Información general del motor de directiva de ActiveSync de Exchange

 

Se aplica a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

En este tema para profesionales de TI describe el motor de directiva de Exchange ActiveSync y se enumera los recursos para su utilización.

Quizá lo que busca es…

Descripción de la característica

El motor de directiva de Exchange ActiveSync (EAS) se introdujo enWindows Server 2012Windows 8yWindows RTpara habilitar aplicaciones aplicar directivas de EAS en los escritorios, equipos portátiles y Tablet PC para proteger los datos que se sincronizan desde la nube, como los datos de un servidor de Exchange. Admite un conjunto básico de tipos primitivos de seguridad de Windows.

Aplicaciones prácticas

El motor de directiva EAS contiene un conjunto de APIs de WinRT que permiten a las aplicaciones de la tienda Windows administrar a las primitivas de seguridad en dispositivos. Las directivas admitidas por el motor de directiva EAS incluyen los requisitos de contraseña, temporizadores de inactividad, métodos de inicio de sesión y el estado de cifrado de disco. El motor de directiva le permite comprobar el estado de dispositivo y si el estado se ajusta a sus directivas. Aplicaciones de la tienda de Windows pueden aprovechar el motor de directiva EAS API para comprobar y aplicar estas directivas.

El protocolo de Exchange ActiveSync (EAS) es un protocolo basado en XML, diseñado para sincronizar el correo electrónico, contactos, calendario, tareas, notas y directivas entre Exchange Server y un dispositivo de cliente. El motor de directiva EAS puede exigir un subconjunto de las directivas definidas en el protocolo EAS en dispositivos que ejecuten cualquiera de las versiones compatibles del sistema operativo Windows (enumerados en else aplica alista al principio de este tema).

Cómo funciona

Dispositivos compatibles

Dispositivos, incluidos servidores, escritorios, equipos portátiles y Tablet PC, que se ejecuta las versiones admitidas de Windows y sean capaces de instalar una aplicación de correo desde la tienda Windows pueden exigir directivas de EAS.

Información de dispositivo disponibles

Una aplicación de correo que utiliza el motor de directiva EAS también tiene la capacidad para leer información del dispositivo y notificar al servidor de Exchange. Siguiente es una lista de información de dispositivo que está disponible:

  • Un identificador de dispositivo único llamado Id. de dispositivo o Id.

  • Nombre del equipo

  • Sistema operativo que se ejecuta en el dispositivo

  • Fabricante del sistema

  • Nombre de producto del sistema

  • Sistema de SKU

Directivas admitidas por una aplicación de correo y el motor de directiva EAS

Para sincronizar los datos de un servidor de Exchange, la aplicación de correo aplica primero las directivas de seguridad en el dispositivo cliente. Una aplicación de correo puede aplicar un conjunto básico de estas directivas mediante APIs WinRT en el motor de directiva EAS.

El motor de directiva EAS tiene la capacidad para buscar directivas aplicadas en un dispositivo y comprobar si las cuentas de ese dispositivo se ajustan a estas directivas. También puede aplicar directivas relacionadas con la sesión de inactividad del dispositivo, la contraseña y métodos.

El motor de directiva EAS no admite todas las directivas especificadas por el protocolo EAS en MS-ASPROV. En particular, no se admiten directivas de acceso de la tarjeta de almacenamiento, retención de correo electrónico y S/MIME. Para obtener más información, consulte el[MS-ASPROV]: ActiveSync de Exchange: Provisioning protocoloen MSDN Library. Siguiente es una lista de todas las directivas compatibles.

Nombre de la directiva EAS

Descripción

Correlación con las directivas de grupo

AllowSimpleDevicePassword

Especifica si el usuario puede utilizar métodos de inicio de sesión de conveniencia como lecturas biométricas, contraseña de imagen o pin.

Hay tres conjuntos de directivas de grupo que controlan el pin, la contraseña de imagen y biometría. Estas directivas se deben establecer para permitir que las cuentas de administrador no puedan cumplir sin necesidad de una acción del administrador.

