Vorgehensweise beim Verwalten von BitLocker-Verschlüsselungsausnahmen für Benutzer
Letzte Aktualisierung: April 2013
Betrifft: Microsoft BitLocker Administration and Monitoring 2.0
Mithilfe von Microsoft BitLocker-Administration und Überwachung (MBAM) können Benutzer, die eine Verschlüsselung ihrer Laufwerke nicht benötigen oder wünschen, gezielt vom BitLocker-Schutz ausgeschlossen werden.
Um Benutzer vom BitLocker-Schutz auszuschließen, muss eine Infrastruktur erstellt werden, die ausgeschlossene Benutzer unterstützt, bei der der Benutzer beispielsweise eine Telefonnummer, Webseite oder E-Mail-Adresse verwendet, um eine Ausnahme anzufordern. Ausgeschlossene Benutzer müssen zudem zu einer Sicherheitsgruppe für ein Gruppenrichtlinienobjekt hinzugefügt werden, das für diese Benutzer erstellt wurde. Wenn sich ein Mitglied dieser Sicherheitsgruppe bei einem Computer anmeldet, wird durch die Einstellung in der Benutzergruppenrichtlinie angezeigt, dass für den Benutzer eine Ausnahme vom BitLocker-Schutz besteht. Die Computerrichtlinie wird durch die Gruppenrichtlinieneinstellung des Benutzers überschrieben, und der Computer bleibt von der BitLocker-Verschlüsselung ausgeschlossen.
Hinweis
Wenn der Computer bereits durch BitLocker geschützt ist, ist die Richtlinie für die Benutzerausnahme wirkungslos.
In der folgenden Tabelle ist dargestellt, wie der BitLocker-Schutz abhängig von festgelegten Ausnahmen angewendet wird:
Benutzerstatus | Keine Ausnahme für den Computer | Ausnahme für den Computer |
---|---|---|
Keine Ausnahme für den Benutzer |
Der BitLocker-Schutz wird auf dem Computer erzwungen. |
Der BitLocker-Schutz wird auf dem Computer nicht erzwungen. |
Ausnahme für den Benutzer |
Der BitLocker-Schutz wird auf dem Computer nicht erzwungen. |
Der BitLocker-Schutz wird auf dem Computer nicht erzwungen. |
So schließen Sie einen Benutzer von der BitLocker-Verschlüsselung aus
Erstellen Sie in Active Directory-Domänendienste eine Sicherheitsgruppe zum Verwalten von Benutzerausnahmen von den BitLocker-Verschlüsselungsanforderungen.
Erstellen Sie mithilfe der Microsoft BitLocker Administration and Monitoring-Gruppenrichtlinienvorlage eine Einstellung für das Gruppenrichtlinienobjekt, und ordnen Sie diese dann der Active Directory-Gruppe zu, die Sie im vorherigen Schritt erstellt haben. Die Richtlinieneinstellungen für Benutzerausnahmen finden Sie unter Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management).
Fügen Sie der erstellten Sicherheitsgruppe für Benutzer mit BitLocker-Ausnahme die Namen der Benutzer hinzu, die eine Ausnahme beantragt haben. Wenn sich Benutzer bei einem Computer anmelden, der von BitLocker geschützt wird, wird vom MBAM-Client die Einstellung der Benutzerausnahmerichtlinie überprüft und der Schutz aufgehoben, wenn der Benutzer zur Sicherheitsgruppe für BitLocker-Ausnahmen gehört.
Wichtig
Bei Szenarien mit gemeinsam genutzten Computern sind zu Benutzerausnahmen besondere Überlegungen erforderlich. Wenn sich ein nicht ausgeschlossener Benutzer bei einem Computer anmeldet, der mit einem ausgeschlossenen Benutzer gemeinsam genutzt wird, wird der Computer möglicherweise verschlüsselt.
So ermöglichen Sie Benutzern das Anfordern einer Ausnahme von der BitLocker-Verschlüsselung
Nachdem Sie die Benutzerausnahmerichtlinien mithilfe der MBAM-Richtlinienvorlage konfiguriert haben, können Benutzer Ausnahmen vom BitLocker-Schutz über den MBAM-Client anfordern.
Wenn sich die Benutzer bei einem Computer anmelden, der verschlüsselt werden muss, erhalten sie eine Benachrichtigung, dass ihr Computer verschlüsselt wird. Sie können Ausnahme anfordern auswählen und die Verschlüsselung verschieben, indem sie Später auswählen, oder sie können Starten auswählen, um die BitLocker-Verschlüsselung zuzulassen.
Hinweis
Durch Auswählen von Ausnahme anfordern wird der BitLocker-Schutz um den maximalen Zeitraum verschoben, der in der Benutzerausnahmerichtlinie festgelegt ist.
Wenn Benutzer Ausnahme anfordern auswählen, erhalten sie eine Benachrichtigung, in der sie aufgefordert werden, die BitLocker-Administrationsgruppe der Organisation zu kontaktieren. Je nach Konfiguration von „Richtlinie für Benutzerausnahme konfigurieren“ wird dem Benutzer mindestens eine der folgenden Kontaktmethoden angezeigt:
Telefonnummer
URL einer Webseite
E-Mail-Adresse
Nach dem Erhalt der Ausnahmeanforderung kann der MBAM-Administrator entscheiden, ob das Hinzufügen des Benutzers zur Active Directory-Gruppe für BitLocker-Ausnahmen legitim ist.
Hinweis
Sobald ein Benutzer eine Ausnahmeanforderung übermittelt hat, meldet der MBAM-Agent den Benutzer als "temporäre Ausnahme", und wartet dann eine konfigurierbare Anzahl von Tagen, bevor die Konformität des Computers erneut überprüft. Wenn die Ausnahmeanforderung vom MBAM-Administrator abgelehnt wird, wird die Option zur Ausnahmeanforderung deaktiviert, wodurch verhindert wird, dass der Benutzer die Ausnahme erneut anfordert.
Siehe auch
Andere Ressourcen
Verwalten von MBAM verfügt über 2.0
-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----