Übersicht über Exchange ActiveSync-Richtlinie-Modul
Betrifft: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Thema für IT-Experten beschreibt das Exchange ActiveSync-Richtlinie-Modul und führt die Ressourcen für die Verwendung.
Meinten Sie…
Featurebeschreibung
Das Richtlinienmodul für Exchange ActiveSync (EAS) eingeführteWindows Server 2012Windows 8undWindows RTAktivieren apps anwenden EAS-Richtlinien auf Desktops, Laptops und Tablet PCs, um Daten zu schützen, die aus der Cloud, z. B. Daten aus einem Exchange-Server synchronisiert wird. Einen Kernsatz von Windows-Sicherheit primitive Typen unterstützt.
Praktische Anwendung
Das EAS-Richtlinienmodul enthält einen Satz von WinRT-APIs, die Windows Store-apps zum Verwalten der Sicherheit primitive auf Geräten zu ermöglichen. Die Richtlinien des Richtlinienmoduls EAS unterstützt gehören Kennwörter gelten, Leerlaufzeitgeber, -in Methoden und Status der Datenträger-Verschlüsselung. Das Richtlinienmodul können Sie überprüfen, Gerätestatus und der Status Ihrer Richtlinien entspricht. Windows Store-apps können nutzen, das EAS-Richtlinienmodul APIs zu überprüfen und diese Richtlinien zu erzwingen.
Das Exchange ActiveSync (EAS)-Protokoll ist ein XML-basiertes Protokoll entwickelt, um E-mail, Kontakte, Kalender, Aufgaben, Notizen und Richtlinien zwischen Exchange Server und einem Clientgerät zu synchronisieren. Das EAS-Richtlinienmodul kann erzwingen, dass eine Teilmenge der Richtlinien in EAS-Protokoll auf Geräten, die mit einem beliebigen der unterstützten Versionen des Windows-Betriebssystems definiert (gemäß derBetrifftListe am Anfang dieses Themas).
Funktionsweise
Unterstützte Geräte
Geräte kann, einschließlich Servern, Desktops, Laptops und Tablet-PCs, die die unterstützten Versionen von Windows ausgeführt werden und sind in der Lage ist, installieren Sie eine Mail-app aus dem Windows Store EAS-Richtlinien erzwingen.
Verfügbare Geräteinformationen
Eine Mail-app, die EAS-Richtlinienmodul verwendet hat auch die Möglichkeit, lesen die Informationen, und wenden Sie sich an den Exchange-Server. Es folgt eine Liste der verfügbaren Geräteinformationen:
Eine eindeutige Geräte-ID, die aufgerufen wird, Geräte-ID oder die ID
Name des Computers
Auf dem Gerät ausgeführte Betriebssystem
Systemhersteller
System-Produktname
SKU-System
Richtlinien, die von einem Mail-app und EAS-Richtlinienmodul unterstützt
Um Daten von einem Exchange-Server zu synchronisieren, wendet die Mail-app zunächst Sicherheitsrichtlinien auf dem Clientgerät. Eine Mail-app kann einen Kernsatz an diese Richtlinien mithilfe von WinRT-APIs im Modul EAS-Richtlinie anwenden.
Die EAS-Policy-Engine hat die Möglichkeit zum Prüfen der Richtlinien, die auf einem Gerät und überprüfen Sie die Konten auf diesem Gerät zu diesen Richtlinien entsprechen. Sie können auch Richtlinien für Methoden, Kennwort und einem Gerät Inaktivität anmelden erzwingen.
Die EAS-Policy-Engine unterstützt nicht alle Richtlinien, die vom EAS-Protokoll in MS-ASPROV angegeben. Insbesondere werden die Richtlinien, die Karte Speicherzugriff, e-Mail-Archivierung und S/MIME-betreffen, nicht unterstützt. Weitere Informationen finden Sie unter[MS-ASPROV]: Exchange ActiveSync: Protokoll Bereitstellungin der MSDN Library. Es folgt eine Liste aller unterstützten Richtlinien.
