Exchange ActiveSync 정책 엔진 개요
적용 대상: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
IT 전문가 위한이 항목 Exchange ActiveSync 정책 엔진에 설명 하 고 사용 하기 위한 리소스를 나열 합니다.
다음 항목을 찾으려고 했습니까?
기능 설명
EAS (Exchange ActiveSync) 정책 엔진에 도입 된Windows Server 2012Windows 8및Windows RT앱에 데스크톱, 랩톱 및 태블릿 Exchange 서버에서 데이터와 같은 클라우드에서 동기화 되는 데이터를 보호 하기 위해 EAS 정책을 적용할 수 있도록 합니다. Windows 보안 기본 형식의 핵심 집합을 지원합니다.
유용한 팁
EAS 정책 엔진에는 Windows 스토어 응용 프로그램 보안 기본 형식에서 장치를 관리할 수 있도록 WinRT Api 집합을 포함 합니다. EAS 정책 엔진에 의해 지원 되는 정책에는 암호 요구 사항, 비활성 타이머, 로그인 메서드 및 디스크 암호화 상태가 포함 됩니다. 정책 엔진을 사용 하면 장치 상태 및 상태 정책을 준수 하는 경우를 확인할 수 있습니다. Windows 스토어 앱 EAS 정책 엔진 확인 하 고 이러한 정책을 적용 하는 Api를 활용할 수 있습니다.
Exchange ActiveSync (EAS) 프로토콜에는 전자 메일, 연락처, 일정, 작업, 메모 및 정책 Exchange 서버와 클라이언트 장치 간에 동기화 하도록 디자인 하는 XML 기반 프로토콜이입니다. EAS 정책 엔진 지원 되는 버전의 Windows 운영 체제 중 하나를 실행 하는 장치에서 EAS 프로토콜에 정의 된 정책의 하위 집합을 적용할 수 있습니다 (에 나열 된는**에 적용 됩니다.**이 항목의 시작 부분에는 목록).
작동 방식
지원되는 장치
장치에 EAS 정책을 적용할 수 있는 서버, 데스크톱, 랩톱, 태블릿, 메일 응용 프로그램을 Windows 스토어에서 설치할 수 있는 지원 되는 버전의 Windows 실행 하는 등.
사용 가능한 장치 정보
EAS 정책 엔진을 사용 하는 메일 앱에는 다음과 같은 장치 정보를 읽고, Exchange Server에 게 보고 기능이 있습니다. 다음은 사용할 수 있는 장치 정보의 목록입니다.
장치 ID 또는 ID를 호출 하는 고유한 장치 식별자
컴퓨터의 이름
장치에서 실행 중인 운영 체제
시스템 제조업체
시스템 제품 이름
시스템 SKU
메일 앱과 EAS 정책 엔진에서 지 원하는 정책
Exchange 서버에서 데이터를 동기화 하려면 메일 앱 클라이언트 장치에서 보안 정책을 먼저 적용 합니다. 메일 앱 EAS 정책 엔진에서 WinRT Api를 사용 하 여 이러한 정책의 핵심 집합을 적용할 수 있습니다.
EAS 정책 엔진에 해당 장치에서 계정을 이러한 정책을 준수 하는 경우 장치 및 검사에 적용 된 정책을 검사 하는 기능이 있습니다. 도 메서드, 암호 및 장치 비활성에 로그인 하는데 관련 된 정책을 강제 적용할 수 있습니다.
EAS 정책 엔진은 모든 MS ASPROV에서 EAS 프로토콜에 의해 지정 된 정책을 지원 하지 않습니다. 특히, 저장소 카드 액세스, 메일 보존 및 S/MIME에 관련 된 정책은 지원 되지 않습니다. 자세한 내용은 참조[MS ASPROV]: Exchange ActiveSync: 프로토콜을 프로 비전MSDN Library에서. 다음은 지원 되는 모든 정책 목록입니다.
