Freigeben über

So verwalten Sie BitLocker-Verschlüsselungsausnahmen für Benutzer

  • Artikel

Mit Microsoft BitLocker Administration and Monitoring (MBAM) können Sie Benutzer von den BitLocker-Laufwerkverschlüsselungsanforderungen ausschließen.

Um Benutzer vom BitLocker-Schutz zu befreien, müssen Sie Folgendes ausführen:

Aufgabe Details

Erstellen Sie eine Infrastruktur, um ausgenommene Benutzer zu unterstützen.

Beispiele für diese Infrastruktur sind die Bereitstellung einer Kontakttelefonnummer, Webseite oder Postanschrift, die sie verwenden können, um eine Ausnahme zu beantragen.

Fügen Sie den ausgenommenen Benutzer zu einer Sicherheitsgruppe für ein Gruppenrichtlinie-Objekt hinzu, das speziell für ausgenommene Benutzer konfiguriert ist.

Wenn sich Mitglieder dieser Sicherheitsgruppe bei einem Computer anmelden, wird der Benutzer durch die Gruppenrichtlinie-Einstellung vom BitLocker-Schutz ausgenommen. Die Einstellung für Gruppenrichtlinie des Benutzers überschreibt die Computerrichtlinie, und der Computer bleibt von der BitLocker-Verschlüsselung ausgenommen.

Hinweis

MBAM setzt die Verschlüsselungsrichtlinie nicht in Kraft, wenn der Computer bereits BitLocker-geschützt ist und der Benutzer davon ausgenommen ist. Wenn sich jedoch ein anderer Benutzer, der nicht von der Verschlüsselungsrichtlinie ausgenommen ist, am Computer anmeldet, erfolgt die Verschlüsselung.

Die folgenden Schritte beschreiben, was geschieht, wenn Endbenutzer eine Ausnahme vom BitLocker Drive Encryption-Ausnahmeprozess über den MBAM-Client oder durch einen beliebigen Prozess anfordern, den Ihre Organisation verwendet. Sie müssen MBAM-Gruppenrichtlinie-Einstellungen konfigurieren, damit Endbenutzer eine Ausnahme von der BitLocker-Laufwerkverschlüsselung anfordern können.

  1. Wenn sich Endbenutzer bei einem Computer anmelden, der verschlüsselt werden muss, erhalten sie eine Benachrichtigung, dass ihr Computer verschlüsselt wird. Sie können "Ausnahme anfordern" auswählen und die Verschlüsselung verschieben, indem sie "Verschieben" auswählen, oder sie können " Verschlüsselung starten " auswählen, um die BitLocker-Verschlüsselung zu akzeptieren.

    Hinweis
    Wenn Sie " Ausnahme anfordern" auswählen, wird der BitLocker-Schutz auf die maximale Zeit verschoben, die in der Benutzerfreistellungsrichtlinie festgelegt ist.

  2. Wenn Endbenutzer "Ausnahme anfordern" auswählen, erhalten sie eine Benachrichtigung, dass sie sich an die BitLocker-Verwaltungsgruppe der Organisation wenden müssen. Je nachdem, wie die Richtlinie zum Konfigurieren der Benutzerfreistellung konfiguriert ist, erhalten Benutzer eine oder mehrere der folgenden Kontaktmethoden:

    • Telefonnummer

    • Webseiten-URL

    • Postanschrift

  3. Nachdem die Ausnahmeanforderung eingegangen ist, entscheidet der MBAM-Administrator, ob der Benutzer der Gruppe BitLocker Exemption Active Directory Domain Services (AD DS) hinzugefügt werden soll.

  4. Nachdem ein Endbenutzer eine Ausnahmeanforderung eingereicht hat, meldet der MBAM-Client den Benutzer als "Vorübergehend ausgenommen". Der Client wartet dann eine bestimmte Anzahl von Tagen, die IT-Administratoren konfigurieren, bevor er die Kompatibilität des Computers erneut überprüft. Wenn der MBAM-Administrator den Ausnahmeantrag ablehnt, wird die Ausnahmeanforderungsoption deaktiviert, wodurch verhindert wird, dass der Benutzer die Ausnahme erneut anfordert.

Mit Microsoft BitLocker Administration and Monitoring (MBAM) können Sie Benutzer von den BitLocker-Laufwerkverschlüsselungsanforderungen ausschließen.

Um Benutzer vom BitLocker-Schutz zu befreien, müssen Sie Folgendes ausführen:

Aufgabe Details

Erstellen Sie eine Infrastruktur, um ausgenommene Benutzer zu unterstützen.

Beispiele für diese Infrastruktur sind die Bereitstellung einer Kontakttelefonnummer, Webseite oder Postanschrift, die sie verwenden können, um eine Ausnahme zu beantragen.

Fügen Sie den ausgenommenen Benutzer zu einer Sicherheitsgruppe für ein Gruppenrichtlinie-Objekt hinzu, das speziell für ausgenommene Benutzer konfiguriert ist.