EAS-Richtlinienname |
Beschreibung |
Korrelation mit Gruppenrichtlinien |
|---|---|---|
AllowSimpleDevicePassword |
Gibt an, ob der Benutzer anmelden um Hilfsmethoden wie Pin, bildkennwort oder biometrische Daten verwenden. |
Es gibt drei Sätze von Gruppenrichtlinien, die Pin, bildkennwort und Biometrik steuern. Diese Richtlinien müssen festgelegt werden, um nicht-Administratorkonten auf Kompatibilität zu erreichen, ohne dass ein Eingreifen des Administrators zu ermöglichen. PIN Einstellung: PIN-Anmeldung aktivieren Speicherort der lokalen Sicherheitsrichtlinie-Snap-in: Computerkonfiguration/Administrative Vorlagen/System/Computeranmeldung / Bild Einstellung: Bild Kennwort anmelden deaktivieren Speicherort der lokalen Sicherheitsrichtlinie-Snap-in: Computerkonfiguration/Administrative Vorlagen/System/Computeranmeldung / Biometrie Richtlinien:
Speicherort der lokalen Sicherheitsrichtlinie-Snap-in: Computer Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Biometrik / Hinweis Für Client Geräte, die die unterstützten Versionen von Windows ausgeführt wird, wenn die Pin oder Bild-Gruppenrichtlinien-Einstellung angewendet wird, um nicht-Administratorkonten konform zu werden, es ist notwendig, legen den Registrierungsschlüssel, der entspricht, DisallowConvenienceLogon, HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\DisallowConvenienceLogon ist. |
MaxInactivityTimeDeviceLock |
Gibt die Zeitdauer, die ein Gerät wechseln kann, ohne Benutzereingabe, bis es gesperrt ist. |
Einstellung: Interaktive Anmeldung: Obergrenze für Inaktivität auf Computer Speicherort der lokalen Sicherheitsrichtlinie-Snap-in: Computer Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/lokale Richtlinien/Sicherheitsoptionen / |
MaxDevicePasswordFailedAttempts |
Gibt an, wie oft ein falsches Kennwort eingegeben werden kann, bevor das Gerät neu gestartet wird. Das Gerät kann in Sperrmodus, gebracht werden, die den Wiederherstellungsschlüssel zum Entsperren des Geräts bei datenträgerverschlüsselung erforderlich ist. |
Einstellung: Interaktive Anmeldung: Kontensperrungsschwelle Computer Speicherort der lokalen Sicherheitsrichtlinie-Snap-in: Computer Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/lokale Richtlinien/Sicherheitsoptionen / |
MinDevicePasswordComplexCharacters |
Gibt die minimale Anzahl von komplexen Zeichen, die für ein Kennwort erforderlich sind. |
Einstellung: Das Kennwort muss komplexitätsvoraussetzungen entsprechen. Speicherort der lokalen Sicherheitsrichtlinie-Snap-in: Computer Computerkonfiguration/Windows-Einstellungen/Security Settings-Konto Kontorichtlinien/Kennwortrichtlinie / |
MinDevicePasswordLength |
Gibt die minimale Kennwortlänge an. |
Einstellung: Minimale Kennwortlänge Speicherort der lokalen Sicherheitsrichtlinie-Snap-in: Computer Computerkonfiguration/Windows-Einstellungen/Security Settings-Konto Kontorichtlinien/Kennwortrichtlinie / |
DevicePasswordExpiration |
Gibt die Zeitspanne, nach denen ein Kennwort geändert werden muss. |
Einstellung: Maximales Kennwortalter Speicherort der lokalen Sicherheitsrichtlinie-Snap-in: Computer Computerkonfiguration/Windows-Einstellungen/Security Settings-Konto Kontorichtlinien/Kennwortrichtlinie / |
DevicePasswordHistory |
Gibt die Anzahl der bereits verwendeten Kennwörter, die erneut verwendet werden kann. |
Einstellung: Kennwortverlauf erzwingen Speicherort der lokalen Sicherheitsrichtlinie-Snap-in: Computer Computerkonfiguration/Windows-Einstellungen/Security Settings-Konto Kontorichtlinien/Kennwortrichtlinie / |
RequireDeviceEncryption |
Gibt an, ob das geräteverschlüsselung erforderlich ist. Wenn auf True festgelegt, das Gerät in der Lage muss unterstützen und Implementieren von Verschlüsselung erfüllen. Hinweis Verschlüsselung kann nicht aktiviert werden, die EAS-Richtlinienmodul und eine expliziten Benutzeraktion zum Aktivieren der Verschlüsselung erforderlich ist, wenn er nicht bereits ausgeführt wird |
Es ist keine lokale Sicherheitsrichtlinie oder Group Policy Administrative Template, die diese EAS-Richtlinie entspricht. Eine explizite Aktion ist erforderlich, um ein Gerät zu verschlüsseln, wenn diese Richtlinie erforderlich ist. |
Weitere Informationen zu den einzelnen Richtlinien finden Sie unterVerwenden von Exchange ActiveSync-Richtlinien für Device Management.