PIN 

Configuración de directiva: Activar el inicio de sesión de PIN

Ubicación en el complemento Directiva de seguridad Local:

Equipo configuración/plantillas/sistema/inicio de sesión administrativo /

Imagen 

Configuración de directiva: Desactivar el inicio de sesión de imagen contraseña

Ubicación en el complemento Directiva de seguridad Local:

Equipo configuración/plantillas/sistema/inicio de sesión administrativo /

Biométrica

Configuración de directiva:

  • Permitir el uso de biométrica

  • Permitir a los usuarios iniciar sesión mediante biométrica

    Nota

    Recomendación es establece para asegurarse de que todos los usuarios sin privilegios de administrador pueden ser compatibles con.

  • Permitir a los usuarios del dominio iniciar sesión mediante biométrica

Ubicación en el complemento Directiva de seguridad Local:

Equipo componentes plantillas/Windows Configuración administrativa y biometría /

Nota

Para el cliente de dispositivos que ejecutan las versiones admitidas de Windows, si se aplica la configuración de Pin o la directiva de grupo de imágenes para que las cuentas de administrador no sean conformes, es necesario establecer la clave del registro que corresponde a DisallowConvenienceLogon, que es HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\DisallowConvenienceLogon.

MaxInactivityTimeDeviceLock

Especifica el período de tiempo que un dispositivo puede ejecutarse sin entrada del usuario antes de que está bloqueada.

Configuración de directiva: Inicio de sesión interactivo: Límite de inactividad del equipo

Ubicación en el complemento Directiva de seguridad Local:

Opciones de directivas de seguridad de equipo Configuración de Windows de seguridad Local/configuración /

MaxDevicePasswordFailedAttempts

Especifica cuántas veces puede introducirse una contraseña incorrecta antes de reinicia el dispositivo.

El dispositivo puede ponerse en modo de bloqueo, que requiere la clave de recuperación para desbloquear el dispositivo en el caso de cifrado del disco.

Configuración de directiva: Inicio de sesión interactivo: Umbral de bloqueo de cuentas de equipo

Ubicación en el complemento Directiva de seguridad Local:

Opciones de directivas de seguridad de equipo Configuración de Windows de seguridad Local/configuración /

MinDevicePasswordComplexCharacters

Especifica el número mínimo de caracteres complejos que son necesarios para una contraseña.

Configuración de directiva: Contraseña debe cumplir los requisitos de complejidad

Ubicación en el complemento Directiva de seguridad Local:

Directiva de equipo Configuración de Windows de seguridad o la configuración de la cuenta y las directivas de contraseña /

MinDevicePasswordLength

Especifica la longitud mínima de la contraseña.

Configuración de directiva: Longitud mínima de la contraseña

Ubicación en el complemento Directiva de seguridad Local:

Directiva de equipo Configuración de Windows de seguridad o la configuración de la cuenta y las directivas de contraseña /

DevicePasswordExpiration

Especifica el período de tiempo después del cual se debe cambiar una contraseña de usuario.

Configuración de directiva: Antigüedad máxima de contraseña

Ubicación en el complemento Directiva de seguridad Local:

Directiva de equipo Configuración de Windows de seguridad o la configuración de la cuenta y las directivas de contraseña /

DevicePasswordHistory

Especifica el número de contraseñas anteriores que no se puede reutilizar.

Configuración de directiva: Exigir historial de contraseñas

Ubicación en el complemento Directiva de seguridad Local:

Directiva de equipo Configuración de Windows de seguridad o la configuración de la cuenta y las directivas de contraseña /

RequireDeviceEncryption

Especifica si se necesita cifrado del dispositivo. Si se establece en True, el dispositivo debe ser capaz de admitir e implementar el cifrado para que puedan cumplir.

Nota

No se puede habilitar el cifrado por el motor de directiva EAS y una acción explícita del usuario es necesario para activar el cifrado, si no se está ejecutando

No hay ninguna directiva de seguridad Local o grupo de directiva de plantillas administrativas que corresponde a esta directiva EAS. Se requiere una acción explícita para cifrar un dispositivo si esta directiva se requiere.

Para obtener más información sobre cada directiva, consulteUtilizar directivas de Exchange ActiveSync para administración de dispositivos.

Acerca de las cuentas y las directivas de contraseñas

Directivas de contraseña ayuda a evitar que un usuario malintencionado obtener acceso al contenido en el dispositivo con una contraseña. Esto también es cierto para equipos o dispositivos que tienen una o varias cuentas de administrador. Dado que los administradores pueden tener acceso a los datos de otras cuentas, es necesario que todas las cuentas de administrador se ajustan a las directivas de contraseña, incluso si no se aplican las directivas EAS.