Wenn sich Mitglieder dieser Sicherheitsgruppe bei einem Computer anmelden, wird der Benutzer durch die Gruppenrichtlinie-Einstellung vom BitLocker-Schutz ausgenommen. Die Einstellung für Gruppenrichtlinie des Benutzers überschreibt die Computerrichtlinie, und der Computer bleibt von der BitLocker-Verschlüsselung ausgenommen.

Hinweis

Wenn der Computer bereits BitLocker-geschützt ist, hat die Benutzerfreistellungsrichtlinie keine Auswirkung. Darüber hinaus erfolgt die Verschlüsselung, wenn sich ein anderer Benutzer bei einem Computer anmeldet, der nicht von der Verschlüsselungsrichtlinie ausgenommen ist.

Die folgenden Schritte beschreiben, was geschieht, wenn Endbenutzer eine Ausnahme vom BitLocker Drive Encryption-Ausnahmeprozess über den MBAM-Client oder durch einen beliebigen Prozess anfordern, den Ihre Organisation verwendet. Sie müssen MBAM-Gruppenrichtlinie-Einstellungen konfigurieren, damit Endbenutzer eine Ausnahme von der BitLocker-Laufwerkverschlüsselung anfordern können.

  1. Wenn sich Endbenutzer bei einem Computer anmelden, der verschlüsselt werden muss, erhalten sie eine Benachrichtigung, dass ihr Computer verschlüsselt wird. Sie können "Ausnahme anfordern" auswählen und die Verschlüsselung verschieben, indem sie "Verschieben" auswählen, oder sie können " Verschlüsselung starten " auswählen, um die BitLocker-Verschlüsselung zu akzeptieren.

    Hinweis
    Wenn Sie " Ausnahme anfordern" auswählen, wird der BitLocker-Schutz auf die maximale Zeit verschoben, die in der Benutzerfreistellungsrichtlinie festgelegt ist.

  2. Wenn Endbenutzer "Ausnahme anfordern" auswählen, erhalten sie eine Benachrichtigung, dass sie sich an die BitLocker-Verwaltungsgruppe der Organisation wenden müssen. Je nachdem, wie die Richtlinie zum Konfigurieren der Benutzerfreistellung konfiguriert ist, erhalten Benutzer eine oder mehrere der folgenden Kontaktmethoden:

    • Telefonnummer

    • Webseiten-URL

    • Postanschrift

  3. Nachdem die Ausnahmeanforderung eingegangen ist, entscheidet der MBAM-Administrator, ob der Benutzer der Gruppe BitLocker Exemption Active Directory Domain Services (AD DS) hinzugefügt werden soll.

  4. Nachdem ein Endbenutzer eine Ausnahmeanforderung eingereicht hat, meldet der MBAM-Client den Benutzer als "Vorübergehend ausgenommen". Der Client wartet dann eine bestimmte Anzahl von Tagen, die IT-Administratoren konfigurieren, bevor er die Kompatibilität des Computers erneut überprüft. Wenn der MBAM-Administrator den Ausnahmeantrag ablehnt, wird die Ausnahmeanforderungsoption deaktiviert, wodurch verhindert wird, dass der Benutzer die Ausnahme erneut anfordert.

So befreien Sie einen Benutzer von der BitLocker-Laufwerkverschlüsselung

  1. Erstellen Sie eine AD DS-Sicherheitsgruppe, die zum Verwalten von Benutzerausnahmen von BitLocker-Verschlüsselungsanforderungen verwendet wird.

  2. Erstellen Sie ein Gruppenrichtlinie-Objekt mithilfe der Microsoft BitLocker-Gruppenrichtlinie-Vorlagen für Verwaltung und Überwachung.

  3. Ordnen Sie das Gruppenrichtlinie-Objekt der AD DS-Gruppe zu, die Sie im vorherigen Schritt erstellt haben. Die Richtlinieneinstellungen zum Ausnehmen von Benutzern finden Sie unter: UserConfiguration>Administrative Templates>Windows Components>MDOP MBAM (BitLocker Management).

  4. Fügen Sie der Sicherheitsgruppe, die Sie für von BitLocker ausgenommene Benutzer erstellt haben, die Namen der Benutzer hinzu, die eine Ausnahme anfordern.

    Wenn sich ein Benutzer bei einem Computer anmeldet, der von BitLocker gesteuert wird, überprüft der MBAM-Client die Einstellung der Benutzerfreistellungsrichtlinie. Wenn der Computer bereits verschlüsselt ist, wird der BitLocker-Schutz nicht angehalten. Wenn der Computer nicht verschlüsselt ist, fordert MBAM den Benutzer nicht zur Verschlüsselung auf.

    Wichtig
    Szenarien mit gemeinsam genutzten Computern müssen besonders berücksichtigt werden, wenn Sie BitLocker-Benutzerausnahmen verwenden. Wenn sich ein nicht ausgenommener Benutzer bei einem Computer anmeldet, der mit einem ausgenommenen Benutzer geteilt wird, kann der Computer verschlüsselt sein.

Verwalten von MBAM 2.5-Funktionen

Planen der Gruppenrichtlinienanforderungen für MBAM 2.5

Haben Sie einen Vorschlag für MBAM?

Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.