O BitLocker não aceita a senha de disco correta após... algo

A empresa em que trabalho possui computadores com chips TPM e Windows 10 Enterprise e usa o BitLocker para criptografia de disco completo. Eles têm o BitLocker configurado para exigir uma senha na inicialização (o que, acredito, significa que o TPM não está envolvido na descriptografia e o disco deve ser criptografado apenas pela própria senha; isso está errado?).

Um colega de trabalho deixou seu computador fora da rede por um tempo e removeram o acesso de seu computador. Para obter acesso de volta, a TI teve que fazer "coisas" nele.

Nesse processo, eles tiveram que

• Faça o BIOS aceitar a unidade de inicialização USB

• Faça algo, talvez incluindo atualizações de coisas (eles não foram capazes de explicar o que a coisa que executaram fez, apenas que "fez coisas")

• Inicialize o computador

• A senha do BitLocker percebida não estava funcionando

• Voltei ao BIOS e reiniciei o TPM (porque "às vezes isso faz com que ele aceite a chave de recuperação")

Mas a senha do BitLocker ainda não funcionou... e o pessoal de TI extraordinariamente competente (os mesmos que reinicializaram o TPM) também perdeu a chave de recuperação de seu banco de dados.

O que realmente está fazendo com que ele rejeite a senha correta?

O TPM é relevante para isso? (a proteção por senha exige que a senha esteja correta E que o TPM tenha o estado PCR correto ou é independente do TPM?)

Como ele pode desbloquear a unidade com a senha? (se a pergunta acima é que ainda requer o TPM, provavelmente essa é uma pergunta inútil porque é impossível)