Administración de las exenciones de usuario del cifrado de BitLocker
Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
Microsoft BitLocker Administration and Monitoring (MBAM) permite eximir a los usuarios de los requisitos del Cifrado de unidad BitLocker.
Para eximir a los usuarios de la protección de BitLocker, es necesario:
| Tarea | Detalles |
|---|---|
Crear una infraestructura de asistencia para usuarios exentos. |
Esta infraestructura podría componerse de un método de contacto —por ejemplo, un número de teléfono, una página web o una dirección de correo electrónico— a través del cual los usuarios puedan solicitar la exención. |
Agregar el usuario exento a un grupo de seguridad de un objeto de directiva de grupo (GPO) que esté configurado específicamente para usuarios exentos. |
Cuando los miembros de este grupo de seguridad inician sesión en un equipo, la configuración de la directiva de grupo del usuario exime a este de la protección de BitLocker. La configuración de directiva de grupo del usuario sobrescribe la directiva de equipo y el equipo permanece exento del cifrado de BitLocker. Nota MBAM no aplica la directiva de cifrado si el equipo ya está protegido por BitLocker y el usuario está exento. Pero si otro usuario que no está exento de la directiva de cifrado inicia sesión en el equipo, el cifrado se llevará a cabo. |
Las instrucciones siguientes describen lo que sucede cuando los usuarios finales solicitan una exención del proceso Cifrado de unidad BitLocker mediante el cliente MBAM o cualquier otro proceso que use su organización. Se deben configurar los ajustes de la directiva de grupo de MBAM a fin de permitir a los usuarios finales solicitar una exención del Cifrado de unidad BitLocker.
Cuando los usuarios finales inician sesión en un equipo que debe cifrarse, se les notifica que su equipo se va a cifrar. Los usuarios pueden seleccionar Solicitar exención y posponer el cifrado con la opción Más adelante, o bien aceptar el cifrado de BitLocker con la opción Iniciar.
Nota
Si se selecciona Solicitar exención, la protección de BitLocker se pospone durante el tiempo máximo establecido en la directiva de exención de usuario.
Si los usuarios seleccionan Solicitar exención, reciben una notificación en la que se les indica que se pongan en contacto con el grupo que administra BitLocker en la organización. En función de la configuración de Configurar directiva de exención de usuario, se proporciona a los usuarios uno o varios de los siguientes métodos de contacto:
Número de teléfono
Dirección URL de página web
Dirección de correo electrónico
Una vez recibida la solicitud de exención, el administrador de MBAM decide si agrega el usuario al grupo Servicios de dominio de Active Directory (AD DS) de exención de BitLocker.
Después de que un usuario final envía una solicitud de exención, el cliente de MBAM presenta al usuario como “Temporalmente exento”. El cliente espera entonces un determinado número de días, que los administradores de TI configuran, antes de volver a comprobar el equipo. Si el administrador de MBAM rechaza la solicitud de exención, la opción correspondiente se desactiva, lo que impide al usuario realizar una nueva solicitud de exención.
Microsoft BitLocker Administration and Monitoring (MBAM) permite eximir a los usuarios de los requisitos del Cifrado de unidad BitLocker.
Para eximir a los usuarios de la protección de BitLocker, es necesario:
| Tarea | Detalles |
|---|---|
Crear una infraestructura de asistencia para usuarios exentos. |
Esta infraestructura podría componerse de un método de contacto —por ejemplo, un número de teléfono, una página web o una dirección de correo electrónico— a través del cual los usuarios puedan solicitar la exención. |
Agregar el usuario exento a un grupo de seguridad de un objeto de directiva de grupo (GPO) que esté configurado específicamente para usuarios exentos. |
Cuando los miembros de este grupo de seguridad inician sesión en un equipo, la configuración de la directiva de grupo del usuario exime a este de la protección de BitLocker. La configuración de directiva de grupo del usuario sobrescribe la directiva de equipo y el equipo permanece exento del cifrado de BitLocker. Nota Si el equipo ya está protegido por BitLocker, la directiva de exención de usuario no tiene ningún efecto. Asimismo, si otro usuario inicia sesión en un equipo que no esté exento de la directiva de cifrado, este se efectuará. |
Las instrucciones siguientes describen lo que sucede cuando los usuarios finales solicitan una exención del proceso Cifrado de unidad BitLocker mediante el cliente MBAM o cualquier otro proceso que use su organización. Se deben configurar los ajustes de la directiva de grupo de MBAM a fin de permitir a los usuarios finales solicitar una exención del Cifrado de unidad BitLocker.
Cuando los usuarios finales inician sesión en un equipo que debe cifrarse, se les notifica que su equipo se va a cifrar. Los usuarios pueden seleccionar Solicitar exención y posponer el cifrado con la opción Más adelante, o bien aceptar el cifrado de BitLocker con la opción Iniciar.
Nota
Si se selecciona Solicitar exención, la protección de BitLocker se pospone durante el tiempo máximo establecido en la directiva de exención de usuario.
Si los usuarios seleccionan Solicitar exención, reciben una notificación en la que se les indica que se pongan en contacto con el grupo que administra BitLocker en la organización. En función de la configuración de Configurar directiva de exención de usuario, se proporciona a los usuarios uno o varios de los siguientes métodos de contacto:
Número de teléfono
Dirección URL de página web
Dirección de correo electrónico
Una vez recibida la solicitud de exención, el administrador de MBAM decide si agrega el usuario al grupo Servicios de dominio de Active Directory (AD DS) de exención de BitLocker.
Después de que un usuario final envía una solicitud de exención, el cliente de MBAM presenta al usuario como “Temporalmente exento”. El cliente espera entonces un determinado número de días, que los administradores de TI configuran, antes de volver a comprobar el equipo. Si el administrador de MBAM rechaza la solicitud de exención, la opción correspondiente se desactiva, lo que impide al usuario realizar una nueva solicitud de exención.
Para eximir a un usuario del Cifrado de unidad BitLocker
Cree un grupo de seguridad de AD DS que se utilizará para administrar las exenciones de usuario de los requisitos de cifrado de BitLocker.
Cree un objeto de directiva de grupo con las plantillas de directiva de grupo de Microsoft BitLocker Administration and Monitoring.
Asocie el objeto de directiva de grupo con el grupo de AD DS que creó en el paso anterior. La configuración de directiva que exime a los usuarios se encuentra en: UserConfiguration > Plantillas administrativas > Componentes de Windows > MDOP MBAM (Administración de BitLocker).
En el grupo de seguridad que creó para usuarios exentos de BitLocker, agregue los nombres de los usuarios que están solicitando una exención.
Cuando un usuario inicia sesión en un equipo controlado por BitLocker, el cliente de MBAM comprueba la configuración de la directiva de exención de usuario. Si el equipo ya está cifrado, la protección de BitLocker no se suspende. Si el equipo no está cifrado, MBAM no pide al usuario que realice el cifrado.
Importante
Los escenarios en los que hay equipos compartidos requieren una consideración especial a la hora de usar las exenciones de usuario de BitLocker. Si un usuario no exento inicia sesión en un equipo compartido con un usuario exento, se podría cifrar el equipo.
¿Tiene alguna sugerencia sobre MBAM? Agregue o vote sugerencias aquí. ¿
Tiene un problema de MBAM? Use el foro de TechNet de MBAM.
Véase también
Conceptos
Planeación para los requisitos de directiva de grupo de MBAM 2.5