log\"
$LogFile = Join-Path $LogDirectory \"$LogName $CurrentDate.log\"
$TranscriptFile = Join-Path $LogDirectory \"${CurrentDate}_${LogName}_Transcript.log\"
$IntuneLogFolder = \"C:\\ProgramData\\Microsoft\\IntuneManagementExtension\\Logs\"
$TranscriptStarted = $false
$ExitCode = 1
$OSDrive = $env:SystemDrive
#endregion Configuration
#region Functions
function Write-Log {
[CmdletBinding()]
param (
[ValidateSet(\"INFO\",\"WARN\",\"ERROR\",\"FATAL\",\"DEBUG\")]
[string]$Level = \"INFO\",
[Parameter(Mandatory = $true)][string]$Message,
[string]$Path = $LogFile
)
try {
$timestamp = (Get-Date).ToString(\"yyyy-MM-dd HH:mm:ss.fff\")
Add-Content -Path $Path -Value \"[$timestamp] [$Level] $Message\" -ErrorAction Stop
} catch {
Write-Warning \"Logging mislukt: $($_.Exception.Message)\"
}
}
function Write-ConsoleAndLog {
param (
[Parameter(Mandatory = $true)][string]$Message,
[ValidateSet(\"INFO\",\"WARN\",\"ERROR\",\"FATAL\",\"DEBUG\")]
[string]$Level = \"INFO\"
)
if (-not $Silent) { Write-Output $Message }
Write-Log -Level $Level -Message $Message
}
function Test-IsAdministrator {
try {
if ($env:USERNAME -eq 'SYSTEM') { return $true }
$currentIdentity = [Security.Principal.WindowsIdentity]::GetCurrent()
$principal = New-Object Security.Principal.WindowsPrincipal($currentIdentity)
return $principal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)
} catch { return $false }
}
function Get-PublicIP {
try { return (Invoke-RestMethod -Uri \"https:\/\/ifconfig.me\/ip\" -TimeoutSec 10 -ErrorAction Stop).Trim() }
catch { return \"Onbekend\" }
}
function Get-PrivateIP {
try {
$ip = Get-NetIPAddress -AddressFamily IPv4 -ErrorAction Stop |
Where-Object { $_.IPAddress -notlike \"169.254.*\" -and $_.IPAddress -ne \"127.0.0.1\" -and $_.PrefixOrigin -ne \"WellKnown\" } |
Sort-Object InterfaceMetric | Select-Object -First 1 -ExpandProperty IPAddress
if ([string]::IsNullOrWhiteSpace($ip)) { return \"Onbekend\" }
return $ip
} catch { return \"Onbekend\" }
}
function Test-PendingReboot {
<# Detecteert veelvoorkomende reboot-triggers (CBS, pendmoves, WU, naamwijziging) #>
try {
if (Get-ItemProperty -Path 'HKLM:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Component Based Servicing\\RebootPending' -ErrorAction SilentlyContinue) { return $true }
$pn = Get-ItemProperty -Path 'HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Session Manager' -Name 'PendingFileRenameOperations' -ErrorAction SilentlyContinue
if ($pn -and $pn.PendingFileRenameOperations) { return $true }
if (Get-ItemProperty -Path 'HKLM:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\WindowsUpdate\\Auto Update\\RebootRequired' -ErrorAction SilentlyContinue) { return $true }
$nm = Get-ItemProperty -Path 'HKLM:\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ComputerName' -ErrorAction SilentlyContinue
$an = Get-ItemProperty -Path 'HKLM:\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ActiveComputerName' -ErrorAction SilentlyContinue
if ($nm -and $an -and $nm.ComputerName -ne $an.ComputerName) { return $true }
return $false
} catch {
Write-ConsoleAndLog -Level \"WARN\" -Message \"Pending reboot check mislukt: $($_.Exception.Message)\"
return $false
}
}
#endregion Functions
#region Preparation
