Compartir a través de

Administración de exenciones de cifrado de BitLocker de usuario

  • Artículo

La administración y supervisión de Microsoft BitLocker (MBAM) permite excluir a los usuarios de los requisitos de cifrado de unidad bitlocker.

Para excluir a los usuarios de la protección de BitLocker, debe hacer lo siguiente:

  • Cree una infraestructura para admitir usuarios exentos. Algunos ejemplos de esta infraestructura son proporcionar a los usuarios un número de teléfono de contacto, una página web o una dirección postal que puedan usar para solicitar una exención.

  • Agregue el usuario exento a un grupo de seguridad para un objeto de directiva de grupo configurado específicamente para los usuarios exentos. Cuando los miembros de este grupo de seguridad inician sesión en un equipo, la configuración de directiva de grupo del usuario exime al usuario de la protección de BitLocker. La configuración de directiva de grupo del usuario sobrescribe la directiva de equipo y el equipo permanece exento del cifrado de BitLocker.

    Nota

    Si el equipo ya está protegido por BitLocker y el usuario está exento, MBAM no aplica la directiva de cifrado. Sin embargo, si otro usuario que no está exento de la directiva de cifrado inicia sesión en el equipo, se inicia el cifrado.

En los pasos siguientes se describe lo que ocurre cuando los usuarios finales solicitan una exención del proceso de exención de cifrado de unidad bitlocker a través del cliente de MBAM o a través de cualquier proceso que use su organización. Debe configurar las opciones de directiva de grupo de MBAM para permitir que los usuarios finales soliciten una exención del cifrado de unidad BitLocker.

  1. Cuando los usuarios finales inician sesión en un equipo que es necesario cifrar, reciben una notificación de que su equipo se va a cifrar. Pueden seleccionar Solicitar exención y posponer el cifrado seleccionando Posponer, o bien pueden seleccionar Iniciar cifrado para aceptar el cifrado de BitLocker.

    Nota

    Al seleccionar Solicitar exención , se pospone la protección de BitLocker hasta el tiempo máximo establecido en la directiva de exención de usuario.

  2. Si los usuarios finales seleccionan Solicitar exención, reciben una notificación que les indica que se pongan en contacto con el grupo de administración de BitLocker de la organización. En función de cómo se configure la directiva de exención de usuario , se proporciona a los usuarios uno o varios de los métodos de contacto siguientes:

    • Número de teléfono

    • Dirección URL de la página web

    • Dirección postal

  3. Una vez recibida la solicitud de exención, el administrador de MBAM decide si desea agregar el usuario al grupo Servicios de dominio de Active Directory (ADDS) de exención de BitLocker.

  4. Después de que un usuario final envíe una solicitud de exención, el cliente de MBAM notifica al usuario como "Exento temporalmente". A continuación, el cliente espera un número especificado de días, que los administradores de TI configuran, antes de comprobar de nuevo el cumplimiento del equipo. Si el administrador de MBAM rechaza la solicitud de exención, se desactiva la opción de solicitud de exención, lo que impide que el usuario vuelva a solicitar la exención.

Para excluir a un usuario del cifrado de unidad bitlocker

  1. Cree un grupo de seguridad ADDS para administrar las exenciones de usuario de los requisitos de cifrado de BitLocker.

  2. Cree un objeto de directiva de grupo mediante las plantillas de directiva de grupo Administración y supervisión de Microsoft BitLocker.

  3. Asocie el objeto de directiva de grupo con el grupo ADDS que creó en el paso anterior. La configuración de directiva para excluir usuarios se encuentra en: UserConfiguration>Administrative Templates>Windows Components>MDOP MBAM (BitLocker Management).

  4. Al grupo de seguridad que creó para los usuarios exentos de BitLocker, agregue los nombres de los usuarios que solicitan una exención.

    Cuando un usuario inicia sesión en un equipo controlado por BitLocker, el cliente de MBAM comprueba la configuración de directiva de exención de usuario. Si el equipo ya está cifrado, la protección de BitLocker no se suspende. Si el equipo no está cifrado, MBAM no pide al usuario que cifre.

    Nota

    Los escenarios de equipos compartidos requieren una consideración especial cuando se usan exenciones de usuario de BitLocker. Si un usuario no exento inicia sesión en un equipo compartido con un usuario exento, es posible que el equipo se cifre.

Administración de características de MBAM 2.5

Planeamiento de los requisitos de directiva de grupo de MBAM 2.5