Gestion des exemptions de chiffrement BitLocker d'utilisateur

Article
10/07/2015

Mis à jour: août 2015

S'applique à: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Microsoft BitLocker Administration and Monitoring (MBAM) permet d'exempter les utilisateurs des exigences du chiffrement de lecteur BitLocker.

Pour exempter les utilisateurs de la protection BitLocker, vous devez procéder comme suit :

Tâche	Détails
Créez une infrastructure pour prendre en charge les utilisateurs exemptés.	Des exemples de cette infrastructure fournissent aux utilisateurs un numéro de téléphone de contact, une page Web ou une adresse postale qu'ils peuvent utiliser pour demander une exemption.
Ajoutez l'utilisateur exempté dans un groupe de sécurité pour un objet de stratégie de groupe configuré spécifiquement pour les utilisateurs exemptés.	Lorsque des membres de ce groupe de sécurité se connectent à un ordinateur, le paramètre Stratégie de groupe de l'utilisateur dispense l'utilisateur de la protection BitLocker. Le paramètre Stratégie de groupe de l'utilisateur remplace la stratégie de l'ordinateur, et ce dernier restera exempté du chiffrement BitLocker. Notes MBAM n'applique pas la stratégie de chiffrement si l'ordinateur est déjà protégé par BitLocker et que l'utilisateur est exempté. Toutefois, si un autre utilisateur qui n'est pas exempté de la stratégie de chiffrement se connecte à l'ordinateur, le chiffrement a lieu.

Créez une infrastructure pour prendre en charge les utilisateurs exemptés.

Des exemples de cette infrastructure fournissent aux utilisateurs un numéro de téléphone de contact, une page Web ou une adresse postale qu'ils peuvent utiliser pour demander une exemption.

Ajoutez l'utilisateur exempté dans un groupe de sécurité pour un objet de stratégie de groupe configuré spécifiquement pour les utilisateurs exemptés.

Lorsque des membres de ce groupe de sécurité se connectent à un ordinateur, le paramètre Stratégie de groupe de l'utilisateur dispense l'utilisateur de la protection BitLocker. Le paramètre Stratégie de groupe de l'utilisateur remplace la stratégie de l'ordinateur, et ce dernier restera exempté du chiffrement BitLocker.

Notes

MBAM n'applique pas la stratégie de chiffrement si l'ordinateur est déjà protégé par BitLocker et que l'utilisateur est exempté. Toutefois, si un autre utilisateur qui n'est pas exempté de la stratégie de chiffrement se connecte à l'ordinateur, le chiffrement a lieu.

La procédure ci-dessous décrit ce qui se produit lorsque des utilisateurs finaux demandent une exemption auprès du processus d'exemption de chiffrement de lecteur BitLocker via le client MBAM ou tout autre processus utilisé par votre organisation. Vous devez configurer les paramètres de stratégie de groupe MBAM pour autoriser les utilisateurs finaux à demander une exemption de chiffrement de lecteur BitLocker.

Lorsque les utilisateurs finaux se connectent à un ordinateur qui doit être chiffré, ils reçoivent une notification indiquant que leur ordinateur va être chiffré. Ils peuvent sélectionner Demander une exemption et ajourner le chiffrement en sélectionnant Reporter ou sélectionner Démarrer le chiffrement pour accepter le chiffrement BitLocker.

Notes

Le choix de l'option Demander une exemption reporte la protection BitLocker au délai maximal défini dans la stratégie d'exemption de l'utilisateur.
Si les utilisateurs finaux sélectionnent Demander une exemption, ils reçoivent une notification leur indiquant de contacter le groupe d'administration BitLocker de l'organisation. Selon la configuration de l'option Configurer la stratégie d'exemption de l'utilisateur, les utilisateurs ont accès à une ou plusieurs des méthodes de contact suivantes :
- Numéro de téléphone
- URL de page Web
- Adresse postale
Une fois la demande d'exemption reçue, l'administrateur MBAM décide s'il convient d'ajouter l'utilisateur au groupe Services de domaine Active Directory (AD DS) d'exemption BitLocker.
Une fois qu'un utilisateur final a soumis une demande d'exemption, le client MBAM signale l'utilisateur comme étant « Temporairement exempté ». Le client patiente alors un certain nombre de jours, configuré par les administrateurs, avant de vérifier de nouveau la conformité de l'ordinateur. Si l'administrateur MBAM rejette la demande d'exemption, l'option de demande d'exemption est désactivée, ce qui empêche l'utilisateur de redemander l'exemption.

Microsoft BitLocker Administration and Monitoring (MBAM) permet d'exempter les utilisateurs des exigences du chiffrement de lecteur BitLocker.