Informationen zu Kennwortrichtlinien und Konten
Richtlinien für Kennwörter verhindern, dass einen böswilligen Benutzer Zugriff auf Inhalte auf dem Gerät durch ein Kennwort erforderlich ist. Dies gilt auch für Computer oder Geräte, die eine oder mehrere Administratorkonten verfügen. Da Administratoren möglicherweise Daten für andere Konten zugreifen können, ist es erforderlich, dass alle Administratorkonten Kennwortrichtlinien einhalten, selbst wenn EAS-Richtlinien nicht angewendet werden.
Wenn Kennwortrichtlinien angewendet werden, sind alle Administrator- und Konten für alle Benutzer erforderlich, um das Kennwort beim nächsten Anmelden oder Entsperren Aktion entsprechen. Außerdem, wenn ein Administratorkonto ein leeres Kennwort hat, kann ein kompatibles Kennwort angewendet werden muss, bevor der Computer oder Gerät kompatibel mit Exchange-Daten synchronisieren.
EAS-Protokoll definiert DevicePasswordEnabled, die nicht direkt in das Betriebssystem unterstützt wird. Wenn ein Exchange-Server DevicePasswordEnabled festlegt, apps, die diese Richtlinien gelten sollen Festlegen einiger der zugrunde liegenden Kennwortrichtlinien mit Standardwerten. Diese Richtlinien umfassen, Länge, Komplexität, Verlauf, Ablaufdatum und der Versuch fehlgeschlagen.
MaxDevicePasswordFailedAttempts wird mit einem Standardwert von 4 festgelegt. In Verbindung mit BitLocker oder Geräteverschlüsselung führt einen Neustart, gefolgt von dem Gerät sperren falscher Eingabeversuche des Kennworts. Wenn der Datenträger nicht verschlüsselt ist, wird das Gerät neu starten, um gelegentlichen Brute-Force-Angriffen verlangsamen.
Administrator oder Benutzer Konten, die deaktiviert sind, werden so ändern Sie das Kennwort bei der nächsten Anmeldung festgelegt. Da sie deaktiviert werden, sie werden jedoch kompatibel sein.
Kennwortchronik und das Ablaufdatum gelten nur bei der das Kennwort eines lokalen Benutzerkontos ausgewertet oder geändert wird. Sie müssen nur lokal erzwungen werden. Diese Richtlinien werden für die Domäne oder die Microsoft-Konten nicht erzwungen. Microsoft-Konten und Active Directory-Domänenkonten haben unterschiedliche Richtlinien, die auf dem Server erzwungen werden. Daher werden sie nicht durch die Richtlinien aus einer EAS-Richtlinie gebunden werden.
Kennwortlänge und Komplexität von Kontotypen unterstützt
Kennwortrichtlinien für Länge und Komplexität ausgewertet und angewendet auf verschiedenen Kontotypen unterschiedlich.
Lokale Konten
Aktuelle lokales Konto und alle Administratorkonten müssen ein Kennwort verfügen, wenn die EAS-Richtlinien minimale Kennwortlänge und/oder Komplexität festgelegt. Nichtkompatibilität führt zu erfüllen. Wenn Länge und Komplexität Kennwortregeln angewendet werden, sind alle die Steuerelement Benutzer- und Administratorkonten markiert das Kennwort bei der nächsten Anmeldung ändern, um sicherzustellen, dass diese Anforderung erfüllt werden.
