Управление исключениями шифрования BitLocker для пользователя

Обновлено: Август 2015 г.

Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Администрирование и мониторинг Microsoft BitLocker (MBAM) позволяет исключать пользователей из требований к шифрованию диска BitLocker.

Чтобы исключить пользователей из защиты BitLocker, необходимо выполнить следующие действия.

 

Задача Сведения

Создать инфраструктуру для поддержки исключенных пользователей.

Примеры этой инфраструктуры включают предоставление пользователям контактного номера телефона, веб-страницы или адреса электронной почты, которые можно использовать для запроса на исключение.

Добавить исключенного пользователя в группу безопасности для объекта групповой политики, настроенного специально для исключенных пользователей.

Когда участники этой группы безопасности выполняют вход на компьютер, параметр групповой политики пользователя исключает пользователя из защиты BitLocker. Параметр групповой политики пользователя перезаписывает политику компьютера, и компьютер остается исключенным из шифрования BitLocker.

noteПримечание
MBAM не применяет политику шифрования, если компьютер уже защищен с помощью BitLocker, а пользователь исключен. Однако если другой пользователь, который не исключен из политики шифрования, входит на компьютер, шифрование будет выполнено.

В следующих действиях описывается, что произойдет, если конечный пользователь запросит исключение из процесса исключения шифрования диска BitLocker в клиенте MBAM или в другом процессе, который использует ваша организация. Чтобы разрешить конечным пользователям запрашивать исключение из шифрования диска BitLocker, необходимо настроить параметры групповой политики MBAM.

  1. При входе конечных пользователей на компьютер, который требуется зашифровать, они получают уведомление, что компьютер будет зашифрован. Можно выбрать команду Запросить исключение и отложить шифрование, выбрав команду Отложить, или нажать кнопку Начать шифрование, чтобы принять шифрование BitLocker.

    noteПримечание
    При выборе Запросить исключение защита BitLocker будет отложена на максимальный срок, заданный в политике исключения пользователей.

  2. Если конечный пользователь выберет пункт Запросить исключение, он получит уведомление о том, что следует обратиться в группу администрирования BitLocker организации. В зависимости от настроек политики исключения пользователей пользователям предоставляется один или несколько доступных способов обращения.

    • Номер телефона

    • URL-адрес веб-страницы

    • Почтовый адрес

  3. После получения запроса на исключение администратор MBAM решает, следует ли добавить пользователя в группу доменных служб Active Directory исключения BitLocker.

  4. После того как конечный пользователь отправит запрос на исключение, клиент MBAM назначает пользователю статус "Временно исключен". Затем клиент ждет указанное ИТ-администратором количество дней и повторно проверяет соответствие компьютера. Если администратор MBAM отклоняет запрос на исключение, параметр запроса на исключение деактивируется, и пользователь не сможет повторно отправить запрос на исключение.

Администрирование и мониторинг Microsoft BitLocker (MBAM) позволяет исключать пользователей из требований к шифрованию диска BitLocker.

Чтобы исключить пользователей из защиты BitLocker, необходимо выполнить следующие действия.

 

Задача Сведения

Создать инфраструктуру для поддержки исключенных пользователей.

Примеры этой инфраструктуры включают предоставление пользователям контактного номера телефона, веб-страницы или адреса электронной почты, которые можно использовать для запроса на исключение.

Добавить исключенного пользователя в группу безопасности для объекта групповой политики, настроенного специально для исключенных пользователей.

Когда участники этой группы безопасности выполняют вход на компьютер, параметр групповой политики пользователя исключает пользователя из защиты BitLocker. Параметр групповой политики пользователя перезаписывает политику компьютера, и компьютер остается исключенным из шифрования BitLocker.

noteПримечание
Если компьютер уже защищен посредством BitLocker, политика исключения пользователя не действует. Кроме того, если другой пользователь входит на компьютер, который не исключен из политики шифрования, шифрование будет выполнено.

В следующих действиях описывается, что произойдет, если конечный пользователь запросит исключение из процесса исключения шифрования диска BitLocker в клиенте MBAM или в другом процессе, который использует ваша организация. Чтобы разрешить конечным пользователям запрашивать исключение из шифрования диска BitLocker, необходимо настроить параметры групповой политики MBAM.

  1. При входе конечных пользователей на компьютер, который требуется зашифровать, они получают уведомление, что компьютер будет зашифрован. Можно выбрать команду Запросить исключение и отложить шифрование, выбрав команду Отложить, или нажать кнопку Начать шифрование, чтобы принять шифрование BitLocker.

    noteПримечание
    При выборе Запросить исключение защита BitLocker будет отложена на максимальный срок, заданный в политике исключения пользователей.

  2. Если конечный пользователь выберет пункт Запросить исключение, он получит уведомление о том, что следует обратиться в группу администрирования BitLocker организации. В зависимости от настроек политики исключения пользователей пользователям предоставляется один или несколько доступных способов обращения.

    • Номер телефона

    • URL-адрес веб-страницы

    • Почтовый адрес

  3. После получения запроса на исключение администратор MBAM решает, следует ли добавить пользователя в группу доменных служб Active Directory исключения BitLocker.

  4. После того как конечный пользователь отправит запрос на исключение, клиент MBAM назначает пользователю статус "Временно исключен". Затем клиент ждет указанное ИТ-администратором количество дней и повторно проверяет соответствие компьютера. Если администратор MBAM отклоняет запрос на исключение, параметр запроса на исключение деактивируется, и пользователь не сможет повторно отправить запрос на исключение.

Исключение пользователей из шифрования диска BitLocker

  1. Создайте группу безопасности доменных служб Active Directory, которая будет использоваться для управления исключениями пользователей из требований к шифрованию BitLocker.

  2. Создайте объект групповой политики с помощью шаблонов групповой политики Microsoft BitLocker Administration and Monitoring.

  3. Свяжите объект групповой политики с группой доменных служб Active Directory, созданной в предыдущем шаге. Параметры политики для исключения пользователей находятся в следующем разделе. Конфигурация пользователя > Административные шаблоны > Компоненты Windows > MDOP MBAM (Управление BitLocker).

  4. Добавьте имена пользователей, запрашивающих исключение в группу безопасности, созданную для исключенных пользователей BitLocker.

    Когда пользователь входит на компьютер, управляемый BitLocker, клиент MBAM проверяет параметр политики исключения пользователей. Если компьютер уже зашифрован, действие защиты BitLocker не приостанавливается. Если компьютер не зашифрован, MBAM не предлагает пользователю шифрование.

    ImportantВажно
    Для исключения пользователей BitLocker на общедоступных компьютерах требуется специальная процедура. Если неисключенный пользователь выполняет вход на компьютер, доступ к которому имеет также исключенный пользователь, для компьютера может применяться шифрование.



    Есть предложение для MBAM? Выдвигайте предложения и голосуйте за них здесь.
    Есть вопрос по MBAM? Найдите ответ на форуме TechNet по MBAM.

См. также

 
Показ: