Vue d'ensemble du moteur de stratégie ActiveSync Exchange
S'applique à: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
Cette rubrique destinée aux professionnels de l'informatique décrit le moteur de stratégie Exchange ActiveSync et répertorie les ressources pour l'utiliser.
Vouliez-vous dire…
Description de la fonctionnalité
Le moteur de stratégie Exchange ActiveSync (EAS) a été introduit dansWindows Server 2012Windows 8etWindows RTpour activer les applications appliquer des stratégies EAS sur les ordinateurs de bureau, ordinateurs portables et tablettes pour protéger les données synchronisées à partir du cloud, telles que les données à partir d'un serveur Exchange. Il prend en charge un ensemble de primitives de sécurité Windows.
Cas pratiques
Le moteur de stratégie EAS contient un ensemble d'applications du Windows Store gérer les primitives de sécurité sur les périphériques APIs WinRT. Les stratégies de prise en charge par le moteur de stratégie EAS incluent des exigences de mot de passe, les minuteurs d'inactivité, les méthodes d'authentification et état de chiffrement de disque. Le moteur de stratégie permet de vérifier si l'état est conforme à vos stratégies et l'état du périphérique. Applications du Windows Store peuvent exploiter le moteur de stratégie EAS API pour vérifier et appliquer ces stratégies.
Le protocole Exchange ActiveSync (EAS) est un protocole basé sur XML, conçu pour synchroniser le courrier électronique, contacts, calendrier, tâches, notes et stratégies entre Exchange Server et un périphérique client. Le moteur de stratégie EAS peut mettre en œuvre un sous-ensemble des stratégies définies dans le protocole EAS sur les appareils exécutant une des versions du système d'exploitation Windows pris en charge (répertoriés dans les'applique àliste au début de cette rubrique).
Fonctionnement
Périphériques pris en charge
Les périphériques, y compris les serveurs, ordinateurs de bureau, ordinateurs portables et tablettes, qui exécutent les versions de Windows prises en charge et sont capables d'installer une application de messagerie à partir du Windows Store peuvent appliquer des stratégies EAS.
Informations de périphériques disponibles
Une application de messagerie qui utilise le moteur de stratégie EAS a également la possibilité de lire les informations de périphérique et les transmettre au serveur Exchange. Voici une liste d'informations de périphérique sont disponibles :
Un identificateur de périphérique unique appelé ID de périphérique ou ID
Nom de l'ordinateur
Système d'exploitation exécuté sur le périphérique
Fabricant du système
Nom du produit
Système de référence
Stratégies de prise en charge par une application de messagerie et le moteur de stratégie EAS
Pour synchroniser des données à partir d'un serveur Exchange, l'application de messagerie commence par appliquer les stratégies de sécurité sur le périphérique client. Une application de messagerie peut appliquer un ensemble de ces stratégies à l'aide de APIs WinRT dans le moteur de stratégie EAS.
Le moteur de stratégie EAS a la possibilité de vérifier les stratégies appliquées sur un périphérique et vérifier si les comptes sur l'appareil est conforme à ces stratégies. Il peut également appliquer les stratégies liées à se connecter à des méthodes, mot de passe et d'inactivité du périphérique.
Le moteur de stratégie EAS ne prend pas en charge toutes les stratégies spécifiés par le protocole EAS dans MS-ASPROV. En particulier, les stratégies qui se rapportent à l'accès de carte de stockage, la rétention du courrier et S/MIME ne sont pas pris en charge. Pour plus d'informations, consultez,[MS-ASPROV]: Exchange ActiveSync : Mise en service de protocoledans MSDN Library. Voici une liste de toutes les stratégies prises en charge.