Lokale Konten unterstützen die volle Länge Kennwortrichtlinie, aber sie unterstützt nur drei Zeichensätze, nicht die vollständige vier, die EAS-Protokoll angeben können. Wenn vier Zeichensätze erfordern EAS-Richtlinie festgelegt ist, werden alle lokale Konten nicht kompatibel. Wird Windows-Betriebssystems nicht explizit unterstützt die Anzahl der komplexe Zeichen in einem Kennwort auswählen. Stattdessen müssen Kennwörter eine gewisse Komplexität erfüllen. Diese Komplexität wird in drei komplexe Zeichen übersetzt. Aus diesem Grund kann eine EAS-Richtlinie, die größer als 3 MinDevicePasswordComplexCharacters erfordert Windows-Konten unterstützt werden.
Lokale Konten standardmäßig eine Mindestlänge für Kennwörter Länge und Komplexität Richtlinie Verhältnis zwischen 6 und 3, wenn Kennwortrichtlinien festgelegt ist. Die Komplexität werden erzwungen, wenn Kennwörter geändert oder erstellt werden. Über das Netzwerk auf Konten mit einem leeren Kennwort alle Sicherheitsrisiken verringert werden. Wenn ein Benutzer ein Kennwort für ein lokales Konto festlegt, ist jedoch das Konto sofort das Erraten von Kennwörtern oder andere Angriffe anfällig über das Netzwerk. Daher werden zur Minderung von Bedrohungen über Netzwerkzugriff Mindestanforderungen festgelegt, für lokale Konten, die eine angemessene Sicherheit bietet.
Domänenkonten
Domänenkonten werden für Kennwortrichtlinien, die vom EAS festgelegt werden, da davon ausgegangen wird, dass die EAS-Richtlinien und die Kontorichtlinien für die Domäne zu derselben Zertifizierungsstelle Konto gehören, werden nicht lokal ausgewertet. Diese Richtlinien umfassen Komplexität, Länge, Ablaufdatum und Verlauf.
Microsoft-Konten
Hinweis
Microsoft-Konten wurden früher als Windows Live ID-Konten bezeichnet.
Viel wie ein Domänenkonto, ein Microsoft-Konto eine Autorität für die Richtlinie unterliegt, die nicht mit einem lokalen Gerät verknüpft ist. Eigenschaften, einschließlich der Kennwortrichtlinie zur Komplexität, Länge, Ablaufdatum und Verlauf sind Teil der Microsoft-Konto.
Microsoft-Konten erzwingen eine minimale Kennwortlänge von 8 Zeichen und 2 Zeichensätze in einem Kennwort. Daher können Microsoft-Konten entsprechen, wenn die Richtlinie MinDevicePasswordLength auf kleiner oder gleich 8 Zeichen festgelegt ist und die Richtlinie MinDevicePasswordComplexCharacters auf kleiner oder gleich 2 festgelegt ist.
Die EAS-Richtlinienregeln kann immer noch ein Kennwort entsprechen, aber nichts kann verhindern, dass einen Benutzer ein weniger komplexes Kennwort für das Microsoft-Konto erstellen. Nichteinhaltung Ergebnisse zurück, wenn die EAS-Richtlinien strenger als die sind, die Microsoft-Konten erzwingen können.
Ablauf und Verlauf werden für Microsoft-Konten nicht lokal ausgewertet.
Die Anwendung von Richtlinien auf Administrator- und Standardbenutzerkonten
EAS-Richtlinien gelten für alle Administratorkonten, unabhängig davon, ob sie eine app, die EAS-Richtlinien konfiguriert sind.
EAS-Richtlinien werden auch in eine beliebige (nicht-Administrator) Standardkonto angewendet, die eine Anwendung, die EAS-Richtlinien konfiguriert wurde. Diese Konten sind Benutzerkonten Steuerelement aufgerufen. Die EAS-Richtlinie MaxInactivityTimeDeviceLock ist die Ausnahme, da sie nicht für Konten, sondern vielmehr auf das Gerät angewendet wird.
