Freigeben über


Vorgehensweise beim Verwalten von BitLocker-Verschlüsselungsausnahmen für Benutzer

Letzte Aktualisierung: August 2015

Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Mit Microsoft BitLocker Administration and Monitoring (MBAM) können Sie Benutzer von den Anforderungen der BitLocker-Laufwerkverschlüsselung ausnehmen.

Voraussetzungen für die Ausnahme von Benutzern vom BitLocker-Schutz:

Aufgabe Details

Erstellen Sie eine Infrastruktur zur Unterstützung ausgeschlossener Benutzer.

Beispiele: Sie könnten Benutzern eine Telefonnummer, Webseite oder E-Mail-Adresse bereitstellen, die sie verwenden können, um eine Ausnahme anzufordern.

Fügen Sie den ausgeschlossenen Benutzer einer Sicherheitsgruppe für ein Gruppenrichtlinienobjekt hinzu, das speziell für ausgeschlossene Benutzer konfiguriert ist.

Wenn sich ein Mitglied dieser Sicherheitsgruppe bei einem Computer anmeldet, wird der Benutzer durch die Gruppenrichtlinieneinstellung des Benutzers vom BitLocker-Schutz ausgenommen. Die Computerrichtlinie wird durch die Gruppenrichtlinieneinstellung des Benutzers überschrieben, und der Computer bleibt von der BitLocker-Verschlüsselung ausgeschlossen.

Hinweis

MBAM setzt die Verschlüsselungsrichtlinie nicht durch, wenn der Computer bereits mit BitLocker geschützt wird und der von der Richtlinie ausgenommen ist. Wenn sich jedoch ein anderer Benutzer auf dem Computer anmeldet, der nicht von der Richtlinie ausgenommen ist, wird Verschlüsselung durchgeführt.

Die folgenden Schritte beschreiben, was passiert, wenn die Endbenutzer eine Ausnahme vom BitLocker-Laufwerkverschlüsselungsprozess über den MBAM-Client oder über einen unternehmensspezifischen Prozess anfordern. Sie müssen die MBAM-Gruppenrichtlinieneinstellungen konfigurieren, um es Endbenutzern zu ermöglichen, eine Ausnahme von der BitLocker-Laufwerkverschlüsselung anzufordern.

  1. Wenn sich die Endbenutzer bei einem Computer anmelden, der verschlüsselt werden muss, erhalten sie eine Benachrichtigung, dass ihr Computer verschlüsselt wird. Sie können Ausnahme anfordern auswählen und die Verschlüsselung verschieben, indem sie Später auswählen, oder sie können Verschlüsselung starten auswählen, um die BitLocker-Verschlüsselung zuzulassen.

    Hinweis

    Durch Auswählen von Ausnahme anfordern wird der BitLocker-Schutz um den maximalen Zeitraum verschoben, der in der Benutzerausnahmerichtlinie festgelegt ist.

  2. Wenn die Endbenutzer Ausnahme anfordern auswählen, erhalten sie eine Benachrichtigung, in der sie aufgefordert werden, die BitLocker-Administrationsgruppe der Organisation zu kontaktieren. Je nach Konfiguration von Richtlinie für Benutzerausnahme konfigurieren wird dem Benutzer mindestens eine der folgenden Kontaktmethoden angezeigt:

    • Telefonnummer

    • URL einer Webseite

    • E-Mail-Adresse

  3. Nach Eingang der Ausnahmeanforderung entscheidet der MBAM-Administrator darüber, ob der Benutzer zur Active Directory-Gruppe für BitLocker-Ausnahmen hinzugefügt wird.

  4. Nachdem ein Endbenutzer eine Ausnahmeanforderung übermittelt hat, meldet der MBAM-Client für den Benutzer eine „temporäre Ausnahme“. Der Client wartet dann eine bestimmte Anzahl von Tagen (wird vom IT-Administrator konfiguriert), bevor er erneut die Konformität des Computers überprüft. Wenn die Ausnahmeanforderung vom MBAM-Administrator abgelehnt wird, wird die Option zur Ausnahmeanforderung deaktiviert, wodurch verhindert wird, dass der Benutzer die Ausnahme erneut anfordert.

Mit Microsoft BitLocker Administration and Monitoring (MBAM) können Sie Benutzer von den Anforderungen der BitLocker-Laufwerkverschlüsselung ausnehmen.

Voraussetzungen für die Ausnahme von Benutzern vom BitLocker-Schutz:

Aufgabe Details

Erstellen Sie eine Infrastruktur zur Unterstützung ausgeschlossener Benutzer.

Beispiele: Sie könnten Benutzern eine Telefonnummer, Webseite oder E-Mail-Adresse bereitstellen, die sie verwenden können, um eine Ausnahme anzufordern.

Fügen Sie den ausgeschlossenen Benutzer einer Sicherheitsgruppe für ein Gruppenrichtlinienobjekt hinzu, das speziell für ausgeschlossene Benutzer konfiguriert ist.