EAS 정책 이름 |
설명 |
그룹 정책에 대 한 상관관계 |
|---|---|---|
AllowSimpleDevicePassword |
핀, 그림 암호 또는 생체 인식 등의 메서드가 로그인 편의 사용 하 여 사용자가 수 있는지 여부를 지정 합니다. |
3 핀, 그림 암호 및 생체 인식 제어 하는 그룹 정책을 집합이 있습니다. 이러한 정책은 관리자 이외의 계정 관리자 작업 없이 호환 될 수 있도록 설정 되어야 합니다. 핀 정책 설정입니다. PIN 로그인 설정 로컬 보안 정책 스냅인에서 위치: 컴퓨터 구성/관리 템플릿/시스템/로그온 / 그림 정책 설정입니다. 그림 암호에 대 한 로그인을 해제 로컬 보안 정책 스냅인에서 위치: 컴퓨터 구성/관리 템플릿/시스템/로그온 / 생체 인식 정책 설정:
로컬 보안 정책 스냅인에서 위치: 컴퓨터 구성/관리 템플릿/Windows 구성 요소/생체 인식 / 참고 클라이언트에 대 한 관리자 이외의 계정을 준수 상태로 전환 하는 Pin 또는 그림 그룹 정책 설정이 적용 되는 경우 지원 되는 버전의 Windows 실행 하는 장치, 것이 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\DisallowConvenienceLogon은 DisallowConvenienceLogon에 해당 하는 레지스트리 키를 설정 해야 합니다. |
MaxInactivityTimeDeviceLock |
장치 사용자 잠기기 전에 입력 하지 않고 이동할 수는 시간의 길이 지정 합니다. |
정책 설정입니다. 대화형 로그온: 컴퓨터 비활성 제한 로컬 보안 정책 스냅인에서 위치: 컴퓨터 구성/w 설정/보안 설정/로컬 정책/보안 옵션 / |
MaxDevicePasswordFailedAttempts |
장치를 다시 부팅 하기 전에 잘못 된 암호를 입력할 수 있습니다 횟수를 지정 합니다. 장치는 디스크 암호화 있는 경우에 장치의 잠금을 해제 하려면 복구 키가 필요 하는 잠금 모드를 넣을 수 있습니다. |
정책 설정입니다. 대화형 로그온: 컴퓨터 계정 잠금 임계값 로컬 보안 정책 스냅인에서 위치: 컴퓨터 구성/w 설정/보안 설정/로컬 정책/보안 옵션 / |
MinDevicePasswordComplexCharacters |
암호에 필요한 복잡 한 문자의 최소 수를 지정 합니다. |
정책 설정입니다. 암호는 복잡성 요구 사항을 충족 해야 합니다. 로컬 보안 정책 스냅인에서 위치: 컴퓨터 구성/w 설정/보안 설정/계정 정책/암호 정책 / |
MinDevicePasswordLength |
최소 암호 길이 지정합니다. |
정책 설정입니다. 최소 암호 길이 로컬 보안 정책 스냅인에서 위치: 컴퓨터 구성/w 설정/보안 설정/계정 정책/암호 정책 / |
DevicePasswordExpiration |
사용자 암호를 변경할 수 있는 후 시간의 길이 지정 합니다. |
정책 설정입니다. 최대 암호 사용 기간 로컬 보안 정책 스냅인에서 위치: 컴퓨터 구성/w 설정/보안 설정/계정 정책/암호 정책 / |
DevicePasswordHistory |
다시 사용할 수 없는 이전 암호의 수를 지정 합니다. |
정책 설정입니다. 최근 암호 기억 로컬 보안 정책 스냅인에서 위치: 컴퓨터 구성/w 설정/보안 설정/계정 정책/암호 정책 / |
RequireDeviceEncryption |
장치 암호화가 필요한 지 여부를 지정 합니다. 경우 장치를 True로 설정 된 지원 하 고 호환 되도록 암호화를 구현할 수 있어야 합니다. 참고 아직 실행 하지 않은 경우 암호화를 설정 하는 명시적 사용자 동작이 필요 하 고 EAS 정책 엔진에 의해 암호화를 사용할 수 없습니다. |
로컬 보안 정책 또는 EAS 정책이이에 해당 하는 그룹 정책 관리 템플릿 되지 않습니다. 명시적인 작업은이 정책이 필요한 경우 장치를 암호화 해야 합니다. |
각 정책에 대 한 자세한 내용은 참조장치 관리에 대 한 Exchange ActiveSync 정책 사용합니다.
암호 정책 및 계정에 대 한
암호 정책 못하도록 악의적인 사용자는 암호를 요구 하 여 장치에 콘텐츠를 액세스 합니다. 컴퓨터 또는 장치를 하나 이상의 관리자 계정에 대해 true 이기도 합니다. 관리자는 다른 계정에 대 한 데이터를 잠재적으로 액세스할 수, 되므로 것 모든 관리자 계정 암호 정책을 준수 하 고 필요한 경우에 EAS 정책이 적용 되지 않습니다.
암호 정책이 적용 되는 경우 모든 제어 사용자 계정 및 모든 관리자는 다음 요구 사항에 로그인 하거나 작업의 잠금을 해제 하는 암호를 준수 해야 합니다. 또한 관리자 계정에 암호가 비어 있으면 컴퓨터 전에 규격 암호를 적용 해야 하거나 장치 규격 Exchange 데이터와 동기화 할 수 있습니다.
