以下這幾個群組的人, 都有權限可以看到, 你不需要直接給 domain admin:
Global admins
Intune Service Administrators
Security Administrators
Security Readers
Helpdesk Admins
上面看起來權限比較低的可能是 Security Readers
你也可以利用委派的方式, 臨時將個人加入群組, 讓他查完之後, 再解除委派就好:
https://blog.michaellecomber.info/2019/05/05/ad-delegate-access-to-view-bitlocker-recovery-keys/