如何管理用户 BitLocker 加密豁免

Microsoft BitLocker 管理和监视 (MBAM) 允许用户免除 BitLocker 驱动器加密要求。

若要免除用户 BitLocker 保护，必须：

创建基础结构以支持豁免用户。 此基础结构的示例包括为用户提供可用于请求豁免的联系人电话号码、网页或邮寄地址。
将豁免用户添加到专门为豁免用户配置的组策略对象的安全组。 当此安全组的成员登录到计算机时，用户的组策略设置将免除该用户的 BitLocker 保护。用户的组策略设置将覆盖计算机策略，并且计算机仍不受 BitLocker 加密限制。

注意

如果计算机已受 BitLocker 保护，并且用户已获豁免，则 MBAM 不会应用加密策略。但是，如果另一个未免除加密策略的用户登录到计算机，则会开始加密。

以下步骤描述了最终用户通过 MBAM 客户端或组织使用的任何进程请求 BitLocker 驱动器加密豁免过程时会发生什么情况。必须配置 MBAM 组策略设置，以允许最终用户请求 BitLocker 驱动器加密的豁免。

当最终用户登录到需要加密的计算机时，他们会收到一条通知，指示其计算机将被加密。他们可以选择“ 请求豁免 ”，并通过选择“ 推迟”来推迟加密，也可以选择“ 开始加密” 以接受 BitLocker 加密。

注意

选择“ 请求豁免 ”会将 BitLocker 保护推迟到用户豁免策略中设置的最长时间。
如果最终用户选择“ 请求豁免”，他们会收到通知，告知他们联系组织的 BitLocker 管理组。根据 配置用户豁免策略 的方式，为用户提供以下一种或多种联系方法：
- 电话号码
- 网页 URL
- 通讯地址
收到豁免请求后，MBAM 管理员决定是否将用户添加到 BitLocker 豁免 Active Directory 域服务 (ADDS) 组。
最终用户提交豁免请求后，MBAM 客户端将用户报告为“暂时豁免”。然后，客户端将等待 IT 管理员配置的指定天数，然后再次检查计算机的符合性。如果 MBAM 管理员拒绝豁免请求，则会停用豁免请求选项，从而阻止用户再次请求豁免。

从 BitLocker 驱动器加密中免除用户

创建 ADDS 安全组以管理 BitLocker 加密要求的用户豁免。
使用 Microsoft BitLocker 管理和监视组策略模板创建组策略对象。
将组策略对象与在上一步中创建的 ADDS 组相关联。用于免除用户的策略设置位于： UserConfiguration>管理模板>Windows 组件>MDOP MBAM (BitLocker Management) 。
对于为 BitLocker 豁免用户创建的安全组，请添加请求豁免的用户的名称。

当用户登录到 BitLocker 控制的计算机时，MBAM 客户端会检查用户豁免策略设置。如果计算机已加密，则 BitLocker 保护不会暂停。如果计算机未加密，MBAM 不会提示用户加密。

注意

使用 BitLocker 用户豁免时，需要特别注意共享计算机方案。如果非豁免用户登录到与豁免用户共享的计算机，则计算机可能已加密。