Condividi tramite


Come gestire le esenzioni dalla crittografia BitLocker dell'utente

Microsoft BitLocker Administration and Monitoring (MBAM) consente di escludere gli utenti dai requisiti di Crittografia unità BitLocker.

Per escludere gli utenti dalla protezione BitLocker, è necessario:

  • Creare un'infrastruttura per supportare gli utenti esentati. Esempi di questa infrastruttura includono la fornitura agli utenti di un numero di telefono di contatto, una pagina Web o un indirizzo di posta che possono usare per richiedere un'esenzione.

  • Aggiungere l'utente esentato a un gruppo di sicurezza per un oggetto Criteri di gruppo configurato in modo specifico per gli utenti esentati. Quando i membri di questo gruppo di sicurezza accedono a un computer, l'impostazione dei criteri di gruppo dell'utente esenta l'utente dalla protezione BitLocker. L'impostazione dei criteri di gruppo dell'utente sovrascrive i criteri del computer e il computer rimane esente dalla crittografia BitLocker.

    Nota

    Se il computer è già protetto da BitLocker e l'utente è esentato, MBAM non applica i criteri di crittografia. Tuttavia, se un altro utente che non è esentato dai criteri di crittografia accede al computer, viene avviata la crittografia.

I passaggi seguenti descrivono cosa accade quando gli utenti finali richiedono un'esenzione dal processo di esenzione crittografia unità BitLocker tramite il client MBAM o qualsiasi processo usato dall'organizzazione. È necessario configurare le impostazioni dei criteri di gruppo di MBAM per consentire agli utenti finali di richiedere un'esenzione da Crittografia unità BitLocker.

  1. Quando gli utenti finali accedono a un computer che deve essere crittografato, ricevono una notifica che indica che il computer verrà crittografato. Possono selezionare Richiedi esenzione e posticipare la crittografia selezionando Posticipa oppure possono selezionare Avvia crittografia per accettare la crittografia BitLocker.

    Nota

    Se si seleziona Richiedi esenzione , la protezione BitLocker viene posticipa fino al tempo massimo impostato nei criteri di esenzione utente.

  2. Se gli utenti finali selezionano Richiedi esenzione, ricevono una notifica che indica loro di contattare il gruppo di amministrazione BitLocker dell'organizzazione. A seconda della configurazione dei criteri di esenzione utente , agli utenti viene fornito uno o più dei metodi di contatto seguenti:

    • Numero di telefono

    • URL pagina Web

    • Indirizzo di posta elettronica

  3. Dopo aver ricevuto la richiesta di esenzione, l'amministratore di MBAM decide se aggiungere l'utente al gruppo Di dominio Active Directory Domain Services (ADDS) esenzione BitLocker.

  4. Dopo che un utente finale ha inviato una richiesta di esenzione, il client MBAM segnala l'utente come "Temporaneamente esente". Il client attende quindi un numero specificato di giorni, configurato dagli amministratori IT, prima di controllare nuovamente la conformità del computer. Se l'amministratore di MBAM rifiuta la richiesta di esenzione, l'opzione di richiesta di esenzione viene disattivata, impedendo all'utente di richiedere nuovamente l'esenzione.

Per esentare un utente da Crittografia unità BitLocker

  1. Creare un gruppo di sicurezza ADDS per gestire le esenzioni degli utenti dai requisiti di crittografia di BitLocker.

  2. Creare un oggetto Criteri di gruppo usando i modelli di Criteri di gruppo Amministrazione e monitoraggio di Microsoft BitLocker.

  3. Associare l'oggetto Criteri di gruppo al gruppo ADDS creato nel passaggio precedente. Le impostazioni dei criteri per esentare gli utenti si trovano in: UserConfiguration>Administrative Templates>Windows Components>MDOP MBAM (BitLocker Management).

  4. Al gruppo di sicurezza creato per gli utenti esentati da BitLocker, aggiungere i nomi degli utenti che richiedono un'esenzione.

    Quando un utente accede a un computer controllato da BitLocker, il client MBAM controlla l'impostazione Dei criteri di esenzione utente. Se il computer è già crittografato, la protezione BitLocker non viene sospesa. Se il computer non è crittografato, MBAM non richiede all'utente di crittografare.

    Nota

    Gli scenari di computer condivisi richiedono una considerazione speciale quando si usano le esenzioni utente di BitLocker. Se un utente non esente accede a un computer condiviso con un utente esente, il computer potrebbe essere crittografato.

Amministrazione delle funzionalità di MBAM 2.5

Pianificazione dei requisiti dei criteri di gruppo di MBAM 2.5