如何管理使用者 BitLocker 加密豁免

適用於: Microsoft BitLocker Administration and Monitoring 1.0

您可以使用 Microsoft BitLocker Administration and Monitoring (MBAM) 豁免不需要或不想加密磁碟機的使用者，以便管理 BitLocker 保護。

若要讓使用者得以豁免 BitLocker 保護，組織必須先建立可支援此種豁免的基礎結構。 此支援基礎結構可能包括用於要求豁免的連絡電話號碼、網頁或郵寄地址。 此外，任何豁免使用者都必須新增到專為豁免使用者建立的群組原則安全性群組。 當此安全性群組的成員登入電腦時，使用者群組原則將會顯示該使用者已獲得 BitLocker 保護豁免。 此使用者原則會覆寫電腦原則，因此電腦仍會保持豁免 BitLocker 加密。

注意

如果電腦已受 BitLocker 保護，使用者豁免原則不會有任何影響。

下表依據豁免設定顯示 BitLocker 保護的套用方式。

使用者狀態	電腦未豁免	電腦豁免
使用者未豁免	電腦會強制採用 BitLocker 保護。	電腦不會強制採用 BitLocker 保護。
使用者豁免	電腦不會強制採用 BitLocker 保護。	電腦不會強制採用 BitLocker 保護。

若要讓使用者豁免 BitLocker 加密

1. 建立用來管理 BitLocker 加密使用者豁免的 Active Directory 網域服務安全性群組。

2. 使用 MBAM 群組原則範本建立群組原則物件設定。 將群組原則物件與您在上一步建立的 Active Directory 群組關聯。 如需可讓使用者要求豁免 BitLocker 加密之必要原則設定的詳細資訊，請參閱 MBAM 1.0 群組原則需求規劃中的＜設定使用者豁免原則＞一節。

3. 建立 BitLocker 豁免使用者的安全性群組之後，請將要求豁免之使用者的名稱新增到此群組。 當使用者登入由 BitLocker 控制的電腦時，MBAM 用戶端將會檢查使用者豁免原則設定並暫停保護 (根據使用者是否為 BitLocker 豁免安全性群組的成員)。

   注意

   共用電腦案例在使用者豁免上需要有特殊的考量。 如果未豁免的使用者登入與豁免使用者共用的電腦，電腦可能已加密。

若要讓使用者要求豁免 BitLocker 加密

1. 在您使用 MBAM 原則範本設定使用者豁免原則之後，使用者便可透過 MBAM 用戶端要求豁免 BitLocker 保護。

2. 當使用者登入在 MBAM 硬體相容性清單中標示為 [相容] 的電腦時，系統會對使用者顯示一則電腦即將加密的通知。 使用者可以選取 [要求豁免] 並選取 [稍後] 以延遲加密，或選取 [開始] 接受 BitLocker 加密。

   注意

   選取 [要求豁免] 將會延遲 BitLocker 保護，直到使用者豁免原則中設定的時間上限為止。

3. 當使用者選取 [要求豁免] 時，將會收到通知，要求使用者與組織的 BitLocker 系統管理小組連絡。 依據 [設定使用者豁免原則] 的設定，將會提供使用者下列一或多種連絡方式：

   • 電話號碼

   • 網頁 URL

   • 郵寄地址

   提交要求之後，MBAM 系統管理員可以決定是否應將使用者新增到 BitLocker 豁免 Active Directory 群組。

   注意

   一旦超過使用者豁免原則中的延遲時間限制之後，使用者便不會看到要求豁免加密原則的選項。 此時，使用者必須直接與 MBAM 系統管理員連絡，才能獲得 BitLocker 保護豁免。

另請參閱

其他資源

管理 MBAM 1.0 功能

-----
您可以透過 TechNet Library 深入瞭解 MDOP、在 TechNet Wiki 上搜尋疑難排解資訊，或是透過 Facebook 或 Twitter 追蹤我們的動態。
-----