ユーザー BitLocker 暗号化の除外を管理する
Microsoft BitLocker 管理と監視 (MBAM) を使用すると、ドライブを暗号化する必要がないユーザーや必要のないユーザーがいる場合にユーザーを除外することで、BitLocker 保護を管理できます。
BitLocker 保護からユーザーを除外するには、除外を要求するために使用する連絡先電話番号、Web ページ、郵送先住所をユーザーに付与するなど、免除されたユーザーをサポートするインフラストラクチャを作成する必要があります。 また、除外されたユーザー専用に作成されたグループ ポリシー オブジェクトのセキュリティ グループに、除外ユーザーを追加する必要があります。 このセキュリティ グループのメンバーがコンピューターにログオンすると、ユーザーのグループ ポリシー設定に、ユーザーが BitLocker 保護から除外されていることが示されます。 ユーザーのグループ ポリシー設定によってコンピューター ポリシーが上書きされ、コンピューターは BitLocker 暗号化から除外されたままになります。
メモ コンピューターが既に BitLocker で保護されている場合、ユーザー除外ポリシーは無効です。
次の表は、除外の設定方法に基づいて BitLocker 保護がどのように適用されるかを示しています。
| ユーザーの状態 | コンピューターが除外されない | コンピューターの除外 |
|---|---|---|
ユーザーが除外されない |
BitLocker 保護がコンピューターに適用される |
BitLocker 保護がコンピューターに適用されない |
ユーザーの除外 |
BitLocker 保護がコンピューターに適用されない |
BitLocker 保護がコンピューターに適用されない |
ユーザーを BitLocker 暗号化から除外するには
BitLocker 暗号化要件からのユーザーの除外を管理するために使用するActive Directory Domain Services セキュリティ グループを作成します。
Microsoft BitLocker 管理と監視グループ ポリシーテンプレートを使用してグループ ポリシー オブジェクト設定を作成し、前の手順で作成した Active Directory グループに関連付けます。 ユーザーを除外するポリシー設定は、 UserConfiguration\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management) にあります。
BitLocker が除外されたユーザーのセキュリティ グループを作成した後、除外を要求しているユーザーの名前をこのグループに追加します。 ユーザーが BitLocker によって制御されるコンピューターにログオンすると、MBAM クライアントはユーザー除外ポリシー設定を確認し、ユーザーが BitLocker 除外セキュリティ グループの一部であるかどうかに基づいて保護を中断します。
大事な 共有コンピューターのシナリオでは、ユーザーの除外を使用する場合に特別な考慮事項が必要です。 非除外ユーザーが、除外ユーザーと共有されているコンピューターにログオンすると、コンピューターが暗号化される可能性があります。
ユーザーが BitLocker 暗号化の除外を要求できるようにするには
MBAM ポリシー テンプレートを使用してユーザー除外ポリシーを構成している場合、ユーザーは MBAM クライアントを介して BitLocker 保護の除外を要求できます。
ユーザーは、暗号化が必要なコンピューターにログオンすると、コンピューターが暗号化されることを示す通知を受け取ります。 [ 除外の要求 ] を選択し、[ 後で] を選択して暗号化を延期するか、[ 開始 ] を選択して BitLocker 暗号化を受け入れます。
メモ [ 除外の要求 ] を選択すると、ユーザー除外ポリシーで設定された最大時間まで BitLocker 保護が延期されます。
ユーザーが [除外の要求] を選択すると、組織の BitLocker 管理グループに連絡するように通知されます。 ユーザー除外ポリシーの構成方法に応じて、ユーザーには次の 1 つ以上の問い合わせ方法が提供されます。
電話番号
Web ページ URL
住所
除外要求を受信した後、MBAM 管理者は、BitLocker の除外 Active Directory グループにユーザーを追加することが適切かどうかを判断できます。
メモ ユーザーが除外要求を送信すると、MBAM エージェントはユーザーを "一時的に免除" として報告し、構成可能な日数待ってから、コンピューターのコンプライアンスを再度確認します。 MBAM 管理者が除外要求を拒否すると、除外要求オプションが非アクティブ化され、ユーザーは再び除外を要求できなくなります。