Share via

Управление исключениями шифрования BitLocker для пользователя

  • Статья

Администрирование и мониторинг Microsoft BitLocker (MBAM) позволяет исключить пользователей из требований к шифрованию дисков BitLocker.

Чтобы исключить пользователей из защиты BitLocker, необходимо:

Задача Сведения

Создайте инфраструктуру для поддержки исключенных пользователей.

Примеры этой инфраструктуры включают предоставление пользователям номера телефона контакта, веб-страницы или почтового адреса, которые они могут использовать для запроса исключения.

Добавьте исключенного пользователя в группу безопасности для объекта групповая политика, настроенного специально для исключенных пользователей.

Когда члены этой группы безопасности войдите на компьютер, параметр групповая политика пользователя исключает защиту BitLocker. Параметр пользователя групповая политика перезаписывает политику компьютера, и компьютер останется исключенным из шифрования BitLocker.

Примечание.

MBAM не применяет политику шифрования, если компьютер уже защищен BitLocker и пользователь исключен. Однако если другой пользователь, не исключенный из политики шифрования, входит на компьютер, будет выполняться шифрование.

Ниже описано, что происходит, когда конечные пользователи запрашивают исключение из процесса исключения шифрования дисков BitLocker через клиент MBAM или через любой процесс, который использует ваша организация. Необходимо настроить параметры групповая политика MBAM, чтобы пользователи могли запрашивать исключение из шифрования диска BitLocker.

  1. Когда конечные пользователи входить на компьютер, который требуется шифровать, они получают уведомление о том, что их компьютер будет зашифрован. Они могут выбрать исключение запроса и отложить шифрование, выбрав "Отложить", или выбрать "Начать шифрование", чтобы принять шифрование BitLocker.

    Примечание.
    Выбор исключения запроса откладывает защиту BitLocker до максимального времени, задаваемого в политике исключения пользователей.

  2. Если конечные пользователи выбирают исключение запроса, они получают уведомление о том, что им нужно обратиться в группу администрирования BitLocker организации. В зависимости от того, как настроена политика исключения пользователей, пользователям предоставляется один или несколько из следующих методов связи:

    • Номер телефона

    • URL-адрес веб-страницы

    • Почтовый адрес

  3. После получения запроса на исключение администратор MBAM решает, следует ли добавить пользователя в группу исключения BitLocker доменные службы Active Directory (AD DS).

  4. После того как конечный пользователь отправит запрос на исключение, клиент MBAM сообщает пользователю о временном исключении. Затем клиент ожидает указанное число дней, настроенное ИТ-администраторами, прежде чем снова проверять соответствие компьютера. Если администратор MBAM отклоняет запрос на исключение, параметр запроса на исключение деактивирован, что не позволяет пользователю повторно запрашивать исключение.

Администрирование и мониторинг Microsoft BitLocker (MBAM) позволяет исключить пользователей из требований к шифрованию дисков BitLocker.

Чтобы исключить пользователей из защиты BitLocker, необходимо:

Задача Сведения

Создайте инфраструктуру для поддержки исключенных пользователей.

Примеры этой инфраструктуры включают предоставление пользователям номера телефона контакта, веб-страницы или почтового адреса, которые они могут использовать для запроса исключения.

Добавьте исключенного пользователя в группу безопасности для объекта групповая политика, настроенного специально для исключенных пользователей.

Когда члены этой группы безопасности войдите на компьютер, параметр групповая политика пользователя исключает защиту BitLocker. Параметр пользователя групповая политика перезаписывает политику компьютера, и компьютер останется исключенным из шифрования BitLocker.

Примечание.

Если компьютер уже защищен BitLocker, политика исключения пользователей не действует. Кроме того, если другой пользователь входит на компьютер, не исключенный из политики шифрования, будет выполняться шифрование.

Ниже описано, что происходит, когда конечные пользователи запрашивают исключение из процесса исключения шифрования дисков BitLocker через клиент MBAM или через любой процесс, который использует ваша организация. Необходимо настроить параметры групповая политика MBAM, чтобы пользователи могли запрашивать исключение из шифрования диска BitLocker.

  1. Когда конечные пользователи входить на компьютер, который требуется шифровать, они получают уведомление о том, что их компьютер будет зашифрован. Они могут выбрать исключение запроса и отложить шифрование, выбрав "Отложить", или выбрать "Начать шифрование", чтобы принять шифрование BitLocker.

    Примечание.
    Выбор исключения запроса откладывает защиту BitLocker до максимального времени, задаваемого в политике исключения пользователей.

  2. Если конечные пользователи выбирают исключение запроса, они получают уведомление о том, что им нужно обратиться в группу администрирования BitLocker организации. В зависимости от того, как настроена политика исключения пользователей, пользователям предоставляется один или несколько из следующих методов связи:

    • Номер телефона

    • URL-адрес веб-страницы

    • Почтовый адрес

  3. После получения запроса на исключение администратор MBAM решает, следует ли добавить пользователя в группу исключения BitLocker доменные службы Active Directory (AD DS).

  4. После того как конечный пользователь отправит запрос на исключение, клиент MBAM сообщает пользователю о временном исключении. Затем клиент ожидает указанное число дней, настроенное ИТ-администраторами, прежде чем снова проверять соответствие компьютера. Если администратор MBAM отклоняет запрос на исключение, параметр запроса на исключение деактивирован, что не позволяет пользователю повторно запрашивать исключение.

Исключение пользователя из шифрования диска BitLocker

  1. Создайте группу безопасности AD DS, которая будет использоваться для управления исключениями пользователей из требований шифрования BitLocker.

  2. Создайте групповая политика с помощью шаблонов администрирования и мониторинга Microsoft BitLocker групповая политика.

  3. Свяжите объект групповая политика с группой AD DS, созданной на предыдущем шаге. Параметры политики для исключенных пользователей находятся по адресу: UserConfiguration>Administrative TemplatesWindows Components>>MDOP MBAM (BitLocker Management).

  4. В группу безопасности, созданную для исключенных пользователей BitLocker, добавьте имена пользователей, которые запрашивают исключение.

    Когда пользователь входит на компьютер под управлением BitLocker, клиент MBAM проверяет параметр политики исключения пользователей. Если компьютер уже зашифрован, защита BitLocker не будет приостановлена. Если компьютер не зашифрован, MBAM не запрашивает у пользователя шифрование.

    Важно.
    Сценарии использования общих компьютеров требуют особого рассмотрения при использовании исключений пользователей BitLocker. Если пользователь, не исключенный, входит на компьютер, к котором предоставлен доступ исключенному пользователю, он может быть зашифрован.

Администрирование компонентов MBAM 2.5

Планирование требований групповой политики MBAM 2.5

Есть предложение по MBAM?

Для решения проблем MBAM используйте форум TechNet MBAM.