Si se aplican las directivas de contraseñas, todo administrador y todas las cuentas de usuario de control son necesarias para cumplir los requisitos en la siguiente sesión o desbloquear acción de contraseña. Además, si una cuenta de administrador tiene una contraseña en blanco, debe aplicarse una contraseña segura antes de que el equipo o dispositivo puede ser compatible con sincronizar con los datos de Exchange.

Protocolo EAS define DevicePasswordEnabled, que no se admite directamente en el sistema operativo. Si un servidor de Exchange establece DevicePasswordEnabled, se esperan que las aplicaciones que se aplican estas directivas para establecer algunas de las directivas de contraseña subyacente con valores predeterminados. Estas directivas incluyen la longitud, complejidad, historial, expiración e intentos fallidos.

MaxDevicePasswordFailedAttempts se establece con el valor predeterminado es 4. En el caso de BitLocker o cifrado de dispositivos, intentos de contraseña incorrecta se provocarán un reinicio seguido de bloqueo de dispositivo. Si el disco no está cifrado, el dispositivo se reiniciará para reducir los ataques de fuerza bruta ocasionales.

Las cuentas de administrador o usuario que están deshabilitadas se establecen para cambiar la contraseña en el siguiente inicio de sesión. Pero debido a que están deshabilitados, se consideran sea compatible.

Expiración y el historial de contraseñas se aplican sólo en el momento en que se evalúa o se cambia una contraseña de cuenta de usuario local. Sólo son necesarias para que se ejecute localmente. No se aplican estas directivas de dominio o cuentas de Microsoft. Cuentas de Microsoft y cuentas de dominio de Active Directory tienen diferentes directivas que se aplican en el servidor. por lo tanto, no se enlazará por las directivas de una directiva de EAS.

Longitud de la contraseña y la complejidad que admite tipos de cuenta

Las directivas de longitud y complejidad de contraseñas se evalúan y aplican de manera diferente en distintos tipos de cuentas.

Cuentas locales

Se requiere una contraseña, cuenta local actual y todas las cuentas de administrador si las directivas EAS establecen la longitud mínima de contraseña, complejidad o ambos. No se puede satisfacer este requisito resultado incumplimiento. Cuando se aplican las reglas de longitud y complejidad de las contraseñas, se marcan todos las control Administrador de cuentas de usuario y para cambiar la contraseña en el siguiente inicio de sesión para asegurarse de que se cumplen los requisitos de complejidad.

Cuentas locales pueden admitir la directiva de longitud de contraseña completo, pero solo se admiten tres conjuntos de caracteres, no los cuatro completos que puede especificar el protocolo EAS. Si se establece una directiva EAS para requerir cuatro conjuntos de caracteres, todas las cuentas locales estarán no conformes. Esto es porque el sistema operativo Windows no admite explícitamente elegir el número de caracteres complejos en una contraseña; en su lugar, requiere que la contraseña cumpla un cierto nivel de complejidad. Esta complejidad se traduce en tres caracteres complejos. Por lo tanto, no se admite una directiva EAS que requiere mayor que 3 MinDevicePasswordComplexCharacters las cuentas de Windows.

Las cuentas locales como valor predeterminado una proporción de directiva de longitud y complejidad de mínima de la contraseña de 6 y 3 cuando se establece ninguna directiva de contraseña. Los requisitos de complejidad se aplican cuando se cambian o se crean las contraseñas. Se han eliminado todas las amenazas de seguridad en la red en cuentas con una contraseña en blanco. Sin embargo, cuando un usuario establece una contraseña para una cuenta local, la cuenta es vulnerable inmediatamente a la averiguación de contraseñas u otros ataques de contraseña a través de la red. Por lo tanto, para mitigar las amenazas a través del acceso de red, se establecen los requisitos mínimos para cuentas locales, lo que proporciona un nivel razonable de seguridad.

Cuentas de dominio

Las cuentas de dominio no se evalúan localmente para las directivas de contraseña que se establecen mediante EAS porque se supone que las directivas EAS y las directivas de cuenta de dominio pertenecen a la misma autoridad de cuenta. Estas directivas incluyen la complejidad, longitud, expiración y configuración del historial.

Cuentas de Microsoft

Nota

Cuentas de Microsoft se conocían anteriormente como cuentas de Windows Live ID.

