Gestion des exemptions de chiffrement BitLocker de l'utilisateur
Mis à jour: novembre 2012
S'applique à: Microsoft BitLocker Administration and Monitoring 1.0
Microsoft BitLocker Administration and Monitoring (MBAM) peut servir à gérer la protection BitLocker en exemptant les utilisateurs qui n'ont pas besoin de chiffrer leurs lecteurs ou qui ne le souhaitent pas.
Pour exempter des utilisateurs de la protection BitLocker, une organisation doit tout d'abord créer une infrastructure pour prendre en charge de telles dérogations. L'infrastructure d'accompagnement peut inclure un numéro de téléphone de contact, une page Web ou une adresse postale pour demander une dispense. En outre, tout utilisateur exempté devra être ajouté à un groupe de sécurité pour une stratégie de groupe créée spécialement pour les utilisateurs exemptés. Lorsque les membres de ce groupe de sécurité ouvrent une session sur un ordinateur, la stratégie de groupe utilisateur montre que l'utilisateur est exempté de la protection BitLocker. La stratégie de l'utilisateur remplace la stratégie de l'ordinateur, et ce dernier ne pourra pas être exempté de chiffrement BitLocker.
Notes
Si l'ordinateur est déjà protégé par BitLocker, la stratégie d'exemption de l'utilisateur n'aura aucun effet.
Le tableau suivant montre comment la protection BitLocker est appliquée en fonction de la définition des exemptions.
| Statut de l'utilisateur | Ordinateur non exonéré | Exemption ordinateur |
|---|---|---|
Utilisateur non exonéré |
La protection BitLocker est appliquée sur l'ordinateur. |
La protection BitLocker n'est pas appliquée sur l'ordinateur. |
Exemption utilisateur |
La protection BitLocker n'est pas appliquée sur l'ordinateur. |
La protection BitLocker n'est pas appliquée sur l'ordinateur. |
Pour exempter un utilisateur du chiffrement BitLocker
Créez un groupe de sécurité de services de domaine Active Directory qui sera utilisé pour gérer les exemptions d'utilisateur du chiffrement BitLocker.
Créez un paramètre d'objet de stratégie de groupe en utilisant le modèle de stratégie de groupe MBAM. Associez l'objet de stratégie de groupe à un groupe Active Directory que vous avez créé à l'étape précédente. Pour plus d'informations sur les paramètres de stratégie nécessaires pour permettre aux utilisateurs de demander une exonération de chiffrement BitLocker, voir Configurer la stratégie d'exemption de l'utilisateur dans Planification des exigences en matière de stratégie de groupe MBAM 1.0.
Après avoir créé un groupe de sécurité pour les utilisateurs exemptés de la protection BitLocker, ajoutez à ce groupe les noms des utilisateurs qui demandent des exemptions. Lorsqu'un utilisateur ouvre une session sur un ordinateur contrôlé par BitLocker, le client MBAM vérifie le paramètre de stratégie d'exemption de l'utilisateur et suspend la protection si l'utilisateur est membre du groupe de sécurité d'exemption BitLocker.
Notes
Les scénarios d'ordinateur partagé nécessitent une attention particulière en ce qui concerne l'exemption de l'utilisateur. Si un utilisateur non exempté ouvre une session sur un ordinateur partagé avec un utilisateur exempté, l'ordinateur risque d'être chiffré.
Pour permettre aux utilisateurs de demander une exonération de chiffrement BitLocker
Une fois que vous avez configuré des stratégies d'exemption d'utilisateur à l'aide du modèle de stratégie MBAM, un utilisateur peut demander une exemption de protection BitLocker via le client MBAM.
Lorsqu'un utilisateur ouvre une session sur un ordinateur marqué comme Compatible dans la liste de compatibilité matérielle MBAM, le système avertit l'utilisateur que l'ordinateur est sur le point d'être chiffré. L'utilisateur peut sélectionner Demander une exemption et ajourner le chiffrement en sélectionnant Ultérieurement ou sélectionner Démarrer pour accepter le chiffrement BitLocker.
Notes
Sélectionner Demander une exemption ajourne la protection BitLocker jusqu'au délai maximum défini dans la stratégie d'exemption de l'utilisateur.
Lorsqu'un utilisateur sélectionne Demander une exemption, il est demandé à celui-ci de contacter le groupe d'administration BitLocker de l'organisation. Selon la configuration de la stratégie d'exemption de l'utilisateur, les utilisateurs ont accès à un ou plusieurs des contacts suivants :
Numéro de téléphone
URL de page Web
Adresse postale
Après l'envoi de la demande, l'administrateur MBAM peut décider s'il y a lieu d'ajouter l'utilisateur au groupe Active Directory d'exemption BitLocker.
Notes
Après l'expiration du délai d'ajournement de la stratégie d'exemption de l'utilisateur, les utilisateurs ne peuvent pas demander une dispense à la stratégie de chiffrement. À ce stade, les utilisateurs doivent contacter directement l'administrateur MBAM afin d'obtenir l'exemption de la protection BitLocker.
Voir aussi
Autres ressources
Administration des composants de MBAM 1.0
-----
Vous pouvez obtenir davantage d'informations sur MDOP dans la Librairie TechNet, rechercher des solutions de dépannage dans le TechNet Wiki ou nous suivre sur Facebook ou Twitter.
-----