Guide pratique pour gérer les exemptions de chiffrement BitLocker utilisateur
Microsoft BitLocker Administration and Monitoring (MBAM) vous permet d’exempter les utilisateurs des exigences de chiffrement de lecteur BitLocker.
Pour exempter les utilisateurs de la protection BitLocker, vous devez :
Créez une infrastructure pour prendre en charge les utilisateurs exemptés. Parmi les exemples de cette infrastructure, citons la fourniture aux utilisateurs d’un numéro de téléphone de contact, d’une page web ou d’une adresse postale qu’ils peuvent utiliser pour demander une exemption.
Ajoutez l’utilisateur exempté à un groupe de sécurité pour un objet de stratégie de groupe configuré spécifiquement pour les utilisateurs exemptés. Lorsque les membres de ce groupe de sécurité se connectent à un ordinateur, le paramètre de stratégie de groupe de l’utilisateur exempte l’utilisateur de la protection BitLocker. Le paramètre de stratégie de groupe de l’utilisateur remplace la stratégie de l’ordinateur, et l’ordinateur reste exempt du chiffrement BitLocker.
Remarque
Si l’ordinateur est déjà protégé par BitLocker et que l’utilisateur est exempté, MBAM n’applique pas la stratégie de chiffrement. Toutefois, si un autre utilisateur qui n’est pas exempté de la stratégie de chiffrement se connecte à l’ordinateur, le chiffrement démarre.
Les étapes suivantes décrivent ce qui se produit lorsque les utilisateurs finaux demandent une exemption du processus d’exemption de chiffrement de lecteur BitLocker par le biais du client MBAM ou par le biais d’un processus utilisé par votre organisation. Vous devez configurer les paramètres de stratégie de groupe MBAM pour permettre aux utilisateurs finaux de demander une exemption du chiffrement de lecteur BitLocker.
Lorsque les utilisateurs finaux se connectent à un ordinateur qui doit être chiffré, ils reçoivent une notification indiquant que leur ordinateur va être chiffré. Ils peuvent sélectionner Demander l’exemption et reporter le chiffrement en sélectionnant Reporter, ou ils peuvent sélectionner Démarrer le chiffrement pour accepter le chiffrement BitLocker.
Remarque
La sélection de la demande d’exemption reporte la protection BitLocker jusqu’à la durée maximale définie dans la stratégie d’exemption de l’utilisateur.
Si les utilisateurs finaux sélectionnent Demander une exemption, ils reçoivent une notification leur indiquant de contacter le groupe d’administration BitLocker de l’organisation. Selon la configuration de la stratégie Configurer l’exemption d’utilisateur , les utilisateurs disposent d’une ou plusieurs des méthodes de contact suivantes :
Numéro de téléphone
URL de la page web
Adresse postale
Une fois la demande d’exemption reçue, l’administrateur MBAM décide s’il faut ajouter l’utilisateur au groupe Services de domaine Active Directory (ADDS) d’exemption BitLocker.
Une fois qu’un utilisateur final a envoyé une demande d’exemption, le client MBAM signale l’utilisateur comme « Temporairement exempté ». Le client attend ensuite un nombre spécifié de jours, que les administrateurs informatiques configurent, avant de vérifier à nouveau la conformité de l’ordinateur. Si l’administrateur MBAM rejette la demande d’exemption, l’option de demande d’exemption est désactivée, ce qui empêche l’utilisateur de demander à nouveau l’exemption.
Pour exempter un utilisateur du chiffrement de lecteur BitLocker
Créez un groupe de sécurité ADDS pour gérer les exemptions des utilisateurs des exigences de chiffrement BitLocker.
Créez un objet de stratégie de groupe à l’aide des modèles de stratégie de groupe Microsoft BitLocker Administration and Monitoring.
Associez l’objet de stratégie de groupe au groupe ADDS que vous avez créé à l’étape précédente. Les paramètres de stratégie pour exempter les utilisateurs se trouvent à l’emplacement suivant : Modèles >d’administrationUserConfiguration>Composants>Windows MDOP MBAM (Gestion BitLocker).
Au groupe de sécurité que vous avez créé pour les utilisateurs exemptés BitLocker, ajoutez les noms des utilisateurs qui demandent une exemption.
Lorsqu’un utilisateur se connecte à un ordinateur contrôlé par BitLocker, le client MBAM vérifie le paramètre Stratégie d’exemption de l’utilisateur. Si l’ordinateur est déjà chiffré, la protection BitLocker n’est pas suspendue. Si l’ordinateur n’est pas chiffré, MBAM n’invite pas l’utilisateur à chiffrer.
Remarque
Les scénarios d’ordinateurs partagés nécessitent une attention particulière lorsque vous utilisez des exemptions utilisateur BitLocker. Si un utilisateur non exempté se connecte à un ordinateur partagé avec un utilisateur exempté, l’ordinateur peut être chiffré.