Nom de la stratégie EAS |
Description |
Corrélation avec les stratégies de groupe |
|---|---|---|
AllowSimpleDevicePassword |
Spécifie si l'utilisateur est autorisé à utiliser des méthodes pratiques d'authentification tels que le code confidentiel ou mot de passe image biométrie. |
Il existe trois jeux de stratégies de groupe qui contrôlent le code confidentiel, mot de passe image et la biométrie. Ces stratégies doivent être définies pour permettre les comptes non-administrateurs à devenir compatibles sans nécessiter une action de l'administrateur. Code confidentiel Paramètre de stratégie : Activer la broche signe Emplacement dans le composant logiciel enfichable Stratégie de sécurité locale : Ordinateur Configuration/modèles/système/ouverture de session administrateur / Image Paramètre de stratégie : Désactiver la connexion mot de passe image dans Emplacement dans le composant logiciel enfichable Stratégie de sécurité locale : Ordinateur Configuration/modèles/système/ouverture de session administrateur / Biométrie Paramètres de stratégie :
Emplacement dans le composant logiciel enfichable Stratégie de sécurité locale : Composants/biométrie modèles/Windows/administratif de Configuration ordinateur / Notes Client pour les périphériques qui exécutent les versions prises en charge de Windows, si le paramètre de code confidentiel ou de stratégie de groupe d'image est appliqué pour mettre les comptes non-administrateurs en conformité, il est nécessaire de définir la clé de Registre qui correspond à DisallowConvenienceLogon, qui est HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\DisallowConvenienceLogon. |
MaxInactivityTimeDeviceLock |
Spécifie la durée pendant laquelle qu'un périphérique peut fonctionner sans saisie utilisateur avant qu'il est verrouillé. |
Paramètre de stratégie : Ouverture de session interactive : Limite d'inactivité de l'ordinateur Emplacement dans le composant logiciel enfichable Stratégie de sécurité locale : Ordinateur Configuration/Windows Settings/Security Settings/Local Policies/Security Options / |
MaxDevicePasswordFailedAttempts |
Spécifie combien de fois un mot de passe peut être entré avant que le périphérique est redémarré. Le périphérique peut être mis en mode de verrouillage, qui requiert la clé de récupération pour déverrouiller le périphérique en cas de chiffrement de disque. |
Paramètre de stratégie : Ouverture de session interactive : Seuil de verrouillage du compte ordinateur Emplacement dans le composant logiciel enfichable Stratégie de sécurité locale : Ordinateur Configuration/Windows Settings/Security Settings/Local Policies/Security Options / |
MinDevicePasswordComplexCharacters |
Spécifie le nombre minimal de caractères complexes qui sont requis pour un mot de passe. |
Paramètre de stratégie : Mot de passe doit répondre aux exigences de complexité Emplacement dans le composant logiciel enfichable Stratégie de sécurité locale : Configuration ordinateur/Windows Settings/Security paramètres/compte/mot de passe stratégies stratégie / |
MinDevicePasswordLength |
Spécifie la longueur minimale de mot de passe. |
Paramètre de stratégie : Longueur minimale du mot de passe Emplacement dans le composant logiciel enfichable Stratégie de sécurité locale : Configuration ordinateur/Windows Settings/Security paramètres/compte/mot de passe stratégies stratégie / |
DevicePasswordExpiration |
Spécifie la durée après laquelle un mot de passe doit être modifié. |
Paramètre de stratégie : Durée de vie maximale Emplacement dans le composant logiciel enfichable Stratégie de sécurité locale : Configuration ordinateur/Windows Settings/Security paramètres/compte/mot de passe stratégies stratégie / |
DevicePasswordHistory |
Spécifie le nombre de mots de passe précédents qui ne peut pas être réutilisé. |
Paramètre de stratégie : Appliquer l'historique des mots de passe Emplacement dans le composant logiciel enfichable Stratégie de sécurité locale : Configuration ordinateur/Windows Settings/Security paramètres/compte/mot de passe stratégies stratégie / |
RequireDeviceEncryption |
Spécifie si le chiffrement de périphérique est requis. Si la valeur True, le périphérique doit être en mesure de prendre en charge et implémenter le chiffrement pour devenir conformes. Notes Le cryptage ne peut pas être activé par le moteur de stratégie EAS et une action explicite de l'utilisateur est requis pour activer le chiffrement, s'il n'est pas déjà en cours d'exécution |
Il n'existe aucune stratégie de sécurité locale ou le modèle Stratégie de groupe d'administration qui correspond à cette stratégie EAS. Une action explicite est nécessaire pour chiffrer un périphérique si cette stratégie est requise. |
Pour plus d'informations sur chaque stratégie, consultezUtiliser les stratégies Exchange ActiveSync pour la gestion des périphériques.
À propos des comptes et les stratégies de mot de passe
Stratégies de mot de passe vous aider à empêcher un utilisateur malveillant d'accéder au contenu sur le périphérique en exigeant un mot de passe. Cela vaut également pour les ordinateurs ou périphériques qui ont un ou plusieurs comptes d'administrateur. Étant donné que les administrateurs peuvent accéder potentiellement les données pour les autres comptes, est-il nécessaire que tous les comptes administrateur adhèrent aux stratégies de mot de passe, même si les stratégies EAS ne sont pas appliquées.