운영 체제에서 직접 지원 하지 않는 DevicePasswordEnabled EAS 프로토콜을 정의 합니다. Exchange Server DevicePasswordEnabled로 설정 하는 경우 이러한 정책을 적용 하는 앱은 기본값을 갖는 기본 암호 정책 중 일부를 설정으로 예상 됩니다. 이러한 정책에는 길이, 복잡성, 기록, 만료 및 실패 한 시도 합니다.
기본값은 4 MaxDevicePasswordFailedAttempts 설정 됩니다. 있는 경우 BitLocker 또는 장치 암호화, 잘못 된 암호 입력 시도 뒤에 장치 잠금에 의해 다시 시작 됩니다. 디스크를 암호화 되지 않은 경우 속도를 늦 추는 캐주얼 무작위 공격 장치 다시 시작 됩니다.
에 다음 로그인 시 암호를 변경 하려면 관리자 또는 사용자 계정은 사용할 수 없도록 설정 됩니다. 하지만 준수로 간주 하는 비활성화 하기 때문에 있습니다.
암호 기록 및 만료 로컬 사용자 계정 암호는 계산 되거나 변경 타임에만 적용 됩니다. 로컬로 적용 될만 필요 합니다. 이러한 정책은 도메인 또는 Microsoft 계정에 적용 되지 않습니다. Microsoft 계정 및 Active Directory 도메인 계정에는 서버에 적용 되는 다양 한 정책이 있을 따라서 이러한 바인딩되지 않습니다 정책에 의해 EAS 정책에서.
암호 길이 복잡성 계정 형식에서 지원
암호 길이 복잡성 정책 평가 되 고 다른 계정 형식에 대해 다르게 적용 합니다.
로컬 계정
현재 로컬 계정 및 모든 관리자 계정은 최소 암호 길이 나 복잡성, 또는 둘 모두 EAS 정책을 설정 하는 경우 암호를 갖도록 해야 합니다. 이 요구 사항을 충족 하지 못하면 미준수 발생 합니다. 암호 길이 복잡성 규칙이 적용 되는 경우 모든 컨트롤 사용자 및 관리자 계정에는 다음 로그인 시 암호 복잡성 요구 사항이 충족 되도록 변경 하려면 표시 됩니다.
로컬 계정에는 전체 암호 길이 정책을 지원할 수 있지만 세 문자 집합을 EAS 프로토콜을 지정할 수 있는 전체 4 없습니다만 지원할 수 있습니다. 4 개의 문자 집합이 필요 하도록는 EAS 정책이 설정 되었는지, 모든 로컬 계정이 비규격 됩니다. 이 Windows 운영 체제에서 암호에서 복잡 한 문자 수를 선택 합니다. 명시적으로 지원 하지 않으므로 대신, 암호 복잡성 특정 수준에 맞는지 필요 합니다. 이 복잡성이 세 복잡 한 자로 변환합니다. 따라서 3 보다 큰 MinDevicePasswordComplexCharacters 필요로 하는 EAS 정책이 Windows 계정에서 지원할 수 없습니다.
6과 모든 암호 정책이 설정 된 경우 3의 최소 암호 길이 복잡성 정책 비율로 기본 로컬 계정입니다. 복잡성 요구 사항은 암호 변경 되거나 만들 때 적용 됩니다. 빈 암호를 가진 계정에 네트워크를 통해 모든 보안 위협은 완화 합니다. 그러나 사용자는 로컬 계정에 대 한 암호를 설정 하면 계정은 암호 추측 또는 다른 암호 공격에 취약 즉시 네트워크를 통해. 따라서 위협을 완화 하기 위한 네트워크 액세스를 통해, 최소 요구 사항은 적절 한 수준의 보안을 제공 하는 로컬 계정에 대해 설정 됩니다.
도메인 계정
EAS 정책 및 도메인 계정 정책은 같은 계정 기관에 속하는 것으로 가정 하기 때문에 EAS에서 설정한 암호 정책에 대 한 도메인 계정은 로컬에서 평가 되지 않습니다. 이러한 정책 복잡성, 길이, 만료 및 기록 설정을 포함 합니다.
Microsoft 계정
참고
Microsoft 계정은 Windows Live ID 계정으로 이전의 되었습니다.
훨씬는 도메인 계정과 같은 Microsoft 계정은 로컬 장치에 관련 되지 않은 정책 기관에 의해 제어 됩니다. 암호 복잡도, 길이, 만료 및 기록을 포함 하 여 속성을 사용 하면 Microsoft 계정에 속합니다.
