Поделиться через

Управление исключениями шифрования BitLocker для пользователей

  • Статья

Microsoft BitLocker Administration and Monitoring (MBAM) позволяет исключить пользователей из требований к шифрованию диска BitLocker.

Чтобы исключить пользователей из защиты BitLocker, необходимо:

  • Создайте инфраструктуру для поддержки исключенных пользователей. Примерами этой инфраструктуры являются предоставление пользователям контактных номеров телефонов, веб-страниц или почтовых адресов, которые они могут использовать для запроса исключения.

  • Добавьте исключенного пользователя в группу безопасности для объекта групповой политики, настроенного специально для исключенных пользователей. Когда члены этой группы безопасности входят на компьютер, параметр групповой политики пользователя освобождает пользователя от защиты BitLocker. Параметр групповой политики пользователя перезаписывает политику компьютера, и компьютер остается исключенным из шифрования BitLocker.

    Примечание.

    Если компьютер уже защищен BitLocker и пользователь освобожден, MBAM не применяет политику шифрования. Однако если на компьютер входит другой пользователь, который не исключен из политики шифрования, начнется шифрование.

В следующих шагах описывается, что происходит, когда конечные пользователи запрашивают исключение из процесса исключения шифрования дисков BitLocker с помощью клиента MBAM или любого процесса, который использует ваша организация. Необходимо настроить параметры групповой политики MBAM, чтобы разрешить конечным пользователям запрашивать исключение из шифрования диска BitLocker.

  1. При входе конечных пользователей на компьютер, который требуется зашифровать, они получают уведомление о том, что их компьютер будет зашифрован. Они могут выбрать Запрос исключения и отложить шифрование, выбрав Отложить, или запустить шифрование , чтобы принять шифрование BitLocker.

    Примечание.

    При выборе исключения запроса защита BitLocker откладывается до максимального времени, установленного в политике исключения пользователей.

  2. Если конечные пользователи выбирают Запрос исключения, они получают уведомление о необходимости связаться с группой администрирования BitLocker организации. В зависимости от того, как настроена политика настройки исключения пользователей , пользователям предоставляется один или несколько из следующих методов связи:

    • Номер телефона

    • URL-адрес веб-страницы

    • Почтовый адрес

  3. После получения запроса на исключение администратор MBAM решает, следует ли добавить пользователя в группу BitLocker Доменные службы Active Directory исключения (ADD).

  4. После отправки пользователем запроса на исключение клиент MBAM сообщает пользователю о временном исключении. Затем клиент ожидает указанное количество дней, которое настраивают ИТ-администраторы, прежде чем снова проверить соответствие компьютера. Если администратор MBAM отклоняет запрос на исключение, параметр запроса на исключение отключается, что не позволяет пользователю повторно запрашивать исключение.

Освобождение пользователя от шифрования диска BitLocker

  1. Создайте группу безопасности ADDS для управления исключениями пользователей из требований к шифрованию BitLocker.

  2. Создайте объект групповой политики с помощью шаблонов групповой политики администрирования и мониторинга Microsoft BitLocker.

  3. Свяжите объект групповой политики с группой ADDS, созданной на предыдущем шаге. Параметры политики для исключения пользователей находятся в разделе UserConfiguration>Административные шаблоны>Компоненты> WindowsMDOP MBAM (Управление BitLocker).

  4. В группу безопасности, созданную для пользователей, освобожденных от BitLocker, добавьте имена пользователей, запрашивающих исключение.

    Когда пользователь входит на компьютер, контролируемый BitLocker, клиент MBAM проверяет параметр политики исключения пользователей. Если компьютер уже зашифрован, защита BitLocker не приостанавливается. Если компьютер не зашифрован, MBAM не запрашивает у пользователя запрос на шифрование.

    Примечание.

    Сценарии с общим компьютером требуют особого внимания при использовании исключений для пользователей BitLocker. Если пользователь, не освобождающийся от исключений, входит на компьютер, к которому предоставлен общий доступ, компьютер может быть зашифрован.

Администрирование функций MBAM 2.5

Планирование требований групповой политики MBAM 2.5