Управление исключениями шифрования BitLocker для пользователя

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 2.0

Администрирование и мониторинг Microsoft BitLocker (MBAM) можно использовать для управления защитой BitLocker путем исключения пользователей, для которых не требуется или нежелательно шифрование дисков.

Чтобы исключить пользователей из защиты BitLocker, организации придется создавать инфраструктуру для поддержки исключенных пользователей, например, путем предоставления пользователю контактного номера телефона, веб-страницы или почтового адреса, которые используются для отправки запроса на исключение. Всех исключенных пользователей также необходимо добавить в группу безопасности для групповой политики, созданной специально для исключенных пользователей. Когда участники этой группы безопасности выполняют вход на компьютер, в групповой политике пользователя указывается, что пользователь исключен из защиты BitLocker. Параметр групповой политики пользователя перезаписывает политику компьютера, и компьютер остается исключенным из шифрования BitLocker.

Примечание

Если компьютер уже защищен посредством BitLocker, политика исключения пользователя не действует.

В следующей таблице показано применение защиты BitLocker с учетом способа настройки исключений.

Состояние пользователя Компьютер не исключен Компьютер исключен

Пользователь не исключен

На компьютере установлена защита BitLocker.

На компьютере не установлена защита BitLocker.

Исключение пользователей

На компьютере не установлена защита BitLocker.

На компьютере не установлена защита BitLocker.

Исключение пользователей из шифрования BitLocker

  1. Создание группы безопасности доменных служб Active Directory, которые будут использоваться для управления исключением пользователей из шифрования BitLocker.

  2. Создайте объект групповой политики, используя шаблон групповой политики Администрирование и мониторинг Microsoft BitLocker, и свяжите его с группой Active Directory, созданной в предыдущем шаге. Параметры политики, чтобы исключить пользователей можно найти в разделе UserConfiguration\Administrative шаблоны\Компоненты Components\MDOP MBAM (Управление BitLocker).

  3. После создания группы безопасности для исключенных из BitLocker пользователей необходимо добавить в эту группу имена пользователей, запрашивающих исключение. Когда пользователь выполняет вход на компьютер под управлением BitLocker, клиент MBAM проверяет настройки политики исключения пользователей и приостанавливает действие защиты в зависимости от того, принадлежит ли пользователь к группе безопасности, исключенной из BitLocker.

    Важно!

    Для исключение пользователей на общедоступных компьютерах требуется специальная процедура. Если неисключенный пользователь выполняет вход на компьютер, доступ к которому имеет также исключенный пользователь, для компьютера может применяться шифрование.

Предоставление пользователям разрешений для запроса исключения из шифрования BitLocker

  1. После настройки политик исключения пользователей с помощью шаблона политики MBAM пользователь может запрашивать исключение из защиты BitLocker посредством клиента MBAM.

  2. При входе конечных пользователей на компьютер, который требуется зашифровать, они получают уведомление, что компьютер будет зашифрован. Пользователь может выбрать команду Запросить исключение и отложить шифрование, выбрав Позднее, или нажать кнопку Пуск, чтобы принять шифрование BitLocker.

    Примечание

    При выборе Запросить исключение защита BitLocker будет отложена на максимальный срок, заданный в политике исключения пользователей.

  3. Если конечный пользователь выберет пункт Запросить исключение, он получит уведомление о том, что следует обратиться в группу администрирования BitLocker организации. В зависимости от настроек политики исключения пользователей пользователям предоставляется один или несколько доступных способов обращения:

    • Номер телефона

    • URL-адрес веб-страницы

    • Почтовый адрес

    После отправки запроса администратор MBAM принимает решение о добавлении пользователя в группу Active Directory исключения из BitLocker.

    Примечание

    Когда пользователь отправляет запрос на исключение, агент MBAM назначает пользователю статус "временно исключен", а затем ждет определенное количество дней и проверяет соответствие компьютера еще раз. Если администратор MBAM отклоняет запрос на исключение, параметр запроса на исключение деактивируется, и пользователь не сможет повторно отправить запрос на исключение.

См. также

Другие ресурсы

Администрирование MBAM 2.0 средства

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----