Microsoft 계정에는 8 자 및 암호에 2 문자 집합의 최소 암호 길이 적용합니다. 따라서 8 자 보다 작거나 MinDevicePasswordLength 정책 설정 되어 있고 MinDevicePasswordComplexCharacters 정책 2 보다 작거나에 설정 된 경우 Microsoft 계정을 따를 수 있습니다.
암호 수 EAS 정책 규칙을 준수 하지만 사용자 Microsoft 계정에 대 한 덜 복잡 한 암호를 만들지 못하도록 방지할 수 nothing. EAS 정책 규칙은 Microsoft 계정에 적용할 수 있는 것 보다 엄격 하는 경우 준수 하지 않는 결과입니다.
Microsoft 계정에 대 한 만료 및 기록 로컬로 평가 되지 않습니다.
관리자 및 표준 사용자 계정에서 정책 응용 프로그램
EAS 정책이 EAS 정책을 사용 하도록 구성 하는 응용 프로그램이 있는지 여부에 관계 없이 모든 관리자 계정에 적용 됩니다.
EAS 정책이 EAS 정책을 사용 하도록 구성 하는 응용 프로그램에 있는 모든 표준 (비관리자) 계정에 적용 됩니다. 이러한 계정은 사용자 계정 제어 라고 합니다. EAS 정책이, MaxInactivityTimeDeviceLock 예외 되므로 계정에 있지만 아니라 장치에 적용 되지 않습니다.
서로 다른 소스에서 지정 된 정책
정책 제어의 집합에서 엄격한 정책은 Windows 운영 체제에서 항상 적용 Exchange ActiveSync, 그룹 정책, Microsoft 계정 또는 로컬 정책에 의해 적용 되는 정책 집합을 지정 합니다.
다중 사용자 지원
여러 사용자가 하나의 장치에 대 한 Windows를 제공합니다. Windows Live 메일에는 또한 각 사용자에 대 한 여러 EAS 계정을 수 있습니다. 지원 되는 모든 버전의 Windows 실행 하는 장치에 설정 된 정책 사용 하 여 여러 EAS 계정을 경우 정책은 가장 제한적인 결과 집합에 병합 됩니다.
Windows를 실행 하는 장치에서 모든 사용자에 게 EAS 정책이 적용 되지 않습니다. Windows는 표준 사용자 계정 권한 위치 또는 다른 사용자 프로필에서 데이터에 액세스 하는 기능이 제한 됩니다. 이러한 이유로 표준 사용자에 게 EAS 정책은 균일 하 게으로 적용 되지 않습니다. 정책을 계정이 구성 된 Exchange는 EAS 정책이 필요한 표준 사용자 에게만 적용 됩니다.
관리자 권한 가진 사용자에 대 한 계정에는 항상 EAS 정책이 적용 있어야 합니다.
Windows는만 단일 인스턴스의 EAS 정책 적용 하는 메커니즘을 제공 합니다. EAS 정책이 적용 되는 모든 계정 장치에 적용 하는 엄격한 정책에 의해 제어 됩니다.
정책 다시 설정
보안 정책을 절감 하 고 장치에 위험 축적 된 지식을에서 응용 프로그램을 방지 하려면 정책을 줄일 수는 없습니다, 정책 서버에 더이상 존재 하는 경우에 합니다. 사용자 정책 완화의 정책, 정책 제거, 계정 제거 또는 응용 프로그램 제거 시 다시 설정 하는 조치를 취해야 합니다.
제어판을 사용 하 여 정책은 재설정할 수 있습니다. 클릭사용자 계정 및 가족 보호를 클릭 하 여사용자 계정클릭 하 고보안 정책을 다시 설정. 사용자가 사용할 수도보안 정책을 다시 설정를 전자 메일 배달 오류가 발생 하는 EAS 정책이 다시 설정 합니다.
참고
보안 정책 다시 설정 하는 옵션은 EAS 정책 엔진에 의해 정책이 적용 되는 경우에 제공 합니다.
EAS 정책 및 프로 비전 새로고침
Exchange 서버 사용자가 일정 기간 후 정책을 다시 적용 및 장치 프로 비전 할 수 있습니다. 이렇게 하면 장치가 더이상 EAS 정책 준수 경우 정책을 다시 적용 됩니다 또는 장치 호환 되지않는 것으로 간주 됩니다.