Mucho como una cuenta de dominio, una cuenta de Microsoft se rige por una entidad de directiva no está relacionada con un dispositivo local. Propiedades incluidas historial, longitud, caducidad y complejidad de la contraseña son parte de la cuenta de Microsoft.

Cuentas de Microsoft aplican una longitud mínima de la contraseña de 8 caracteres y 2 conjuntos de caracteres en una contraseña. Por lo tanto, las cuentas de Microsoft pueden ajustarse si la directiva de MinDevicePasswordLength se establece en menor o igual a 8 caracteres y la directiva MinDevicePasswordComplexCharacters está establecida en la menor o igual a 2.

Una contraseña todavía puede ajustarse a las reglas de directiva EAS, pero nada puede impedir que un usuario crear una contraseña de menos complejas para la cuenta de Microsoft. Resultados de incumplimiento si las directivas EAS son más estrictas que las que se pueden aplicar a cuentas de Microsoft.

Expiración y el historial no se evalúan localmente para cuentas de Microsoft.

Aplicación de directivas de administrador y las cuentas de usuario estándar

Directivas de EAS se aplican a todas las cuentas de administrador, independientemente de si tienen una aplicación configurada para usar directivas de EAS.

Directivas de EAS también se aplican a cualquier cuenta estándar (no administradores) que tiene una aplicación configurada para usar directivas de EAS. Estas cuentas se denominan cuentas de usuario del control. La directiva de EAS MaxInactivityTimeDeviceLock es la excepción porque no se aplica a las cuentas, pero en su lugar al dispositivo.

Directivas especificadas por diferentes orígenes

Dado un conjunto de directivas que se aplican mediante Exchange ActiveSync, las directivas de grupo, una cuenta de Microsoft o las directivas locales, el sistema operativo Windows siempre aplica la directiva más estricta fuera del conjunto de las directivas vigentes.

Compatibilidad con varios usuarios

Windows proporciona para varios usuarios en un único dispositivo. Windows Live Mail también permite varias cuentas EAS para cada usuario. Cuando hay varias cuentas EAS con las directivas establecidas en un dispositivo que ejecuta cualquier versión compatible de Windows, las directivas se combinan en el conjunto resultante más restrictivo.

Directivas de EAS no se aplican a todos los usuarios en un dispositivo que ejecuta Windows. Windows restringe las cuentas de usuario estándar en su capacidad para tener acceso a datos en otros perfiles de usuario o en ubicaciones privilegiadas. Por este motivo, las directivas EAS no se aplican uniformemente a los usuarios estándar. Las directivas se aplican sólo a los usuarios estándar que tienen una cuenta de Exchange configurada que requiere una directiva de EAS.

Las cuentas de usuarios con derechos de administrador siempre tienen las directivas EAS aplicadas.

Windows sólo proporciona un mecanismo para aplicar una única instancia de las directivas EAS. Cualquier cuenta que está sujeto a una directiva de EAS se controla mediante la directiva más estricta aplicada al dispositivo.

Restablecimiento de la directiva

Para evitar que una aplicación de reducción de las directivas de seguridad y presentar un riesgo para el dispositivo, no se puede reducir una directiva, incluso si la directiva ya no existe en el servidor. Un usuario debe emprender acciones para restablecer las directivas en el caso de relajación de directiva, eliminación de la directiva, eliminación de cuenta o una eliminación de la aplicación.

Las directivas se pueden restablecer mediante el Panel de Control. Haga clic enlas cuentas de usuario y seguridad familiarhaga clic enlas cuentas de usuarioy haga clic enRestablecer las directivas de seguridad. Los usuarios también pueden usarRestablecer las directivas de seguridadpara restablecer una directiva de EAS que genera un error de entrega de correo electrónico.

Nota

La opción para restablecer las directivas de seguridad sólo está presente si se aplican las directivas por el motor de directiva EAS.

Actualización de directivas y el aprovisionamiento de EAS

Los servidores de Exchange pueden obligar a los usuarios aprovisionar dispositivos y volver a aplicar las directivas después de un período de tiempo determinado. Esto garantiza que si el dispositivo ya no es compatible con las directivas EAS, se vuelven a aplicar las directivas o el dispositivo se considera no conformes.

El cliente de correo de Windows no aplica la actualización de aprovisionamiento, por lo que es responsabilidad del administrador EAS para asegurarse de que si se produce un cambio de directiva, se activará la actualización de aprovisionamiento dentro de un periodo de tiempo especificado.