foreach ($dir in $TempDirs) {
if (-not (Test-Path -Path $dir)) { New-Item -ItemType Directory -Path $dir -Force | Out-Null }
}
Write-Log -Message \"Current Date = $CurrentDate\"
Write-Log -Message \"Script Author = $ScriptAuthor\"
Write-Log -Message \"Script Version = $ScriptVersion\"
Write-Log -Message \"Script ChangeDate = $ScriptChangeDate\"
Write-Log -Message \"Current User Running this script = $ScriptCurrentUser\"
Write-Log -Message \"Current Device Running this script = $ScriptRunningDevice\"
Write-Log -Message \"Current Public IP = $(Get-PublicIP)\"
Write-Log -Message \"Current Private IP = $(Get-PrivateIP)\"
try {
Start-Transcript -Path $TranscriptFile -Force -ErrorAction Stop | Out-Null
$TranscriptStarted = $true
Write-Log -Message \"Transcript gestart: $TranscriptFile\"
} catch {
Write-Log -Level \"WARN\" -Message \"Transcript kon niet worden gestart: $($_.Exception.Message)\"
}
#endregion Preparation
try {
Write-ConsoleAndLog -Message \"Start controle op TPM en BitLocker.\"
if (-not (Test-IsAdministrator)) { throw \"Dit script moet worden uitgevoerd als administrator of SYSTEM.\" }
# Pending reboot guard \u2013 voorkomt FVE_E_REBOOT_REQUIRED (0x8031004E)
if (Test-PendingReboot) {
throw \"Herstart vereist voordat BitLocker kan worden ingeschakeld (FVE_E_REBOOT_REQUIRED, 0x8031004E).\"
}
# Cmdlets beschikbaar?
if (-not (Get-Command Get-BitLockerVolume -ErrorAction SilentlyContinue)) {
throw \"De BitLocker PowerShell-cmdlets zijn niet beschikbaar op dit systeem.\"
}
if (-not (Get-Command Get-Tpm -ErrorAction SilentlyContinue)) {
throw \"De TPM PowerShell-cmdlets zijn niet beschikbaar op dit systeem.\"
}
$BitLockerVolume = Get-BitLockerVolume -MountPoint $OSDrive -ErrorAction Stop
$TPM = Get-Tpm -ErrorAction Stop
Write-ConsoleAndLog -Message \"Controle van TPM en BitLocker gestart op $OSDrive.\"
# Hard Block: TPM aanwezig maar niet gereed \u2192 mogelijke TPM reset nodig (runbook)
if ($TPM.TpmPresent -and -not $TPM.TpmReady) {
Write-ConsoleAndLog -Level \"ERROR\" -Message \"HARD BLOCK: TPM is niet gereed. Remediation stopt. Volg het runbook 'TPM reset + BitLocker herstel'.\"
$ExitCode = 1
exit $ExitCode
}
if (-not $TPM.TpmPresent) { throw \"TPM is niet aanwezig. BitLocker kan niet met TPM worden geconfigureerd.\" }
if (-not $TPM.TpmEnabled) { throw \"TPM is uitgeschakeld. Schakel TPM in BIOS\/UEFI in.\" }
if (-not $TPM.TpmActivated) { throw \"TPM is niet geactiveerd. Activeer TPM in BIOS\/UEFI.\" }
# Protectors inventariseren
$RecoveryProtectors = $BitLockerVolume.KeyProtector | Where-Object { $_.KeyProtectorType -eq \"RecoveryPassword\" }
$TpmProtectors = $BitLockerVolume.KeyProtector | Where-Object { $_.KeyProtectorType -eq \"Tpm\" }
$HasTpmProtector = [bool]$TpmProtectors
# Recovery Password protector verplicht (voor backup naar Entra ID)
if (-not $RecoveryProtectors) {
Write-ConsoleAndLog -Message \"Recovery password protector ontbreekt. Deze wordt toegevoegd.\"
Add-BitLockerKeyProtector -MountPoint $OSDrive -RecoveryPasswordProtector -ErrorAction Stop | Out-Null
$BitLockerVolume = Get-BitLockerVolume -MountPoint $OSDrive -ErrorAction Stop
$RecoveryProtectors = $BitLockerVolume.KeyProtector | Where-Object { $_.KeyProtectorType -eq \"RecoveryPassword\" }
}
