Como gerenciar isenções de criptografia BitLocker para usuários
Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.0
Microsoft BitLocker Administration and Monitoring (MBAM) pode ser usado para gerenciar a proteção do BitLocker isentando os usuários que não precisam ou não querem que suas unidades sejam criptografadas.
Para usuários isentos da proteção do BitLocker, uma organização terá de criar uma infraestrutura para dar suporte a usuários isentos, como dar a ele um número de telefone de contato, página da Web ou endereço de correspondência a ser usado para solicitar uma isenção. Além disso, qualquer usuário isento precisa ser adicionado a um grupo de segurança do Objeto de Política do Grupo, criado especialmente para usuários isentos. Quando membros desse grupo de segurança fazem logon em um computador, a configuração da Política de Grupo do usuário mostra que ele está isento da proteção do BitLocker. A configuração de Política de Grupo do usuário substitui a política do computador e o computador permanecerá isento da criptografia BitLocker.
Dica
Se o computador já estiver protegido pelo BitLocker, a política de isenção do usuário não terá efeito.
A tabela a seguir mostra como a proteção do BitLocker é aplicada com base na definição das isenções.
Status do Usuário | Computador Não Isento | Computador Isento |
---|---|---|
Usuário não isento |
A proteção do BitLocker está imposta no computador |
A proteção do BitLocker não está imposta no computador |
Usuário isento |
A proteção do BitLocker não está imposta no computador |
A proteção do BitLocker não está imposta no computador |
Para isentar um usuário da criptografia do BitLocker
Crie um grupo de segurança dos Serviços de Domínio Active Directory que será usado para gerenciar as isenções de usuários da criptografia do BitLocker.
Crie uma configuração de Objeto da Política de Grupo usando o modelo de Política de Grupo do Microsoft BitLocker Administration and Monitoring, depois associe-o ao grupo Active Directory criado na etapa anterior. As configurações de política para isentar usuários podem ser encontradas em UserConfiguration\Administrative Templates\Windows Components\MDOP MBAM (Gerenciamento do BitLocker).
Após criar um grupo de segurança de usuários isentos do BitLocker, adicione esse grupo aos nomes dos usuários que estão solicitando uma isenção. Quando um usuário faz logon em um computador controlado pelo BitLocker, o cliente MBAM verifica a configuração da Política de Isenção do Usuário e suspende a proteção se o usuário for parte do grupo de segurança de isenção do BitLocker.
Importante
Os cenários de computador compartilhado exigem uma consideração especial ao usar isenções de usuário. Se um usuário não isento fizer logon em um computador compartilhado com um usuário isento, o computador poderá ser criptografado.
Para permitir que os usuários solicitem isenção de criptografia do BitLocker
Se você configurou políticas de isenção de usuário usando o modelo de política MBAM, um usuário poderá solicitar uma isenção de proteção do BitLocker através do cliente MBAM.
Quando os usuários finais entram em um computador que precisa ser criptografado, recebem um notificação de que o computador será criptografado. O usuário pode selecionar Solicitar Isenção e adiar a criptografia selecionando Mais Tarde ou selecionar Iniciar para aceitar a criptografia do BitLocker.
Dica
A seleção de Solicitar Isenção adia a proteção do BitLocker até que o tempo máximo seja definido na Política de Isenção do Usuário.
Quando usuários finais selecionam Solicitar Isenção, recebem uma notificação para entrar em contato com o grupo de administração do BitLocker da organização. Dependendo do modo como Configurar Política de Isenção é configurado, os usuários poderão usar um ou mais dos seguintes métodos de contato:
Número de telefone
URL da página da Web
Endereço para correspondência
Após o envio da solicitação, o Administrador do MBAM pode decidir se é apropriado adicionar o usuário ao grupo Active Directory de Isenção do BitLocker.
Dica
Depois que um usuário envia uma solicitação de isenção, o agente do MBAM informa que o usuário está "temporariamente isento" e, em seguida, aguarda um número configurável de dias antes de verificar a conformidade do computador novamente. Se o administrador do MBAM recusar a solicitação de isenção, a opção de solicitação de isenção será desativada, evitando que o usuário a solicite novamente.
Consulte Também
Outros Recursos
Administrar a MBAM 2.0 apresenta
-----
Você pode saber mais sobre o MDOP na Biblioteca do TechNet, pesquisar por solução de problemas no TechNet Wiki ou nos seguir no Facebook ou Twitter.
-----