Pour exempter les utilisateurs de la protection BitLocker, vous devez procéder comme suit :

Tâche	Détails
Créez une infrastructure pour prendre en charge les utilisateurs exemptés.	Des exemples de cette infrastructure fournissent aux utilisateurs un numéro de téléphone de contact, une page Web ou une adresse postale qu'ils peuvent utiliser pour demander une exemption.
Ajoutez l'utilisateur exempté dans un groupe de sécurité pour un objet de stratégie de groupe configuré spécifiquement pour les utilisateurs exemptés.	Lorsque des membres de ce groupe de sécurité se connectent à un ordinateur, le paramètre Stratégie de groupe de l'utilisateur dispense l'utilisateur de la protection BitLocker. Le paramètre Stratégie de groupe de l'utilisateur remplace la stratégie de l'ordinateur, et ce dernier restera exempté du chiffrement BitLocker. Notes Si l'ordinateur est déjà protégé par BitLocker, la stratégie d'exemption de l'utilisateur n'a aucun effet. De plus, si un autre utilisateur se connecte à un ordinateur qui n'est pas exempté de la stratégie de chiffrement, le chiffrement aura lieu.

Créez une infrastructure pour prendre en charge les utilisateurs exemptés.

Des exemples de cette infrastructure fournissent aux utilisateurs un numéro de téléphone de contact, une page Web ou une adresse postale qu'ils peuvent utiliser pour demander une exemption.

Ajoutez l'utilisateur exempté dans un groupe de sécurité pour un objet de stratégie de groupe configuré spécifiquement pour les utilisateurs exemptés.

Notes

Si l'ordinateur est déjà protégé par BitLocker, la stratégie d'exemption de l'utilisateur n'a aucun effet. De plus, si un autre utilisateur se connecte à un ordinateur qui n'est pas exempté de la stratégie de chiffrement, le chiffrement aura lieu.

Lorsque les utilisateurs finaux se connectent à un ordinateur qui doit être chiffré, ils reçoivent une notification indiquant que leur ordinateur va être chiffré. Ils peuvent sélectionner Demander une exemption et ajourner le chiffrement en sélectionnant Reporter ou sélectionner Démarrer le chiffrement pour accepter le chiffrement BitLocker.

Notes

Le choix de l'option Demander une exemption reporte la protection BitLocker au délai maximal défini dans la stratégie d'exemption de l'utilisateur.
Si les utilisateurs finaux sélectionnent Demander une exemption, ils reçoivent une notification leur indiquant de contacter le groupe d'administration BitLocker de l'organisation. Selon la configuration de l'option Configurer la stratégie d'exemption de l'utilisateur, les utilisateurs ont accès à une ou plusieurs des méthodes de contact suivantes :
- Numéro de téléphone
- URL de page Web
- Adresse postale
Une fois la demande d'exemption reçue, l'administrateur MBAM décide s'il convient d'ajouter l'utilisateur au groupe Services de domaine Active Directory (AD DS) d'exemption BitLocker.
Une fois qu'un utilisateur final a soumis une demande d'exemption, le client MBAM signale l'utilisateur comme étant « Temporairement exempté ». Le client patiente alors un certain nombre de jours, configuré par les administrateurs, avant de vérifier de nouveau la conformité de l'ordinateur. Si l'administrateur MBAM rejette la demande d'exemption, l'option de demande d'exemption est désactivée, ce qui empêche l'utilisateur de redemander l'exemption.

Pour exempter un utilisateur du chiffrement de lecteur BitLocker

Créez un groupe de sécurité AD DS qui servira à gérer les exemptions d'utilisateur en matière d'exigences de chiffrement BitLocker.
Créez un objet de stratégie de groupe en utilisant les modèles de stratégie de groupe Microsoft BitLocker Administration and Monitoring.
Associez l'objet de stratégie de groupe à un groupe AD DS que vous avez créé à l'étape précédente. Les paramètres de stratégie permettant d'exempter des utilisateurs se trouvent dans : Configuration utilisateur > Modèles d'administration > Composants Windows > MDOP MBAM (Gestion BitLocker).
Ajoutez les noms des utilisateurs qui demandent une exemption au groupe de sécurité que vous avez créé pour les utilisateurs exemptés de la protection BitLocker.

Lorsqu'un utilisateur se connecte à un ordinateur contrôlé par BitLocker, le client MBAM vérifie le paramètre de stratégie d'exemption de l'utilisateur. Si l'ordinateur est déjà chiffré, la protection BitLocker n'est pas suspendue. Si l'ordinateur n'est pas chiffré, MBAM n'invite pas l'utilisateur à activer le chiffrement.

Important

Les scénarios d'ordinateur partagé nécessitent une attention particulière lorsque vous utilisez des exemptions d'utilisateur BitLocker. Si un utilisateur non exempté se connecte à un ordinateur partagé avec un utilisateur exempté, l'ordinateur risque d'être chiffré.

Vous avez une suggestion pour MBAM ? Ajoutez des suggestions ou votez pour les meilleures ici.
Vous rencontrez un problème avec MBAM ? Utilisez le Forum TechNet MBAM.

Partager via

Gestion des exemptions de chiffrement BitLocker d'utilisateur

Pour exempter un utilisateur du chiffrement de lecteur BitLocker

Voir aussi

Concepts

Autres ressources

Ressources supplémentaires