# TPM protector toevoegen als nog niet aanwezig
if (-not $HasTpmProtector) {
Write-ConsoleAndLog -Message \"TPM protector ontbreekt. Deze wordt toegevoegd.\"
Add-BitLockerKeyProtector -MountPoint $OSDrive -TpmProtector -ErrorAction Stop | Out-Null
$BitLockerVolume = Get-BitLockerVolume -MountPoint $OSDrive -ErrorAction Stop
$TpmProtectors = $BitLockerVolume.KeyProtector | Where-Object { $_.KeyProtectorType -eq \"Tpm\" }
$HasTpmProtector = [bool]$TpmProtectors
}
# BitLocker inschakelen (duplication-safe, met enable-protectors bij bestaande TPM)
if ($BitLockerVolume.VolumeStatus -eq \"FullyDecrypted\" -or $BitLockerVolume.ProtectionStatus -eq \"Off\") {
Write-ConsoleAndLog -Message \"BitLocker is niet actief. Inschakelen wordt gestart.\"
# Protectors v\u00f3\u00f3r enable (debug)
$preKP = $BitLockerVolume.KeyProtector | Select-Object KeyProtectorId, KeyProtectorType
Write-ConsoleAndLog -Level \"DEBUG\" -Message (\"Protectors v\u00f3\u00f3r Enable-BitLocker:`n\" + ($preKP | Out-String))
try {
if ($HasTpmProtector) {
# TPM protector bestaat al \u2192 eerst protectors activeren, dan encryptie starten
$manageBde = (Get-Command manage-bde.exe -ErrorAction SilentlyContinue)
if ($manageBde) {
Write-ConsoleAndLog -Message \"TPM\u2011protector aanwezig \u2192 protectors activeren en encryptie starten via manage-bde.\"
& $manageBde.Source -protectors -enable $OSDrive | Out-Null
& $manageBde.Source -on $OSDrive -method xts_aes256 -usedspaceonly -skiphardwaretest | Out-Null
} else {
# Fallback: pure PowerShell (zonder extra protector en zonder -SkipHardwareTest om AmbiguousParameterSet te vermijden)
Write-ConsoleAndLog -Level \"WARN\" -Message \"manage-bde niet gevonden. Fallback naar PowerShell\u2011enable zonder extra protector (reboot kan vereist zijn).\"
Enable-BitLocker -MountPoint $OSDrive -EncryptionMethod XtsAes256 -UsedSpaceOnly -ErrorAction Stop | Out-Null
}
}
else {
# TPM protector zojuist toegevoegd \u2192 correct parameterset met -TpmProtector (OS\u2011volume + SkipHardwareTest)
Write-ConsoleAndLog -Message \"TPM\u2011protector toegevoegd \u2192 Enable\u2011BitLocker via -TpmProtector (SkipHardwareTest).\"
Enable-BitLocker `
-MountPoint $OSDrive `
-TpmProtector `
-EncryptionMethod XtsAes256 `
-UsedSpaceOnly `
-SkipHardwareTest `
-ErrorAction Stop | Out-Null
}
Write-ConsoleAndLog -Message \"Enable\u2011fase afgerond; status ophalen\u2026\"
Start-Sleep -Seconds 10
$BitLockerVolume = Get-BitLockerVolume -MountPoint $OSDrive -ErrorAction Stop
# Protectors n\u00e1 enable
$postKP = $BitLockerVolume.KeyProtector | Select-Object KeyProtectorId, KeyProtectorType
Write-ConsoleAndLog -Level \"DEBUG\" -Message (\"Protectors n\u00e1 Enable\u2011BitLocker:`n\" + ($postKP | Out-String))
Write-ConsoleAndLog -Message (\"Huidige status: VolumeStatus={0}, ProtectionStatus={1}, EncryptionPercent={2}\" -f `
$BitLockerVolume.VolumeStatus, $BitLockerVolume.ProtectionStatus, $BitLockerVolume.EncryptionPercentage)
}
catch {
$global:LastBitLockerError = $_.Exception.Message
$msg = $global:LastBitLockerError
if ($msg -match '0x80310031' -or $msg -match 'FVE_E_PROTECTOR_EXISTS') {
Write-ConsoleAndLog -Level \"ERROR\" -Message \"0x80310031 (FVE_E_PROTECTOR_EXISTS): er bestaat al een protector van dit type. Gebruik de duplication-safe flow (protectors enable + manage-bde -on).\"
