Управление исключениями шифрования BitLocker для пользователя

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 1.0

Администрирование и мониторинг Microsoft BitLocker (MBAM) можно использовать для управления защитой BitLocker путем исключения пользователей, для которых не требуется или нежелательно шифрование дисков.

Чтобы исключить пользователей из системы защиты BitLocker, предприятие должно сначала создать инфраструктуру, поддерживающую такие исключения. Такая вспомогательная инфраструктура может содержать контактный телефон, веб-страницу или адрес эл. почты, на которые отправляются запросы на исключение. Всех исключенных пользователей также необходимо добавить в группу безопасности для групповой политики, созданной специально для исключенных пользователей. Когда участники этой группы безопасности выполняют вход на компьютер, в групповой политике пользователя указывается, что пользователь исключен из защиты BitLocker. Пользовательская политика выполняет перезапись политики компьютера, и компьютер остается исключенным из шифрования BitLocker.

Примечание

Если компьютер уже защищен посредством BitLocker, политика исключения пользователя не действует.

В следующей таблице показано применение защиты BitLocker с учетом способа настройки исключений.

Состояние пользователя Компьютер не исключен Компьютер исключен

Пользователь не исключен

На компьютере установлена защита BitLocker.

На компьютере не установлена защита BitLocker.

Исключение пользователей

На компьютере не установлена защита BitLocker.

На компьютере не установлена защита BitLocker.

Исключение пользователей из шифрования BitLocker

  1. Создание группы безопасности доменных служб Active Directory, которые будут использоваться для управления исключением пользователей из шифрования BitLocker.

  2. Создайте настройку объекта групповой политики с помощью шаблона MBAM групповой политики. Связь объекта групповой политики с группой Active Directory, созданной в предыдущем шаге. Дополнительные сведения о требуемых настройках политики, разрешающих пользователю запрашивать исключение из шифрования BitLocker, см. в разделе "Настройка политики исключения пользователей" в Планирование требований групповой политики MBAM 1.0.

  3. После создания группы безопасности для исключенных из BitLocker пользователей необходимо добавить в эту группу имена пользователей, запрашивающих исключение. Когда пользователь выполняет вход на компьютер под управлением BitLocker, клиент MBAM проверяет настройки политики исключения пользователей и приостанавливает действие защиты в зависимости от того, принадлежит ли пользователь к группе безопасности, исключенной из BitLocker.

    Примечание

    Для исключение пользователей на общедоступных компьютерах требуется специальная процедура. Если неисключенный пользователь выполняет вход на компьютер, доступ к которому имеет также исключенный пользователь, для компьютера может применяться шифрование.

Предоставление пользователям разрешений для запроса исключения из шифрования BitLocker

  1. После настройки политик исключения пользователей с помощью шаблона политики MBAM пользователь может запрашивать исключение из защиты BitLocker посредством клиента MBAM.

  2. При входе пользователя на компьютер, помеченный как Совместимый в списке "Совместимость оборудования MBAM" система отображается для пользователя уведомление о том, что для компьютера будет применено шифрование. Пользователь может выбрать команду Запросить исключение и отложить шифрование, выбрав Позднее, или нажать кнопку Пуск, чтобы принять шифрование BitLocker.

    Примечание

    При выборе Запросить исключение защита BitLocker будет отложена на максимальный срок, заданный в политике исключения пользователей.

  3. При выборе команды Запросить исключение для пользователя отображается уведомление о необходимости обратиться к группе администраторов BitLocker организации. В зависимости от настроек политики исключения пользователей пользователям предоставляется один или несколько доступных способов обращения:

    • Номер телефона

    • URL-адрес веб-страницы

    • Почтовый адрес

    После отправки запроса администратор MBAM принимает решение о добавлении пользователя в группу Active Directory исключения из BitLocker.

    Примечание

    По истечении срока, на который была отложена политика исключения пользователей, команда запроса исключения из политики шифрования больше не будет отображаться для пользователей. На этом этапе пользователям необходимо обратиться непосредственно к администратору MBAM для исключения из защиты BitLocker.

См. также

Другие ресурсы

Администрирование компонентов MBAM 1.0

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----