如何管理使用者 BitLocker 加密豁免

Microsoft BitLocker Administration and Monitoring (MBAM) 可讓您免除使用者的 BitLocker 磁碟驅動器加密需求。

若要免除使用者的 BitLocker 保護，您必須：

建立基礎結構以支援豁免的使用者。 此基礎結構的範例包括為使用者提供可用來要求豁免的聯繫人電話號碼、網頁或郵件位址。
針對專為豁免使用者設定的組策略物件，將豁免的使用者新增至安全組。 當此安全組的成員登入計算機時，使用者的組策略設定會免除使用者的 BitLocker 保護。使用者的組策略設定會覆寫計算機原則，且計算機仍可免於 BitLocker 加密。

注意

如果計算機已受到 BitLocker 保護，且使用者已豁免，則 MBAM 不會套用加密原則。不過，如果其他未豁免加密原則的使用者登入計算機，就會開始加密。

下列步驟說明當終端使用者透過MBAM用戶端或透過組織使用的任何程式要求豁免 BitLocker 磁碟驅動器加密豁免程式時，會發生什麼情況。您必須設定 MBAM 組策略設定，以允許終端使用者要求豁免 BitLocker 磁碟驅動器加密。

當終端使用者登入需要加密的計算機時，會收到其計算機即將加密的通知。他們可以選取 [ 要求豁免 ] 並藉由選取 [ 延後] 來延後加密，也可以選取 [ 開始加密 ] 以接受 BitLocker 加密。

注意

選 取 [要求豁免 ] 會將 BitLocker 保護延後到使用者豁免原則中設定的最大時間。
如果終端用戶選取 [要求豁免]，他們會收到通知，告知他們連絡組織的 BitLocker 管理群組。視設定 使用者豁免 原則的方式而定，用戶會獲得下列一或多個連絡方法：
- 電話號碼
- 網頁 URL
- 郵件位址
收到豁免要求之後，MBAM 系統管理員決定是否要將使用者新增至 BitLocker 豁免 Active Directory Domain Services (ADDS) 群組。
終端使用者提交豁免要求之後，MBAM 用戶端會將用戶回報為「暫時豁免」。客戶端接著會等候 IT 系統管理員設定的指定天數，然後再次檢查計算機的合規性。如果 MBAM 系統管理員拒絕豁免要求，則會停用豁免要求選項，以防止使用者再次要求豁免。

將使用者從 BitLocker 磁碟驅動器加密中豁免

建立 ADDS 安全組以管理 BitLocker 加密需求的使用者豁免。
使用 Microsoft BitLocker Administration and Monitoring 組策略範本來建立組策略物件。
將組策略物件與您在上一個步驟中建立的 ADDS 群組建立關聯。豁免用戶的原則設定位於：UserConfiguration 系統管理>範>本Windows 元件>MDOP MBAM (BitLocker 管理) 。
在您為 BitLocker 豁免使用者建立的安全組中，新增要求豁免的用戶名稱。

當使用者登入由 BitLocker 控制的電腦時，MBAM 用戶端會檢查 [使用者豁免原則] 設定。如果計算機已加密，則 BitLocker 保護不會暫停。如果計算機未加密，MBAM 不會提示用戶加密。

注意

當您使用 BitLocker 使用者豁免時，共用電腦案例需要特殊考慮。如果非豁免使用者登入與豁免使用者共用的計算機，計算機可能會加密。