}
elseif ($msg -match '0x8031004E' -or $msg -match 'FVE_E_REBOOT_REQUIRED') {
Write-ConsoleAndLog -Level \"ERROR\" -Message \"0x8031004E (FVE_E_REBOOT_REQUIRED): herstart vereist voordat BitLocker kan doorgaan.\"
}
else {
Write-ConsoleAndLog -Level \"ERROR\" -Message \"Enable\u2011BitLocker mislukt: $msg\"
}
throw
}
}
else {
Write-ConsoleAndLog -Message \"BitLocker is al actief of de versleuteling is al gestart.\"
}
# Valideer RecoveryPassword protectors
$BitLockerVolume = Get-BitLockerVolume -MountPoint $OSDrive -ErrorAction Stop
$RecoveryProtectors = $BitLockerVolume.KeyProtector | Where-Object { $_.KeyProtectorType -eq \"RecoveryPassword\" }
if (-not $RecoveryProtectors) { throw \"Recovery password protector ontbreekt nog steeds na herstelpoging.\" }
# Backup recovery keys naar Entra ID (indien cmdlet beschikbaar)
if (Get-Command BackupToAAD-BitLockerKeyProtector -ErrorAction SilentlyContinue) {
foreach ($Protector in $RecoveryProtectors) {
try {
BackupToAAD-BitLockerKeyProtector -MountPoint $OSDrive -KeyProtectorId $Protector.KeyProtectorId -ErrorAction Stop
Write-ConsoleAndLog -Message \"Recovery key succesvol geback-upt naar Entra ID.\"
} catch {
Write-ConsoleAndLog -Level \"WARN\" -Message \"Backup naar Entra ID is niet gelukt: $($_.Exception.Message)\"
}
}
} else {
Write-ConsoleAndLog -Level \"WARN\" -Message \"Cmdlet BackupToAAD-BitLockerKeyProtector is niet beschikbaar. Backup naar Entra ID is overgeslagen.\"
}
# Eindstatus
$FinalStatus = Get-BitLockerVolume -MountPoint $OSDrive -ErrorAction Stop
Write-ConsoleAndLog -Message \"Eindstatus:\"
Write-ConsoleAndLog -Message \"VolumeStatus : $($FinalStatus.VolumeStatus)\"
Write-ConsoleAndLog -Message \"ProtectionStatus : $($FinalStatus.ProtectionStatus)\"
Write-ConsoleAndLog -Message \"EncryptionPercent : $($FinalStatus.EncryptionPercentage)\"
if ($FinalStatus.ProtectionStatus -eq \"On\" -or $FinalStatus.VolumeStatus -in @(\"EncryptionInProgress\", \"FullyEncrypted\")) {
Write-ConsoleAndLog -Message \"BitLocker-remediation is succesvol gestart of voltooid.\"
$ExitCode = 0
} else {
throw \"BitLocker-remediation is niet succesvol.\"
}
}
catch {
Write-ConsoleAndLog -Level \"ERROR\" -Message \"Remediation mislukt: $($_.Exception.Message)\"
$ExitCode = 1
}
finally {
if ($TranscriptStarted) {
try {
Stop-Transcript | Out-Null
Write-Log -Message \"Transcript gestopt.\"
} catch {
Write-Log -Level \"WARN\" -Message \"Stop-Transcript mislukt: $($_.Exception.Message)\"
}
}
try {
if (Test-Path -Path $IntuneLogFolder) {
Copy-Item -Path $TranscriptFile -Destination $IntuneLogFolder -Force -ErrorAction Stop
Write-Log -Message \"Transcript gekopieerd naar $IntuneLogFolder\"
} else {
Write-Log -Level \"WARN\" -Message \"Intune-logmap bestaat niet: $IntuneLogFolder\"
}
} catch {
Write-Log -Level \"WARN\" -Message \"Kopi\u00ebren van transcript is mislukt: $($_.Exception.Message)\"
}
exit $ExitCode
}<\/pre>\n\n\n\n
\n\n\n\n\ud83d\ude80 Samenvatting<\/h2>\n\n\n\n
\u2705 TPM wordt gecontroleerd
\u2705 Recovery keys automatisch worden aangemaakt
\u2705 Recovery keys veilig in Entra ID<\/strong> worden opgeslagen
\u2705 Uitgebreide logging beschikbaar is<\/p>\n\n\n\n