Richtlinien, die von verschiedenen Quellen angegeben
Erhält eine Reihe von Richtlinien, die von Exchange ActiveSync, Gruppenrichtlinien, ein Microsoft-Konto oder lokale Richtlinien erzwungen werden, setzt das Windows-Betriebssystem immer die strengste Richtlinie aus einer Gruppe geltenden Richtlinien.
Unterstützung mehrerer
Windows bietet für mehrere Benutzer auf einem einzigen Gerät. Windows Live Mail können auch mehrere EAS-Konten für jeden Benutzer. Wenn mehrere EAS-Konten mit Richtlinien, die auf einem Gerät mit einer unterstützten Version von Windows festgelegt sind, werden die Richtlinien in die restriktivste Richtlinienergebnissatzes zusammengeführt.
EAS-Richtlinien gelten nicht für alle Benutzer auf einem Gerät mit Windows. Windows beschränkt Standardbenutzerkonten in der Lage, Daten in anderen Benutzerprofile oder vertrauenswürdige Sites zugreifen. Aus diesem Grund EAS-Richtlinien nicht gleichmäßig standard gelten für Benutzer. Die Richtlinien gelten nur für Standardbenutzer, die konfigurierte Exchange-Konto verfügen, das EAS-Richtlinie erforderlich sind.
Konten für Benutzer mit Administratorrechten verfügen immer über die EAS-Richtlinien angewendet.
Windows bietet nur einen Mechanismus, um eine einzelne Instanz der EAS-Richtlinien gelten. Jedes Konto, das ein EAS-Richtlinie unterliegt wird durch die strengste auf dem Gerät angewendete Richtlinie gesteuert.
Richtlinie zurücksetzen
Um eine Anwendung von Sicherheitsrichtlinien reduzieren und machen ein Risiko für das Gerät zu verhindern, kann keine Richtlinie reduziert werden, auch wenn die Richtlinie nicht mehr auf dem Server vorhanden ist. Ein Benutzer muss zum Zurücksetzen von Richtlinien bei Lockerung der Richtlinie, Richtlinie entfernen, Entfernen des Kontos oder ein app-entfernen einleiten.
Richtlinien können mithilfe der Systemsteuerungsoption zurückgesetzt werden. Klicken Sie aufBenutzerkonten und Jugendschutzklicken Sie aufBenutzerkontenund klicken Sie aufSicherheitsrichtlinien zurücksetzen. Benutzer können Sie auchSicherheitsrichtlinien zurücksetzenEAS-Richtlinie zurücksetzen, die einen e-Mail-Übermittlung zu einem Fehler führt.
Hinweis
Die Option zum Zurücksetzen der Sicherheitsrichtlinien ist nur vorhanden, wenn die EAS-Richtlinienmodul Richtlinien angewendet werden.
EAS-Richtlinien und Bereitstellung aktualisieren
Exchange-Server können Benutzer diese für Geräte bereitstellen und Richtlinien nach einer bestimmten Zeitspanne erneut erzwingen. Dadurch wird sichergestellt, dass, wenn das Gerät nicht mehr mit EAS-Richtlinien kompatibel ist, erneut die Richtlinien angewendet werden, oder das Gerät als nicht kompatibel eingestuft.
Der Client Windows Mail erzwingt nicht die Bereitstellung aktualisieren, daher ist es die Verantwortung für die EAS-Administrator, um sicherzustellen, dass das Bereitstellung aktualisieren innerhalb eines vorgegebenen Zeitrahmens, tritt eine Änderung der Richtlinie ausgelöst wird.
Eine Bereitstellung aktualisieren kann gesteuert werden, durch Festlegen derAktualisierungsintervallRichtlinie in den Einstellungen für Exchange ActiveSync-Postfachrichtlinie. Weitere Informationen zum Festlegen des Aktualisierungsintervalls finden Sie unteranzeigen oder konfigurieren Exchange ActiveSync-Postfach Richtlinieneigenschaften.
Sperren des Geräts
Die unterstützten Windows-Betriebssysteme bieten Datenschutz über BitLocker Drive Encryption. In Kombination mit Kennwortrichtlinien und die Richtlinie MaxDevicePasswordFailedAttempts bietet Windows Live Mail-Schema eine stabile Daten zum Schutz um das Risiko von Datenverlusten aufgrund von Geräteverlust oder Diebstahl zu beschränken.