Si les stratégies de mot de passe sont appliquées, tous les comptes administrateur et tous les contrôle utilisateur sont nécessaires pour se conformer à la configuration requise à la prochaine connexion ou déverrouille l'action du mot de passe. En outre, si un compte administrateur possède un mot de passe vide, un mot de passe conforme doit être appliquée avant que l'ordinateur ou périphérique peut être conforme à synchroniser avec les données Exchange.
Protocole EAS définit DevicePasswordEnabled, ce qui n'est pas directement pris en charge dans le système d'exploitation. Si un serveur Exchange définit DevicePasswordEnabled, les applications qui s'appliquent ces stratégies sont censées définir certaines des stratégies de mot de passe sous-jacent avec les valeurs par défaut. Ces stratégies incluent la longueur, la complexité, l'historique, expiration et les échecs de tentatives.
MaxDevicePasswordFailedAttempts est définie avec une valeur par défaut de 4. En présence de BitLocker ou le chiffrement de périphérique, les tentatives de mot de passe incorrect provoque un redémarrage suivi de verrouillage de périphérique. Si le disque n'est pas chiffré, le périphérique va redémarrer pour ralentir les attaques en force brute.
Les comptes administrateur ou utilisateur désactivés sont définies pour modifier le mot de passe à la prochaine ouverture de session. Mais, car ils sont désactivés, ils sont considérés comme conformes.
Expiration et l'historique du mot de passe s'appliquent uniquement au moment de l'évaluation ou modifié un mot de passe de compte d'utilisateur local. Ils doivent être appliqués localement. Ces stratégies ne sont pas appliquées pour les comptes de domaine ou Microsoft. Comptes Microsoft et les comptes de domaine Active Directory ont différentes stratégies qui sont appliquées sur le serveur ; Par conséquent, ils ne seront pas liés par les stratégies à partir d'une stratégie d'EAS.
Longueur de mot de passe et la complexité de la prise en charge par les types de compte
Stratégies de longueur et de complexité des mots de passe sont évaluées et appliquées sur différents types de comptes différemment.
Comptes locaux
Compte local actuel et tous les comptes d'administrateur sont requis de mot de passe, si les stratégies EAS définir la longueur minimale ou la complexité ou les deux. Ne pas répondre à cette exigence entraîne une non-conformité. Lorsque les règles de longueur et de complexité de mot de passe sont appliqués, tous les comptes utilisateur et l'administrateur contrôle sont marquées pour modifier le mot de passe à la prochaine ouverture de session pour garantir le respect des exigences de complexité.
Les comptes locaux peuvent prendre en charge la stratégie de longueur de mot de passe, mais ils peuvent uniquement prendre en charge les trois jeux de caractères, pas les quatre complètes que protocole EAS peut spécifier. Si une stratégie EAS est définie pour exiger des quatre jeux de caractères, tous les comptes locaux deviennent non conforme. C'est parce que le système d'exploitation Windows ne gère pas explicitement le choix du nombre de caractères complexes dans un mot de passe ; au lieu de cela, elle nécessite que les mots de passe répondent à un certain niveau de complexité. Cette complexité traduit à trois caractères complexes. Par conséquent, une stratégie EAS nécessitant MinDevicePasswordComplexCharacters supérieure à 3 ne peut pas être pris en charge par les comptes Windows.
Comptes locaux par défaut à un taux minimale de mot de passe de stratégie longueur et la complexité de 6 et 3 lorsque la valeur de toute stratégie de mot de passe. Exigences de complexité sont appliquées lorsque les mots de passe sont modifiés ou créés. Toutes les menaces de sécurité sur le réseau sur des comptes sans mot de passe sont atténuées. Toutefois, lorsqu'un utilisateur définit un mot de passe d'un compte local, le compte est immédiatement vulnérable à deviner le mot de passe ou d'autres attaques de mot de passe sur le réseau. Donc, pour atténuer les menaces via un accès réseau, configuration minimale requise est définies pour les comptes locaux, qui fournit un niveau raisonnable de sécurité.
Comptes de domaine
Comptes de domaine ne sont pas évaluées localement pour les stratégies de mot de passe sont définis par EAS car il est supposé que les stratégies EAS et les stratégies de comptes de domaine appartiennent à la même autorité de compte. Ces stratégies incluent la complexité, la longueur, d'expiration et les paramètres de l'historique.
Comptes Microsoft
Notes
Comptes Microsoft étaient appelées des comptes Windows Live ID.
Beaucoup comme un compte de domaine, un compte Microsoft est régi par une autorité de stratégie n'est pas liée à un périphérique local. Propriétés, y compris l'historique, longueur, l'expiration et la complexité de mot de passe font partie du compte Microsoft.
