Condividi tramite

Come gestire le esenzioni dalla crittografia BitLocker degli utenti

  • Articolo

Aggiornamento: agosto 2015

Si applica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Microsoft BitLocker Administration and Monitoring (MBAM) consente di esentare gli utenti dai requisiti di Crittografia unità BitLocker.

Per applicare l'esenzione dalla protezione BitLocker, è necessario:

Attività Dettagli

Creare un'infrastruttura per il supporto degli utenti esentati.

L'infrastruttura di supporto può includere un numero telefonico di contatto, una pagina Web o un indirizzo postale a cui gli utenti possono inviare la richiesta di esenzione.

Inoltre, gli utenti esenti dovranno essere aggiunti a un gruppo di sicurezza per un oggetto Criteri di gruppo creato appositamente per questi casi.

Quando i membri di questo gruppo di sicurezza accedono a un computer, l'impostazione di Criteri di gruppo dell'utente lo esenta dalla protezione BitLocker. L'impostazione di Criteri di gruppo dell'utente sovrascrive i criteri del computer, che rimarrà quindi esente dalla crittografia BitLocker.

Nota

MBAM non applica i criteri di crittografia se il computer è già protetto da BitLocker e l'utente è esente. Tuttavia, se un altro utente non esente dai criteri di crittografia accede al computer, la crittografia verrà eseguita.

Nella procedura seguente viene illustrato che cosa accade quando l'utente richiede un'esenzione dal processo di esenzione di Crittografia unità BitLocker tramite il client di MBAM o qualsiasi altro processo usato dall'organizzazione corrente. È necessario configurare le impostazioni di Criteri di gruppo di MBAM per consentire agli utenti di richiedere un'esenzione da Crittografia unità BitLocker.

  1. Quando l'utente accede a un computer con obbligo di crittografia, riceve una notifica che indica che il computer verrà crittografato. L'utente può selezionare Richiedi esenzione e posticipare la crittografia selezionando Rimanda. In alternativa, può selezionare Avvia per accettare la crittografia BitLocker.

    Nota

    Se si seleziona Richiedi esenzione, la protezione BitLocker verrà posticipata fino al tempo massimo impostato nei criteri di esenzione utente.

  2. Se un utente finale seleziona Richiedi esenzione, riceverà una notifica in cui è indicato di contattare il gruppo di amministrazione BitLocker dell'organizzazione. In base alla configurazione dei criteri di esenzione utente, agli utenti vengono forniti uno o più metodi di contatto seguenti:

    • Numero di telefono

    • URL di pagina Web

    • Indirizzo postale

  3. Dopo avere ricevuto la richiesta di esenzione, l'amministratore di MBAM decide se aggiungere l'utente al gruppo di Servizi di dominio Active Directory con esenzione da BitLocker.

  4. Dopo che un utente invia una richiesta di esenzione, il client di MBAM segnala l'utente come "Temporaneamente esente". Il client attende quindi un numero specificato di giorni, configurato dagli amministratori IT, prima di verificare di nuovo la conformità del computer. Se l'amministratore di MBAM rifiuta la richiesta di esenzione, l'opzione relativa alla richiesta di esenzione viene disattivata, per evitare che l'utente richieda di nuovo l'esenzione.

Microsoft BitLocker Administration and Monitoring (MBAM) consente di esentare gli utenti dai requisiti di Crittografia unità BitLocker.

Per applicare l'esenzione dalla protezione BitLocker, è necessario:

Attività Dettagli

Creare un'infrastruttura per il supporto degli utenti esentati.

L'infrastruttura di supporto può includere un numero telefonico di contatto, una pagina Web o un indirizzo postale a cui gli utenti possono inviare la richiesta di esenzione.

Inoltre, gli utenti esenti dovranno essere aggiunti a un gruppo di sicurezza per un oggetto Criteri di gruppo creato appositamente per questi casi.