Wenn sich ein Mitglied dieser Sicherheitsgruppe bei einem Computer anmeldet, wird der Benutzer durch die Gruppenrichtlinieneinstellung des Benutzers vom BitLocker-Schutz ausgenommen. Die Computerrichtlinie wird durch die Gruppenrichtlinieneinstellung des Benutzers überschrieben, und der Computer bleibt von der BitLocker-Verschlüsselung ausgeschlossen.

Hinweis

Wenn der Computer bereits durch BitLocker geschützt ist, ist die Richtlinie für die Benutzerausnahme wirkungslos. Wenn sich ein weiterer Benutzer bei einem Computer anmeldet, der von der Verschlüsselungsrichtlinie nicht ausgenommen ist, findet die Verschlüsselung statt.

Die folgenden Schritte beschreiben, was passiert, wenn die Endbenutzer eine Ausnahme vom BitLocker-Laufwerkverschlüsselungsprozess über den MBAM-Client oder über einen unternehmensspezifischen Prozess anfordern. Sie müssen die MBAM-Gruppenrichtlinieneinstellungen konfigurieren, um es Endbenutzern zu ermöglichen, eine Ausnahme von der BitLocker-Laufwerkverschlüsselung anzufordern.

  1. Wenn sich die Endbenutzer bei einem Computer anmelden, der verschlüsselt werden muss, erhalten sie eine Benachrichtigung, dass ihr Computer verschlüsselt wird. Sie können Ausnahme anfordern auswählen und die Verschlüsselung verschieben, indem sie Später auswählen, oder sie können Verschlüsselung starten auswählen, um die BitLocker-Verschlüsselung zuzulassen.

    Hinweis

    Durch Auswählen von Ausnahme anfordern wird der BitLocker-Schutz um den maximalen Zeitraum verschoben, der in der Benutzerausnahmerichtlinie festgelegt ist.

  2. Wenn die Endbenutzer Ausnahme anfordern auswählen, erhalten sie eine Benachrichtigung, in der sie aufgefordert werden, die BitLocker-Administrationsgruppe der Organisation zu kontaktieren. Je nach Konfiguration von Richtlinie für Benutzerausnahme konfigurieren wird dem Benutzer mindestens eine der folgenden Kontaktmethoden angezeigt:

    • Telefonnummer

    • URL einer Webseite

    • E-Mail-Adresse

  3. Nach Eingang der Ausnahmeanforderung entscheidet der MBAM-Administrator darüber, ob der Benutzer zur Active Directory-Gruppe für BitLocker-Ausnahmen hinzugefügt wird.

  4. Nachdem ein Endbenutzer eine Ausnahmeanforderung übermittelt hat, meldet der MBAM-Client für den Benutzer eine „temporäre Ausnahme“. Der Client wartet dann eine bestimmte Anzahl von Tagen (wird vom IT-Administrator konfiguriert), bevor er erneut die Konformität des Computers überprüft. Wenn die Ausnahmeanforderung vom MBAM-Administrator abgelehnt wird, wird die Option zur Ausnahmeanforderung deaktiviert, wodurch verhindert wird, dass der Benutzer die Ausnahme erneut anfordert.

So schließen Sie einen Benutzer von der BitLocker-Laufwerkverschlüsselung aus

  1. Erstellen Sie eine AD DS-Sicherheitsgruppe zum Verwalten von Benutzerausnahmen von den BitLocker-Verschlüsselungsanforderungen.

  2. Erstellen Sie ein Gruppenrichtlinienobjekt mithilfe der Gruppenrichtlinienvorlagen von Microsoft BitLocker Administration and Monitoring.

  3. Ordnen Sie das Gruppenrichtlinienobjekt der AD DS-Gruppe zu, die Sie im vorherigen Schritt erstellt haben. Die Richtlinieneinstellungen für Benutzerausnahmen finden Sie hier: UserConfiguration > Administrative Vorlagen > Windows-Komponenten > MDOP MBAM (BitLocker Management).

  4. Fügen Sie zur Sicherheitsgruppe, die Sie für von BitLocker ausgeschlossene Benutzer erstellt haben, die Namen der Benutzer hinzu, die eine Ausnahme anfordern.

    Wenn sich ein Benutzer bei einem Computer anmeldet, der von BitLocker geschützt wird, wird vom MBAM-Client die Einstellung der Benutzerausnahmerichtlinie überprüft. Wenn der Computer bereits verschlüsselt ist, wird der BitLocker-Schutz nicht aufgehoben. Wenn der Computer nicht verschlüsselt ist, wird der Benutzer von MBAM nicht zur Verschlüsselung aufgefordert.

    Wichtig

    Bei Szenarien mit gemeinsam genutzten Computern sind zu BitLocker-Benutzerausnahmen besondere Überlegungen erforderlich. Wenn sich ein nicht ausgeschlossener Benutzer bei einem Computer anmeldet, der mit einem ausgeschlossenen Benutzer gemeinsam genutzt wird, wird der Computer möglicherweise verschlüsselt.

    Haben Sie einen Vorschlag für MBAM? Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab.
    Haben Sie Probleme mit MBAM? Nutzen Sie das MBAM-TechNet-Forum.

Siehe auch

Konzepte

Planen der Gruppenrichtlinienanforderungen für MBAM 2.5

Weitere Ressourcen

Verwalten von Funktionen von MBAM 2.5