Comptes Microsoft impose une longueur minimale de 8 caractères et 2 jeux de caractères dans un mot de passe. Par conséquent, les comptes Microsoft peuvent satisfaire si la stratégie MinDevicePasswordLength est définie sur inférieur ou égal à 8 caractères et la stratégie MinDevicePasswordComplexCharacters est définie sur inférieur ou égal à 2.
Un mot de passe peut tout de même respecter les règles de stratégie EAS, mais rien ne peut empêcher un utilisateur de créer un mot de passe moins complexe pour le compte Microsoft. Résultats de non-conformité si stratégies EAS sont plus strictes que celles qui imposent des comptes Microsoft.
Expiration et l'historique ne sont pas évaluées localement pour les comptes Microsoft.
Application de la stratégie sur les comptes administrateur et utilisateur standard
Stratégies EAS sont appliquées à tous les comptes d'administrateur, qu'ils aient une application configurée pour utiliser des stratégies EAS.
Stratégies EAS sont également appliquées à n'importe quel compte standard (non administrateur) qui a une application configurée pour utiliser des stratégies EAS. Ces comptes sont appelées contrôle des comptes utilisateur. La stratégie EAS, MaxInactivityTimeDeviceLock est l'exception, car il n'est pas appliqué aux comptes, mais plutôt à l'appareil.
Stratégies spécifiées par d'autres sources
Étant donné un jeu de stratégies appliquées par Exchange ActiveSync, des stratégies de groupe, un compte Microsoft ou stratégies locales, le système d'exploitation Windows applique toujours la stratégie plus stricte du jeu de normes en vigueur.
Prise en charge multi-utilisateur
Windows fournit plusieurs utilisateurs sur un seul périphérique. Windows Live Mail permet également à plusieurs comptes EAS pour chaque utilisateur. Lorsqu'il existe plusieurs comptes EAS avec les stratégies définies sur un périphérique exécutant une version prise en charge de Windows, les stratégies sont fusionnés dans le jeu résultant plus restrictif.
Stratégies EAS ne s'appliquent pas à tous les utilisateurs sur un périphérique exécutant Windows. Windows limite les comptes d'utilisateur standard dans leur capacité à accéder aux données dans d'autres profils utilisateur ou dans des emplacements privilégiés. Pour cette raison, les stratégies EAS ne s'appliquent pas uniformément aux utilisateurs standard. Les stratégies s'appliquent uniquement aux utilisateurs standard qui ont un compte Exchange configuré qui nécessite une stratégie EAS.
Comptes d'utilisateurs ayant des droits d'administrateur ont toujours les stratégies EAS appliquées.
Windows fournit uniquement un mécanisme pour appliquer une seule instance des stratégies EAS. N'importe quel compte est soumis à une stratégie EAS est contrôlée par la stratégie plus stricte appliquée au périphérique.
Réinitialisation de la stratégie
Pour empêcher une application à partir de la réduction des stratégies de sécurité et de risque pour le périphérique, une stratégie ne peut pas être réduite, même si la stratégie n'existe plus sur le serveur. Un utilisateur doit intervenir pour réinitialiser des stratégies en cas de relaxation de stratégie, suppression d'une stratégie, suppression de compte ou une suppression de l'application.
Stratégies peuvent être réinitialisées à l'aide du Panneau de configuration. Cliquez surcomptes d'utilisateurs et de sécurité de la famillecliquez surles comptes d'utilisateurspuis cliquez surRéinitialiser les stratégies de sécurité. Les utilisateurs peuvent également utiliserRéinitialiser les stratégies de sécuritépour réinitialiser une stratégie EAS qui provoque un échec de remise du courrier électronique.
Notes
L'option pour réinitialiser les stratégies de sécurité est présente uniquement si les stratégies sont appliquées par le moteur de stratégie EAS.
Actualisation des stratégies et l'approvisionnement EAS
Serveurs Exchange peuvent forcer les utilisateurs à configurer des périphériques et appliquer des stratégies après une certaine période de temps. Cela garantit que si le périphérique n'est plus conforme aux stratégies EAS, les stratégies sont réappliquées ou le périphérique est jugé non conforme.
Le client de messagerie Windows n'applique pas l'actualisation de configuration, donc il incombe à l'administrateur d'EAS pour vous assurer que si une modification de stratégie se produit, l'actualisation de la configuration est déclenchée dans un intervalle de temps donné.
