Partager via

Comment gérer les exemptions d'utilisateur du chiffrement BitLocker

  • Article

Mis à jour: avril 2013

S'applique à: Microsoft BitLocker Administration and Monitoring 2.0

Microsoft BitLocker Administration and Monitoring (MBAM) peut servir à gérer la protection BitLocker en exemptant les utilisateurs qui n'ont pas besoin de chiffrer leurs lecteurs ou qui ne le souhaitent pas.

Pour exempter des utilisateurs de la protection BitLocker, l'organisation doit créer une infrastructure pour prendre en charge les utilisateurs exemptés, par exemple en indiquant à l'utilisateur un numéro de téléphone, une page web ou une adresse postale à utiliser pour demander une exemption. Par ailleurs, tout utilisateur exempté devra être ajouté à un groupe de sécurité pour un objet de stratégie de groupe créé spécialement pour les utilisateurs exemptés. Quand les membres de ce groupe de sécurité ouvrent une session sur un ordinateur, le paramètre de stratégie de groupe de l'utilisateur indique que l'utilisateur est exempté de la protection BitLocker. Le paramètre Stratégie de groupe de l'utilisateur remplace la stratégie de l'ordinateur, et ce dernier restera exempté du chiffrement BitLocker.

Notes

Si l'ordinateur est déjà protégé par BitLocker, la stratégie d'exemption de l'utilisateur n'aura aucun effet.

Le tableau suivant montre comment la protection BitLocker est appliquée en fonction de la définition des exemptions.

Statut de l'utilisateur Ordinateur non exonéré Exemption ordinateur

Utilisateur non exonéré

La protection BitLocker est appliquée sur l'ordinateur.

La protection BitLocker n'est pas appliquée sur l'ordinateur.

Exemption utilisateur

La protection BitLocker n'est pas appliquée sur l'ordinateur.

La protection BitLocker n'est pas appliquée sur l'ordinateur.

Pour exempter un utilisateur du chiffrement BitLocker

  1. Créez un groupe de sécurité de services de domaine Active Directory qui sera utilisé pour gérer les exemptions d'utilisateur du chiffrement BitLocker.

  2. Créez un paramètre d'objet de stratégie de groupe à l'aide du modèle de stratégie de groupe Microsoft BitLocker Administration and Monitoring, puis associez-le au groupe Active Directory que vous avez créé à l'étape précédente. Les paramètres de stratégie permettant d'exempter des utilisateurs se trouvent sous Configuration utilisateur\Modèles d'administration\Composants Windows\MDOP MBAM (Gestion BitLocker).

  3. Une fois créé le groupe de sécurité pour les utilisateurs exemptés de la protection BitLocker, ajoutez à ce groupe les noms des utilisateurs qui demandent une exemption. Quand un utilisateur ouvre une session sur un ordinateur contrôlé par BitLocker, le client MBAM vérifie le paramètre de stratégie d'exemption de l'utilisateur et suspend la protection si l'utilisateur est membre du groupe de sécurité d'exemption BitLocker.

    Important

    Les scénarios d'ordinateur partagé nécessitent une attention particulière quand les exemptions d'utilisateurs sont utilisées. Si un utilisateur non exempté ouvre une session sur un ordinateur partagé avec un utilisateur exempté, l'ordinateur risque d'être chiffré.

Pour permettre aux utilisateurs de demander une exemption de chiffrement BitLocker

  1. Une fois que vous avez configuré des stratégies d'exemption d'utilisateur à l'aide du modèle de stratégie MBAM, un utilisateur peut demander une exemption de protection BitLocker via le client MBAM.

  2. Quand les utilisateurs ouvrent une session sur un ordinateur qui doit être chiffré, ils reçoivent une notification indiquant que leur ordinateur va être chiffré. Ils peuvent sélectionner Demander une exemption et reporter le chiffrement en sélectionnant Ultérieurement, ou sélectionner Démarrer pour accepter le chiffrement BitLocker.

    Notes

    Le choix de l'option Demander une exemption reporte la protection BitLocker au délai maximal défini dans la stratégie d'exemption de l'utilisateur.

  3. Si les utilisateurs sélectionnent Demander une exemption, ils reçoivent une notification leur indiquant de contacter le groupe d'administration BitLocker de l'organisation. Selon la configuration de la stratégie d'exemption de l'utilisateur, les utilisateurs ont accès à un ou plusieurs des contacts suivants :

    • Numéro de téléphone

    • URL de page Web

    • Adresse postale

    Une fois que la demande d'exemption est reçue, l'administrateur MBAM peut décider s'il y a lieu d'ajouter l'utilisateur au groupe Active Directory d'exemption BitLocker.

    Notes

    Dès qu'un utilisateur envoie une demande d'exemption, l'agent MBAM signale l'utilisateur comme « temporairement exempté », puis attend un nombre configurable de jours avant de revérifier la conformité de l'ordinateur. Si l'administrateur MBAM rejette la demande d'exemption, l'option de demande d'exemption est désactivée, ce qui empêche l'utilisateur de redemander l'exemption.

Voir aussi

Autres ressources

Administration de MBAM 2.0 fonctionnalités

-----
Vous pouvez obtenir davantage d'informations sur MDOP dans la Librairie TechNet, rechercher des solutions de dépannage dans le TechNet Wiki ou nous suivre sur Facebook ou Twitter.
-----