Obwohl viele mobile Geräte eine vollständige Entfernung des Geräts Content unterstützen bei eine remote-Anweisung empfangen wird oder wenn von einem Benutzer der MaxDevicePasswordFailedAttempts-Schwellenwert erreicht wird, führen Sie die unterstützten Windows-Betriebssysteme nicht.
Das Gerät sperren-Feature in die unterstützten Windows-Betriebssysteme kann Geräte, die mit kryptografisch Sperren alle verschlüsselten Volumes, und starten Sie das Gerät in der Wiederherstellungskonsole von BitLocker verschlüsselt werden. Ein verlorenes oder Gestohlenes Gerät kann nicht gelesen werden, es sei denn, der Besitzer des Geräts zur Wiederherstellung des Schlüssels des Geräts vorhanden ist.
Die Device-Lock-Funktion bietet Schutz bei verlorenen oder gestohlenen Geräten und stellt ein Mittel für autorisierte Benutzer versehentlich Geben Sie den Gerätezustand sperren, um ihre Geräte und weiterhin verwenden.
AutoLogon-Verhalten
Implementierung von EAS-Richtlinien verhindert, dass Benutzer mithilfe der Funktion zum automatischen anmelden. AutoLogon ermöglicht die Anmeldeinformationen des signierten für das Konto werden verschlüsselt und in der Registrierung gespeichert werden, sodass beim Neustart des Computers wird das Konto des Benutzers automatisch angemeldet wird mit Anmeldeinformationen gespeichert. AutoLogon eignet sich, wenn Administratoren einen Computer mehrmals während der Konfiguration anmelden erforderlich sind, oder wenn ein Benutzer verfügt über sichere Besitz ihrer PCs und wünscht eine einfachere Möglichkeit, sich anzumelden.
Wenn EAS-Richtlinien implementiert werden, die automatische Anmeldung funktioniert nicht in der Standardeinstellung und der Benutzer, der versucht, sich anzumelden, muss ihre Konto-Anmeldeinformationen eingeben. Wenn die automatische Anmeldung Verhalten gewünscht wird, müssen die EAS-Richtlinien deaktiviert werden.
Warnung
EAS-Richtlinien deaktivieren, wird Sicherheit verringert.
Weitere Informationen zum Herunterladen dieses Tools finden Sie unterAutologon.
Neue und geänderte Funktionalität
Das EAS-Richtlinienmodul eingeführteWindows Server 2012undWindows 8.
In Windows Server 2012 und Windows 8 zählen Biometrie-Methoden nicht in Richtung der Grenzwerte, die in der Richtlinie MaxDevicePasswordFailedAttempts. InWindows Server 2012 R2undWindows 8.1wenn das Gerät verschlüsselt ist, mit BitLocker oder andere Datenträger Verschlüsselungssoftware, Biometrik anmelden Methoden werden nicht deaktiviert, wenn die Grenze überschritten wird, wenn die Richtlinie DisallowConvenienceLogon festgelegt wird.
Softwareanforderungen
Die EAS-Policy-Engine und die Implementierung von Gruppenrichtlinien wird nur für Versionen des Windows-Betriebssystems festgelegten unterstützt dieBetrifftListe am Anfang dieses Themas.
Zusätzliche Ressourcen
Die folgende Tabelle enthält zusätzliche und verwandte Informationen zu den Exchange ActiveSync-Richtlinienmodul, einschließlich Richtlinien und APIs.
Inhaltstyp |
Referenzen |
|---|---|
Produktbewertung |
In diesem Thema |
Planen |
Keine |
Bereitstellung |
Keine |
Betrieb |
Verwenden von Exchange ActiveSync-Richtlinien für Device Management |
Problembehandlung |
Keine |
Sicherheit |
Keine |
Tools und Einstellungen |
Sicherheitsrichtlinien verweisen: Kennwortrichtlinie |
Communityressourcen |
Keine |
Verwandte Technologien |
Verwalten von Exchange ActiveSync: Exchange 2010-Hilfe |