Управление исключениями шифрования BitLocker для пользователей
Администрирование и мониторинг Microsoft BitLocker (MBAM) можно использовать для управления защитой BitLocker, освобождая пользователей, если есть пользователи, которые не нуждаются или хотят, чтобы их диски были зашифрованы.
Чтобы исключить пользователей из защиты BitLocker, организации потребуется создать инфраструктуру для поддержки исключенных пользователей, например предоставить пользователю контактный номер телефона, веб-страницу или почтовый адрес для запроса исключения. Кроме того, в группу безопасности для объекта групповая политика, созданного специально для исключенных пользователей, необходимо добавить исключенного пользователя. Когда члены этой группы безопасности входят в систему на компьютере, параметр групповая политика пользователя показывает, что пользователь освобожден от защиты BitLocker. Параметр групповая политика пользователя перезаписывает политику компьютера, и компьютер останется без шифрования BitLocker.
Примечание Если компьютер уже защищен BitLocker, политика исключения пользователей не действует.
В следующей таблице показано, как применяется защита BitLocker на основе настройки исключений.
| Состояние пользователя | Компьютер не освобождается | Исключение компьютера |
|---|---|---|
Пользователь не освобождается |
Защита BitLocker применяется на компьютере |
Защита BitLocker не применяется на компьютере |
Исключение пользователя |
Защита BitLocker не применяется на компьютере |
Защита BitLocker не применяется на компьютере |
Освобождение пользователя от шифрования BitLocker
Создайте группу безопасности доменные службы Active Directory, которая будет использоваться для управления исключениями пользователей из требований шифрования BitLocker.
Создайте параметр объекта групповая политика с помощью шаблона Microsoft BitLocker Administration and Monitoring групповая политика и свяжите его с группой Active Directory, созданной на предыдущем шаге. Параметры политики для исключения пользователей можно найти в разделе UserConfiguration\Administrative Templates\Windows Components\MDOP MBAM (Управление BitLocker).
После создания группы безопасности для пользователей, исключенных из BitLocker, добавьте в эту группу имена пользователей, запрашивающих исключение. Когда пользователи входят на компьютер, контролируемый BitLocker, клиент MBAM проверит параметр политики исключения пользователей и приостановит защиту в зависимости от того, входит ли пользователь в группу безопасности исключения BitLocker.
Важно Сценарии с общим компьютером требуют особого внимания при использовании исключений пользователей. Если пользователь, не исключаемый, входит в систему на компьютере, к которым предоставлен общий доступ, компьютер может быть зашифрован.
Разрешение пользователям запрашивать исключение из шифрования BitLocker
Если вы настроили политики исключения пользователей с помощью шаблона политики MBAM, пользователь может запросить исключение из защиты BitLocker через клиент MBAM.
Когда пользователи входят на компьютер, который требуется зашифровать, они получают уведомление о том, что их компьютер будет зашифрован. Они могут выбрать Запросить исключение и отложить шифрование, выбрав Позже, или запустить , чтобы принять шифрование BitLocker.
Примечание При выборе исключения запроса защита BitLocker откладывается до максимального времени, установленного в политике исключения пользователей.
Если пользователи выбирают запросить исключение, они получат уведомление о необходимости связаться с группой администрирования BitLocker вашей организации. В зависимости от того, как настроена политика настройки исключения пользователей, пользователям предоставляется один или несколько из следующих методов связи:
Номер телефона
URL-адрес веб-страницы
Почтовый адрес
После получения запроса на исключение администратор MBAM может принять решение о том, следует ли добавить пользователя в группу Active Directory исключения BitLocker.
Примечание После отправки пользователем запроса на освобождение агент MBAM сообщает пользователю о временном исключении, а затем ожидает настраиваемое количество дней, прежде чем снова проверит соответствие компьютера. Если администратор MBAM отклоняет запрос на исключение, параметр запроса на исключение отключается, что не позволяет пользователю повторно запросить исключение.