Administración de las exenciones de usuario del cifrado de BitLocker
Se aplica a: Microsoft BitLocker Administration and Monitoring 2.0
Microsoft BitLocker Administration and Monitoring (MBAM) se puede utilizar para administrar la protección de BitLocker mediante la exención de usuarios que no necesitan o no desean el cifrado de sus unidades.
Para excluir a usuarios de la protección de BitLocker, una organización deberá crear una infraestructura de asistencia para usuarios exentos, por ejemplo, proporcionando al usuario un número de teléfono de contacto, una página web o una dirección de correo para solicitar una exención. Además, cualquier usuario exento debe agregarse a un grupo de seguridad de la directiva de grupo creado específicamente para este tipo de usuarios. Cuando los miembros de este grupo de seguridad inician sesión en un equipo, la directiva de grupo de usuario muestra que están exentos de la protección de BitLocker. La configuración de directiva de grupo del usuario sobrescribe la directiva de equipo y el equipo permanece exento del cifrado de BitLocker.
Nota
Si el equipo ya está protegido por BitLocker, la directiva de exención de usuario no tiene ningún efecto.
En la tabla siguiente se muestra cómo se aplica la protección de BitLocker en función del establecimiento de exenciones.
Estado de usuario | Equipo no exento | Equipo exento |
---|---|---|
Usuario no exento |
La protección de BitLocker se aplica al equipo. |
La protección de BitLocker no se aplica al equipo. |
Usuario exento |
La protección de BitLocker no se aplica al equipo. |
La protección de BitLocker no se aplica al equipo. |
Para eximir a un usuario del cifrado de BitLocker:
Cree un grupo de seguridad de Servicios de dominio de Active Directory que se utilizará para administrar las exenciones de usuario a partir de los requisitos de cifrado de BitLocker.
Cree un objeto de directiva de grupo mediante la plantilla de directiva de grupo de Microsoft BitLocker Administration and Monitoring; a continuación, asocie el objeto de directiva de grupo con el grupo de Active Directory que creó en el paso anterior. La configuración de la directiva para eximir a usuarios se encuentra en UserConfiguration\Administrative administrativas\Componentes Components\MDOP MBAM (administración de BitLocker).
Después de crear un grupo de seguridad para los usuarios exentos de BitLocker, agregue a este grupo los nombres de los usuarios que solicitan la exención. Cuando un usuario inicie sesión en un equipo controlado por BitLocker, el cliente de MBAM comprobará la configuración de la directiva de exención de usuario y, en caso de que el usuario forme parte del grupo de seguridad de exención de BitLocker, suspenderá la protección.
Importante
Los escenarios de equipo compartido requieren una consideración especial con respecto a la exención de usuario. Si un usuario no exento inicia sesión en un equipo compartido con un usuario exento, se podría cifrar el equipo.
Para habilitar a usuarios para que soliciten la exención del cifrado de BitLocker:
Si ha configurado las directivas de exención de usuario mediante plantilla de directiva de MBAM, un usuario puede solicitar la exención de la protección de BitLocker a través del cliente de MBAM.
Cuando los usuarios finales inician sesión en un equipo que debe cifrarse, se les notifica que su equipo se va a cifrar. Pueden seleccionar Solicitar exención y posponer el cifrado seleccionando Más adelante, o bien seleccionar Iniciar para aceptar el cifrado de BitLocker.
Nota
Si se selecciona Solicitar exención, la protección de BitLocker se pospone durante el tiempo máximo establecido en la directiva de exención de usuario.
Si seleccionan Solicitar exención, recibirán una notificación en la que se les indica que deben ponerse en contacto con el grupo que administra BitLocker en la organización. En función de la configuración de Configurar directiva de exención de usuario, se proporciona a los usuarios uno o varios de los siguientes métodos de contacto:
Número de teléfono
Dirección URL de página web
Dirección de correo electrónico
Tras enviar la solicitud, el administrador de MBAM puede decidir si conviene agregar al usuario al grupo de exención de BitLocker de Active Directory.
Nota
Una vez que un usuario envía una solicitud de exención, el agente de MBAM presenta al usuario como "temporalmente exento" y, a continuación, espera un número variable de días antes de volver a comprobar el cumplimiento del nuevo equipo. Si el administrador de MBAM rechaza la solicitud de exención, la opción correspondiente se desactiva, lo que impide al usuario volver a realizar una nueva solicitud de exención.
Vea también
Otros recursos
Administración de MBAM 2.0 presenta
-----
Para obtener más información acerca de MDOP, consulte la biblioteca de TechNet, busque soluciones de problemas en TechNet Wikio síganos en Facebook o Twitter.
-----