Una actualización de aprovisionamiento puede controlarse estableciendo laintervalo de actualizacióndirectiva en la configuración de directiva de buzón de ActiveSync de Exchange. Para obtener más información acerca de cómo establecer el intervalo de actualización, veaVer o configurar Exchange ActiveSync buzón directiva propiedades.

Bloqueo de dispositivo

Los sistemas operativos de Windows proporciona protección de datos mediante cifrado de unidad BitLocker. Cuando se combina con las directivas de contraseñas y la directiva MaxDevicePasswordFailedAttempts, Windows Live Mail proporciona un esquema de protección de datos sólida para limitar el riesgo de pérdida de datos debido a la pérdida del dispositivo o el robo.

Aunque muchos dispositivos móviles admiten completar la eliminación del contenido del dispositivo cuando se recibe una instrucción remota o cuando se alcanza el umbral de MaxDevicePasswordFailedAttempts por un usuario, no los sistemas operativos de Windows.

La característica de bloqueo de dispositivo en los sistemas operativos de Windows permite que los dispositivos que están cifrados con BitLocker criptográficamente bloquear todos los volúmenes cifrados y reiniciar el dispositivo en la consola de recuperación. Un dispositivo perdido o robado no es legible, a menos que la clave de recuperación del dispositivo está disponible para el poseedor del dispositivo.

La característica de bloqueo de dispositivo proporciona protección para dispositivos perdidos o robados y proporciona un medio para los usuarios legítimos que accidentalmente entran en el estado de bloqueo de dispositivo para recuperar su dispositivo y seguir utilizándolo.

Comportamiento de inicio de sesión automático

Implementación de directivas EAS impide que los usuarios con la característica de inicio de sesión automático. Inicio de sesión automático permite que las credenciales de la firmado en la cuenta para se cifrará y almacenará en el registro para cuando el equipo se reinicia automáticamente se inicie sesión la cuenta de usuario las utilizando credenciales almacenadas. Inicio de sesión automático resulta útil cuando los administradores deben iniciar sesión en un equipo varias veces durante la configuración, o cuando un usuario tiene posesión segura de su equipo personal y desea una mejor capacidad para iniciar sesión.

Cuando se implementan directivas EAS, inicio de sesión automático no funciona de forma predeterminada y el usuario que está intentando iniciar sesión debe especificar las credenciales de su cuenta. Si se desea el comportamiento de inicio de sesión automático, las directivas EAS deben estar deshabilitadas.

Advertencia

Deshabilitar las directivas EAS reducirá la eficacia de la seguridad.

Para obtener más información acerca de esta herramienta descargable, vea,Autologon.

Funcionalidad nueva y modificada

 

El motor de directiva EAS se introdujo enWindows Server 2012yWindows 8.

En Windows Server 2012 y Windows 8, métodos de inicio de sesión biométrica no se cuentan en los límites establecidos en la directiva MaxDevicePasswordFailedAttempts. EnWindows Server 2012 R2yWindows 8.1si el dispositivo está cifrado con BitLocker o cualquier otro disco cifrado software, sistemas biométricos de métodos de inicio de sesión no se deshabilitan cuando se supera el límite si se establece la directiva DisallowConvenienceLogon.

Requisitos de software

El motor de directiva EAS y su implementación de la directiva sólo se admite en las versiones del sistema operativo Windows designado en else aplica alista al principio de este tema.

Recursos adicionales

En la tabla siguiente proporciona información adicional y relacionado sobre el motor de directiva de Exchange ActiveSync, incluidas las directivas y las API.

Tipo de contenido

Referencias

Evaluación del producto

En este tema

Planificación

Ninguno

Implementación

Ninguno

Operaciones

Utilizar directivas de Exchange ActiveSync para administración de dispositivos

Solucionar problemas

Ninguno

Seguridad

Ninguno

Herramientas y configuración

Referencia de configuración de directiva de seguridad: Directiva de contraseñas

Recursos de la comunidad

Ninguno

Tecnologías relacionadas

Administración de Exchange ActiveSync: Ayuda de Exchange 2010

Preguntas más frecuentes de Exchange ActiveSync

[MS-ASPROV]: ActiveSync de Exchange: Aprovisionamiento de protocolo