Une actualisation de la configuration peut être contrôlée en définissant leintervalle d'actualisationstratégie dans les paramètres de stratégie de boîte aux lettres Exchange ActiveSync. Pour plus d'informations sur la définition de l'intervalle d'actualisation, consultezAfficher ou configurer les propriétés Exchange ActiveSync boîte aux lettres stratégie.
Verrouillage de périphérique
Les systèmes d'exploitation Windows pris en charge fournissent la protection des données via le chiffrement de lecteur BitLocker. Lorsqu'elles sont combinées avec les stratégies de mot de passe et la stratégie de MaxDevicePasswordFailedAttempts, Windows Live Mail fournit un plan de protection des données fiable afin de limiter les risques de perte de données en raison de perte d'appareil ou de vol.
Bien que de nombreux périphériques mobiles prennent en charge une suppression complète du contenu du périphérique lorsqu'une instruction distante est reçue ou lorsque le seuil MaxDevicePasswordFailedAttempts est atteinte par un utilisateur, les systèmes d'exploitation Windows pris en charge n'est pas.
La fonctionnalité de verrouillage de périphérique dans les systèmes d'exploitation Windows pris en charge permet aux périphériques qui sont chiffrés avec BitLocker pour cryptographiquement verrouiller tous les volumes chiffrés et redémarrer le périphérique dans la console de récupération. Un périphérique perdu ou volé n'est pas lisible, sauf si la clé de récupération de périphérique est disponible pour le possesseur de l'appareil.
La fonctionnalité de verrouillage de périphérique offre une protection pour les appareils perdus ou volés et fournit un moyen pour les utilisateurs légitimes qui entrent accidentellement l'état du verrou de périphérique pour récupérer leur appareil et continuer à l'utiliser.
Comportement d'ouverture de session automatique
Implémentation de stratégies EAS empêche les utilisateurs d'utiliser la fonctionnalité d'ouverture de session automatique. Ouverture de session automatique autorise les informations d'identification de le sur le compte pour être chiffrées et stockées dans le Registre lorsque l'ordinateur est redémarré le compte d'utilisateur est connecté automatiquement à l'aide de ces informations d'identification stockées. Ouverture de session automatique est utile lorsque les administrateurs doivent se connecter à un ordinateur plusieurs fois pendant la configuration, ou lorsqu'un utilisateur a détention sécurisée de leur ordinateur personnel et souhaite une meilleure capacité à se connecter.
Lorsque les stratégies EAS sont implémentées, ouverture de session automatique ne fonctionne pas par défaut et l'utilisateur qui tente de se connecter doit entrer des informations d'identification du compte. Si le comportement d'ouverture de session automatique est souhaité, les stratégies EAS doivent être désactivées.
Avertissement
La désactivation de stratégies EAS réduit l'efficacité de sécurité.
Pour plus d'informations sur cet outil téléchargeable, consultez,Autologon.
Fonctionnalités nouvelles et modifiées
Le moteur de stratégie EAS a été introduit dansWindows Server 2012etWindows 8.
Dans Windows Server 2012 et Windows 8, les méthodes d'ouverture de session biométrique ne comptent pas vers les limites définies dans la stratégie MaxDevicePasswordFailedAttempts. DansWindows Server 2012 R2etWindows 8.1si le périphérique est chiffré à l'aide de BitLocker ou n'importe quel autre disque logiciel de chiffrement, biométrie, les méthodes d'authentification ne sont pas désactivés lorsque la limite est dépassée si la stratégie DisallowConvenienceLogon est définie.
Configuration logicielle requise
Le moteur de stratégie EAS et son implémentation de la stratégie est prise en charge uniquement sur les versions du système d'exploitation Windows désignés dans les'applique àliste au début de cette rubrique.
Ressources supplémentaires
Le tableau suivant fournit des informations supplémentaires et connexes sur le moteur de stratégie Exchange ActiveSync, y compris les stratégies et les API.
Type de contenu |
Références |
|---|---|
Évaluation du produit |
Cette rubrique |
Planification |
Aucune |
Déploiement |
Aucune |
Opérations |
Utiliser les stratégies Exchange ActiveSync pour la gestion des périphériques |
Résolution des problèmes |
Aucune |
Sécurité |
Aucune |
Outils et paramètres |
Référence de paramètres de stratégie de sécurité : Stratégie de mot de passe |
Ressources de la communauté |
Aucune |
Technologies connexes |
Gestion d'Exchange ActiveSync : Aide d'Exchange 2010 Exchange ActiveSync Forum aux questions [MS-ASPROV] : Exchange ActiveSync : Mise en service de protocole |