정책 변경이 발생 하는 경우 지정된 된 시간 프레임 내에서 프로 비전 새로고침 트리거되는 되도록 EAS 관리자의 책임 되므로 Windows 메일 클라이언트 프로 비전 새로고침을 적용 하지 않습니다.
프로 비전 새로고침을 설정 하 여 제어할 수는새로고침 간격Exchange ActiveSync 사서함 정책 설정에는 정책입니다. 새로고침 간격을 설정 하는 방법에 대 한 자세한 내용은 참조구성 Exchange ActiveSync 사서함 정책 속성 보기 또는.
장치 잠금
지원 되는 Windows 운영 체제는 BitLocker 드라이브 암호화를 통해 데이터 보호를 제공합니다. 암호 정책 및 MaxDevicePasswordFailedAttempts 정책을 함께 사용 하면 Windows Live Mail 장치 손실 또는 도난으로 인해 데이터 손실의 위험을 제한 하는 강력한 데이터 보호 구성표를 제공 합니다.
많은 모바일 장치를 장치에 콘텐츠를 완전 하 게 제거를 지원 하지만 원격 명령을 받을 때 또는 사용자가 MaxDevicePasswordFailedAttempts 임계값에 도달 하면 지원 되는 Windows 운영 체제에서는 그렇지 않습니다.
지원 되는 Windows 운영 체제에서 장치 잠금 기능을 사용 하면 암호화 된 모든 암호화 된 볼륨을 잠금 및 복구 콘솔에는 장치를 다시 부팅 하는 BitLocker로 암호화 된 장치입니다. 장치 복구 키를 장치의 소유자를 사용할 수 없으면 분실 하거나 도난당 한 장치를 읽을 수 없습니다.
장치 잠금 기능 분실 하거나 도난당 한 장치에 대 한 보호 기능을 제공 하 고 합법적인 사용자에 게 실수로 자신의 장치를 복구 하 고 계속 사용 하는 장치 잠금 상태를 입력 하는 수단을 제공 합니다.
자동 로그온 동작
Eas에서는 정책 구현에서 자동 로그온 기능을 사용 하 여 사용자 수 없습니다. 자동 로그온 계정에 저장 된 자격 증명을 암호화 하 고 있으므로 이러한를 사용 하 여 사용자의 계정이 자동으로 서명 하는 컴퓨터를 다시 시작 되 면 레지스트리에 저장 하는 서명 된의 자격 증명을 허용 합니다. 자동 로그온에 로그인 하는 컴퓨터를 여러 번 구성 하는 동안 관리자가 필요한 경우 또는 사용자가 개인용 컴퓨터의 보안을 갖기를 로그인에 기능을 보다 쉽게에서는 원할 때 유용 합니다.
EAS 정책이 구현 되 면 기본적으로 자동 로그온이 작동 하지 않 및 로그인 하려고 하는 사용자는 자신의 계정 자격 증명을 입력 해야 합니다. 자동 로그온 동작을 원하는 경우 EAS 정책은 해제 해야 합니다.
경고
Eas에서는 정책을 사용 하지 않도록 설정 하면 보안 효율성을 줄어듭니다.
이 다운로드 가능한 도구에 대 한 자세한 정보에 대 한 참조,Autologon.
새로운 기능 및 변경된 기능
EAS 정책 엔진에 도입 된Windows Server 2012및Windows 8합니다.
Windows Server 2012 및 Windows 8에서 생체 인식 로그인 메서드 MaxDevicePasswordFailedAttempts 정책에 설정 된 한계 쪽으로 계산 되지 않습니다.Windows Server 2012 R2및Windows 8.1장치는 BitLocker 또는 기타 디스크 암호화 소프트웨어, 생체 인식 DisallowConvenienceLogon 정책이 설정 된 경우에 제한이 초과 될 때 로그인 메서드를 사용할 수 있는지를 사용 하 여 암호화 하는 경우.
소프트웨어 요구 사항
EAS 정책 엔진 및 해당 정책 구현에 지정 된 Windows 운영 체제의 버전 에서만 지원 됩니다는**에 적용 됩니다.**이 항목의 시작 부분에는 목록입니다.
추가 리소스
다음 표에서 정책 및 Api를 포함 하 여 Exchange ActiveSync 정책 엔진을 사용 하는 작업에 대 한 추가 및 관련 정보를 제공 합니다.
콘텐츠 유형 |
참조 |
|---|---|
제품 평가 |
이 항목 |
계획 |
없음 |
배포 |
없음 |
작업 |
|
문제 해결 |
없음 |
보안 |
없음 |
도구 및 설정 |
보안 정책 설정 참조: 암호 정책 |
커뮤니티 리소스 |
없음 |
관련 기술 |