Quando i membri di questo gruppo di sicurezza accedono a un computer, l'impostazione di Criteri di gruppo dell'utente lo esenta dalla protezione BitLocker. L'impostazione di Criteri di gruppo dell'utente sovrascrive i criteri del computer, che rimarrà quindi esente dalla crittografia BitLocker.

Nota

Se il computer è già protetto da BitLocker, i criteri di esenzione dell'utente non avranno effetto. Inoltre, se un altro utente accede a un computer non esente dal criterio di crittografia, la crittografia verrà effettuata.

Nella procedura seguente viene illustrato che cosa accade quando l'utente richiede un'esenzione dal processo di esenzione di Crittografia unità BitLocker tramite il client di MBAM o qualsiasi altro processo usato dall'organizzazione corrente. È necessario configurare le impostazioni di Criteri di gruppo di MBAM per consentire agli utenti di richiedere un'esenzione da Crittografia unità BitLocker.

  1. Quando l'utente accede a un computer con obbligo di crittografia, riceve una notifica che indica che il computer verrà crittografato. L'utente può selezionare Richiedi esenzione e posticipare la crittografia selezionando Rimanda. In alternativa, può selezionare Avvia per accettare la crittografia BitLocker.

    Nota

    Se si seleziona Richiedi esenzione, la protezione BitLocker verrà posticipata fino al tempo massimo impostato nei criteri di esenzione utente.

  2. Se un utente finale seleziona Richiedi esenzione, riceverà una notifica in cui è indicato di contattare il gruppo di amministrazione BitLocker dell'organizzazione. In base alla configurazione dei criteri di esenzione utente, agli utenti vengono forniti uno o più metodi di contatto seguenti:

    • Numero di telefono

    • URL di pagina Web

    • Indirizzo postale

  3. Dopo avere ricevuto la richiesta di esenzione, l'amministratore di MBAM decide se aggiungere l'utente al gruppo di Servizi di dominio Active Directory con esenzione da BitLocker.

  4. Dopo che un utente invia una richiesta di esenzione, il client di MBAM segnala l'utente come "Temporaneamente esente". Il client attende quindi un numero specificato di giorni, configurato dagli amministratori IT, prima di verificare di nuovo la conformità del computer. Se l'amministratore di MBAM rifiuta la richiesta di esenzione, l'opzione relativa alla richiesta di esenzione viene disattivata, per evitare che l'utente richieda di nuovo l'esenzione.

Per esentare un utente da Crittografia unità BitLocker

  1. Creare un gruppo di sicurezza di Servizi di dominio Active Directory che verrà usato per gestire le esenzioni utente dalla crittografia BitLocker.

  2. Creare un oggetto Criteri di gruppo usando i modelli Criteri di gruppo di Microsoft BitLocker Administration and Monitoring.

  3. Associare l'oggetto Criteri di gruppo al gruppo di Servizi di dominio Active Directory creato nel passaggio precedente. Le impostazioni dei criteri per l'esenzione degli utenti si trovano in: UserConfiguration > Modelli amministrativi > Componenti di Windows > MDOP MBAM (Gestione BitLocker).

  4. Al gruppo di sicurezza creato per gli utenti esentati da BitLocker, aggiungere i nomi degli utenti che richiedono l'esenzione.

    Quando un utente accede a un computer controllato da BitLocker, il client di MBAM verifica l'impostazione del criterio di esenzione utente. Se il computer è già crittografato, la protezione BitLocker non viene sospesa. Se il computer non è crittografato, MBAM non richiede all'utente di procedere con la crittografia.

    Importante

    Gli scenari con computer condivisi richiedono considerazioni speciali quando si usa l'esenzione degli utenti da BitLocker. Se un utente non esente accede a un computer condiviso con un utente esente, il computer potrebbe essere crittografato.

    Come inviare suggerimenti per MBAM? Aggiungere o votare i suggerimenti qui.
    Come ottenere supporto per un problema relativo a MBAM? Usare il forum di TechNet su MBAM.

Vedere anche

Concetti

Pianificazione dei requisiti di Criteri di gruppo per MBAM 2.5

Altre risorse

Amministrazione delle funzionalità di MBAM 2.5