Como gerir isenções de encriptação bitLocker do utilizador
A Administração e Monitorização do Microsoft BitLocker (MBAM) permite-lhe isentar os utilizadores dos requisitos de Encriptação de Unidade BitLocker.
Para isentar os utilizadores da proteção bitLocker, tem de:
Crie uma infraestrutura para suportar utilizadores excluídos. Exemplos desta infraestrutura incluem fornecer aos utilizadores um número de telefone de contacto, página Web ou endereço de correio que podem utilizar para pedir uma isenção.
Adicione o utilizador excluído a um grupo de segurança para um objeto de política de grupo que esteja configurado especificamente para utilizadores excluídos. Quando os membros deste grupo de segurança iniciam sessão num computador, a definição de política de grupo do utilizador isenta o utilizador da proteção do BitLocker. A definição de política de grupo do utilizador substitui a política de computador e o computador permanece isento da encriptação BitLocker.
Observação
Se o computador já estiver protegido pelo BitLocker e o utilizador estiver excluído, o MBAM não aplica a política de encriptação. No entanto, se outro utilizador que não está isento da política de encriptação iniciar sessão no computador, a encriptação é iniciada.
Os passos seguintes descrevem o que ocorre quando os utilizadores finais pedem uma isenção do processo de isenção de Encriptação de Unidade BitLocker através do cliente MBAM ou através de qualquer processo que a sua organização utilize. Tem de configurar as definições de política do grupo MBAM para permitir que os utilizadores finais peçam uma isenção da Encriptação de Unidade BitLocker.
Quando os utilizadores finais iniciam sessão num computador que tem de ser encriptado, recebem uma notificação de que o computador será encriptado. Podem selecionar Pedir Isenção e adiar a encriptação ao selecionar Adiar ou podem selecionar Iniciar Encriptação para aceitar a encriptação BitLocker.
Observação
Selecionar Isenção de Pedido adia a proteção do BitLocker até ao tempo máximo definido na Política de Isenção de Utilizadores.
Se os utilizadores finais selecionarem Pedir Isenção, receberão uma notificação a informá-los para contactarem o grupo de administração do BitLocker da organização. Dependendo da forma como a Configuração da Política de Isenção de Utilizadores está configurada, os utilizadores são fornecidos com um ou mais dos seguintes métodos de contacto:
Número de telefone
URL da página Web
Endereço de correio postal
Após a receção do pedido de isenção, o administrador do MBAM decide se pretende adicionar o utilizador ao grupo Serviços de Domínio do Active Directory (ADDS) de Isenção do BitLocker.
Depois de um utilizador final submeter um pedido de isenção, o cliente MBAM comunica o utilizador como "Temporariamente excluído". Em seguida, o Cliente aguarda um número especificado de dias, que os administradores de TI configuram, antes de verificar novamente a conformidade do computador. Se o administrador do MBAM rejeitar o pedido de isenção, a opção de pedido de isenção será desativada, o que impede o utilizador de pedir novamente a isenção.
Para isentar um utilizador da Encriptação de Unidade BitLocker
Crie um grupo de segurança adds para gerir as isenções de utilizador dos requisitos de encriptação do BitLocker.
Crie um objeto de política de grupo com os Modelos de política de grupo de Administração e Monitorização do Microsoft BitLocker.
Associe o objeto de política de grupo ao grupo ADDS que criou no passo anterior. As definições de política para utilizadores excluídos estão localizadas em: UserConfiguration>Administrative Templates>Windows Components>MDOP MBAM (Gestão do BitLocker).
Ao grupo de segurança que criou para utilizadores excluídos do BitLocker, adicione os nomes dos utilizadores que estão a pedir uma isenção.
Quando um utilizador inicia sessão num computador controlado pelo BitLocker, o cliente MBAM verifica a definição política de isenção de utilizador. Se o computador já estiver encriptado, a proteção BitLocker não será suspensa. Se o computador não estiver encriptado, o MBAM não pede ao utilizador para encriptar.
Observação
Os cenários de computador partilhado requerem especial consideração quando utiliza isenções de utilizador do BitLocker. Se um utilizador não isento iniciar sessão num computador partilhado com um utilizador excluído, o computador poderá estar encriptado.