Verwalten von BitLocker-Verschlüsselungsausnahmen für Benutzer
Mit Microsoft BitLocker Administration and Monitoring (MBAM) können Sie Benutzer von den BitLocker-Laufwerkverschlüsselungsanforderungen ausschließen.
Um Benutzer vom BitLocker-Schutz auszunehmen, müssen Sie:
Erstellen Sie eine Infrastruktur, um ausgenommene Benutzer zu unterstützen. Beispiele für diese Infrastruktur sind die Bereitstellung einer Kontakttelefonnummer, einer Webseite oder einer Postanschrift, die sie zum Anfordern einer Ausnahme verwenden können.
Fügen Sie den ausgenommenen Benutzer einer Sicherheitsgruppe für ein Gruppenrichtlinienobjekt hinzu, das speziell für ausgenommene Benutzer konfiguriert ist. Wenn sich Mitglieder dieser Sicherheitsgruppe bei einem Computer anmelden, wird der Benutzer durch die Gruppenrichtlinieneinstellung des Benutzers vom BitLocker-Schutz ausgenommen. Die Gruppenrichtlinieneinstellung des Benutzers überschreibt die Computerrichtlinie, und der Computer bleibt von der BitLocker-Verschlüsselung ausgenommen.
Hinweis
Wenn der Computer bereits mit BitLocker geschützt ist und der Benutzer ausgenommen ist, wendet MBAM die Verschlüsselungsrichtlinie nicht an. Wenn sich jedoch ein anderer Benutzer, der nicht von der Verschlüsselungsrichtlinie ausgenommen ist, beim Computer anmeldet, wird die Verschlüsselung gestartet.
In den folgenden Schritten wird beschrieben, was geschieht, wenn Endbenutzer eine Ausnahme vom BitLocker-Laufwerkverschlüsselungsprozess über den MBAM-Client oder über den von Ihrer Organisation verwendeten Prozess anfordern. Sie müssen MBAM-Gruppenrichtlinieneinstellungen konfigurieren, damit Endbenutzer eine Ausnahme von der BitLocker-Laufwerkverschlüsselung anfordern können.
Wenn sich Endbenutzer bei einem Computer anmelden, der verschlüsselt werden muss, erhalten sie eine Benachrichtigung, dass ihr Computer verschlüsselt wird. Sie können Ausnahme anfordern auswählen und die Verschlüsselung verschieben, indem sie Aufschieben auswählen, oder Verschlüsselung starten auswählen, um die BitLocker-Verschlüsselung zu akzeptieren.
Hinweis
Wenn Sie Ausnahme anfordern auswählen , wird der BitLocker-Schutz auf die maximale Zeit verschoben, die in der Benutzerausnahmerichtlinie festgelegt ist.
Wenn Endbenutzer Ausnahme anfordern auswählen, erhalten sie eine Benachrichtigung, in der sie aufgefordert werden, sich an die BitLocker-Verwaltungsgruppe der Organisation zu wenden. Je nachdem, wie die Benutzerausnahmerichtlinie konfigurieren konfiguriert ist, erhalten Benutzer eine oder mehrere der folgenden Kontaktmethoden:
Telefonnummer
Webseiten-URL
Postanschrift
Nachdem die Ausnahmeanforderung empfangen wurde, entscheidet der MBAM-Administrator, ob der Benutzer der Gruppe BitLocker-Ausnahme-Active Directory-Domänendienste (ADDS) hinzugefügt werden soll.
Nachdem ein Endbenutzer eine Ausnahmeanforderung übermittelt hat, meldet der MBAM-Client den Benutzer als "Vorübergehend ausgenommen". Der Client wartet dann eine angegebene Anzahl von Tagen, die IT-Administratoren konfigurieren, bevor er die Konformität des Computers erneut überprüft. Wenn der MBAM-Administrator die Ausnahmeanforderung ablehnt, wird die Ausnahmeanforderungsoption deaktiviert, wodurch verhindert wird, dass der Benutzer die Ausnahme erneut anfordert.
So ausschließen Sie einen Benutzer von der BitLocker-Laufwerkverschlüsselung
Erstellen Sie eine ADDS-Sicherheitsgruppe, um Benutzerausnahmen von BitLocker-Verschlüsselungsanforderungen zu verwalten.
Erstellen Sie mithilfe der Gruppenrichtlinienvorlagen für Microsoft BitLocker Administration and Monitoring ein Gruppenrichtlinienobjekt.
Ordnen Sie das Gruppenrichtlinienobjekt der Gruppe ADDS zu, die Sie im vorherigen Schritt erstellt haben. Die Richtlinieneinstellungen zum Ausschließen von Benutzern finden Sie unter : UserConfiguration>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung).
Fügen Sie der Sicherheitsgruppe, die Sie für von BitLocker ausgenommene Benutzer erstellt haben, die Namen der Benutzer hinzu, die eine Ausnahme anfordern.
Wenn sich ein Benutzer bei einem von BitLocker gesteuerten Computer anmeldet, überprüft der MBAM-Client die Einstellung Benutzerausnahmerichtlinie. Wenn der Computer bereits verschlüsselt ist, wird der BitLocker-Schutz nicht angehalten. Wenn der Computer nicht verschlüsselt ist, fordert MBAM den Benutzer nicht zur Verschlüsselung auf.
Hinweis
Szenarien mit gemeinsam genutzten Computern erfordern besondere Überlegungen, wenn Sie BitLocker-Benutzerausnahmen verwenden. Wenn sich ein nicht ausgenommener Benutzer bei einem Computer anmeldet, der für einen ausgenommenen Benutzer freigegeben ist, ist der Computer möglicherweise verschlüsselt.