Condividi tramite

Come gestire le esenzioni dalla crittografia BitLocker degli utenti

  • Articolo

Aggiornamento: aprile 2013

Si applica a: Microsoft BitLocker Administration and Monitoring 2.0

Microsoft BitLocker Administration and Monitoring (MBAM) consente di gestire la protezione BitLocker impostando un'esenzione per gli utenti che non necessitano o non desiderano la crittografia per le loro unità.

Per l'esenzione dalla protezione BitLocker, un'organizzazione deve creare un'infrastruttura per il supporto degli utenti esenti, ad esempio fornendo all'utente un numero di telefono di contatto, una pagina Web o indirizzo di posta da usare per richiedere un'esenzione. Inoltre, gli utenti esenti dovranno essere aggiunti a un gruppo di sicurezza per l'oggetto Criteri di gruppo creato specificamente per questi casi. Quando i membri di questo gruppo di sicurezza accedono a un computer, l'impostazione di Criteri di gruppo mostra che l'utente è esente dalla protezione BitLocker. L'impostazione di Criteri di gruppo dell'utente sovrascrive i criteri del computer, che rimarrà quindi esente dalla crittografia BitLocker.

Nota

Se il computer è già protetto da BitLocker, i criteri di esenzione dell'utente non avranno effetto.

Nella tabella riportata di seguito viene illustrato come viene applicata la protezione BitLocker in base all'impostazione delle esenzioni.

Stato utente Computer non esente Computer esente

Utente non esente

La protezione BitLocker viene applicata al computer

La protezione BitLocker non viene applicata al computer

Utente esente

La protezione BitLocker non viene applicata al computer

La protezione BitLocker non viene applicata al computer

Per esentare un utente dalla crittografia BitLocker

  1. Creare un gruppo di sicurezza di Servizi di dominio Active Directory che verrà usato per gestire le esenzioni utente dalla crittografia BitLocker.

  2. Creare un'impostazione dell'oggetto Criteri di gruppo usando il modello Criteri di gruppo di Microsoft BitLocker Administration and Monitoring, quindi associarlo al gruppo di Active Directory creato nel passaggio precedente. Le impostazioni dei criteri per l'esenzione degli utenti sono disponibili in UserConfiguration\Modelli amministrativi\Componenti di Windows\MBAM (Gestione BitLocker) di MDOP.

  3. Dopo aver creato un gruppo di sicurezza per gli utenti esenti da BitLocker, aggiungervi i nomi degli utenti che richiedono l'esenzione. Quando un utente accede a un computer controllato da BitLocker, il client di MBAM verifica l'impostazione dei criteri di esenzione utente e sospende la protezione se l'utente appartiene al gruppo di sicurezza con esenzione da BitLocker.

    Importante

    Gli scenari con computer condivisi richiedono una particolare attenzione relativamente alle esenzioni degli utenti. Se un utente non esente accede a un computer condiviso con un utente esente, il computer potrebbe essere crittografato.

Per consentire agli utenti di richiedere un'esenzione dalla crittografia BitLocker

  1. Dopo aver configurato i criteri di esenzione utente usando il modello di criteri di MBAM, un utente può richiedere l'esenzione dalla protezione BitLocker tramite il client di MBAM.

  2. Quando l'utente accede a un computer con obbligo di crittografia riceve una notifica che indica che il computer verrà crittografato. L'utente può selezionare Richiedi esenzione e posticipare la crittografia selezionando In seguito. In alternativa, può selezionare Avvia per accettare la crittografia BitLocker.

    Nota

    Se si seleziona Richiedi esenzione, la protezione BitLocker verrà posticipata fino al tempo massimo impostato nei criteri di esenzione utente.

  3. Se un utente seleziona Richiedi esenzione riceverà una notifica in cui è indicato di contattare il gruppo di amministrazione BitLocker dell'organizzazione. In base alla configurazione dei criteri di esenzione utente, agli utenti vengono forniti uno o più metodi di contatto seguenti:

    • Numero di telefono

    • URL di pagina Web

    • Indirizzo postale

    Dopo l'invio della richiesta di esenzione l'amministratore di MBAM può decidere se è appropriato aggiungere l'utente al gruppo di Active Directory con esenzione da BitLocker.

    Nota

    Dopo che l'utente ha inviato una richiesta di esenzione l'agente di MBAM lo segnala come "temporaneamente esente" e attende un numero configurabile di giorni prima di verificare di nuovo la conformità del computer. Se l'amministratore di MBAM rifiuta la richiesta di esenzione, l'opzione correlata viene disattivata per evitare che l'utente possa ripetere la richiesta.

Vedere anche

Altre risorse

Amministrazione MBAM 2.0 Features

-----
Per ulteriori informazioni su MDOP, è possibile accedere alla libreria TechNet, cercare contenuto sulla risoluzione di problemi in TechNet Wiki o tenersi informati tramite Facebook o Twitter.
-----