Exchange ActiveSync-Engine-overzicht
Van toepassing op: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
In dit onderwerp voor IT-professionals beschrijft de engine van Exchange ActiveSync-beleid en een lijst met bronnen voor het gebruik ervan.
Bedoelde u…
Functiebeschrijving
Exchange ActiveSync (EAS) beleids-engine is geïntroduceerd inWindows Server 2012Windows 8enWindows RTapps EAS beleid toepassen op desktops, laptops en tablets te beschermen gegevens worden gesynchroniseerd vanuit de cloud, zoals gegevens uit een Exchange-Server inschakelen. Een set core van Windows security primitieven ondersteunt.
Praktische toepassingen
De beleidsengine EAS bevat een set van WinRT-APIs waarmee Windows Store-apps voor het beheren van beveiliging primitieven op apparaten. Het beleid dat wordt ondersteund door de beleidsengine EAS bevatten vereisten voor wachtwoorden, inactiviteitstimer aanmelden methoden en schijfstatus versleuteling. De beleidsengine kunt u controleren Apparaatstatus en als de status aan het beleid voldoet. Windows Store-apps kunnen profiteren van de beleidsengine EAS API's om te controleren en deze afdwingen.
Het protocol Exchange ActiveSync (EAS) is een XML-protocol die is ontworpen om te synchroniseren van e-mail, contacten, agenda, taken, notities en beleid tussen Exchange-Server en een clientapparaat. EAS beleids-engine kan een subset van het beleid dat is gedefinieerd in het protocol EAS op apparaten met een van de ondersteunde versies van het besturingssysteem Windows afdwingen (vermeld in devan toepassing oplijst aan het begin van dit onderwerp).
Hoe het werkt
Ondersteunde apparaten
Apparaten, waaronder servers, desktops, laptops en tablets, die de ondersteunde versies van Windows worden uitgevoerd en die geschikt is voor een e-app installeren vanaf de Windows Store kan afdwingen EAS.
Beschikbare apparaatgegevens
Een e-app die van de EAS beleids-engine gebruikmaakt heeft ook de mogelijkheid om te lezen van gegevens van een apparaat en contact op met de Exchange-Server. Hier volgt een lijst met gegevens van een apparaat dat beschikbaar is:
Een apparaat-ID of ID genoemd unieke apparaat-id
Naam van de computer
Besturingssysteem wordt uitgevoerd op het apparaat
De fabrikant van het systeem
Systeemnaam van het product
Systeem SKU
Beleid dat wordt ondersteund door een e-mailapp en EAS beleids-engine
Voor de synchronisatie van gegevens uit een Exchange-Server van de mailapp eerst beveiligingsbeleid toepassing op de clientapparaat. Een e-app kan een set core van dit beleid met behulp van WinRT APIs in de engine EAS beleid toepassen.
EAS beleids-engine heeft de mogelijkheid om te controleren op beleid toegepast op een apparaat en controleer of als de accounts op het apparaat aan dit beleid voldoet. Dit kan ook afdwingen beleid met betrekking tot de methoden, wachtwoord en apparaat inactiviteit aanmelden.
EAS beleids-engine ondersteunt niet alle beleidsregels die door het protocol EAS in MS ASPROV opgegeven. In het bijzonder worden beleidsregels die betrekking op opslag kaart toegang, bewaren van e-mail en S/MIME hebben niet ondersteund. Raadpleeg voor meer informatie,[MS-ASPROV]: Exchange ActiveSync: Protocol inrichtenin de MSDN-bibliotheek. Hier volgt een lijst van alle ondersteunde beleid.
De naam van de EAS-beleid |
Beschrijving |
Correlatie in Groepsbeleid |
|---|---|---|
AllowSimpleDevicePassword |
Hiermee geeft u op of de gebruiker is toegestaan gemak aanmelden methoden zoals pincode of afbeeldingswachtwoord biometrie te gebruiken. |
Er zijn drie sets Groepsbeleid die pincode, afbeeldingswachtwoord en biometrie bepalen. Dit beleid moeten worden ingesteld op niet-beheerdersaccounts zodat deze compatibel zonder een beheerdersactie toestaan. Pincode Beleidsinstelling: PINCODE aanmelden inschakelen Locatie in de module Lokaal beveiligingsbeleid: Computer Computerconfiguratie Beheersjablonen sjablonen/systeem/aanmelden / Afbeelding Beleidsinstelling: Afbeelding wachtwoord aanmelden uitschakelen Locatie in de module Lokaal beveiligingsbeleid: Computer Computerconfiguratie Beheersjablonen sjablonen/systeem/aanmelden / Biometrie Beleidsinstellingen:
Locatie in de module Lokaal beveiligingsbeleid: Computer Computerconfiguratie Beheersjablonen sjablonen en de Windows-onderdelen/biometrie / Notitie Voor client-apparaten met de ondersteunde versies van Windows, als de pincode of afbeelding Groepsbeleid-instelling wordt toegepast voor niet-beheerdersaccounts onder naleving brengen, moet worden ingesteld de registersleutel die overeenkomt met op DisallowConvenienceLogon, HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\DisallowConvenienceLogon. |
MaxInactivityTimeDeviceLock |
Hiermee geeft u de tijdsduur die een apparaat kunt gaan zonder gebruikersinvoer voordat deze is geblokkeerd. |
Beleidsinstelling: Interactief aanmelden: Limiet voor inactiviteit machine Locatie in de module Lokaal beveiligingsbeleid: Computer configuratie en de Windows-instellingen/Beveiligingsinstellingen/Lokaal beleid/Beveiligingsopties / |
MaxDevicePasswordFailedAttempts |
Geeft aan hoe vaak een onjuist wachtwoord kan worden ingevoerd voordat het apparaat opnieuw wordt opgestart. Het apparaat mogen in vergrendelingsmodus waarvoor de recovery sleutel voor het ontgrendelen van het apparaat in de aanwezigheid van schijfversleuteling worden gebracht. |
Beleidsinstelling: Interactief aanmelden: Machine account accountvergrendeling drempelwaarde Locatie in de module Lokaal beveiligingsbeleid: Computer configuratie en de Windows-instellingen/Beveiligingsinstellingen/Lokaal beleid/Beveiligingsopties / |
MinDevicePasswordComplexCharacters |
Hiermee geeft u het minimum aantal complexe tekens die vereist voor een wachtwoord zijn beveiligd zijn. |
Beleidsinstelling: Wachtwoord moet voldoen aan de vereisten voor complexiteit Locatie in de module Lokaal beveiligingsbeleid: Computer configuratie en de Windows-instellingen/Beveiligingsinstellingen-instellingen/Account/wachtwoordbeleid / |
MinDevicePasswordLength |
Hiermee geeft u de minimale lengte. |
Beleidsinstelling: Minimale wachtwoordlengte Locatie in de module Lokaal beveiligingsbeleid: Computer configuratie en de Windows-instellingen/Beveiligingsinstellingen-instellingen/Account/wachtwoordbeleid / |
DevicePasswordExpiration |
Hiermee geeft u de lengte van de tijd waarna het wachtwoord van een gebruiker moet worden gewijzigd. |
Beleidsinstelling: Maximale leeftijd Locatie in de module Lokaal beveiligingsbeleid: Computer configuratie en de Windows-instellingen/Beveiligingsinstellingen-instellingen/Account/wachtwoordbeleid / |
DevicePasswordHistory |
Hiermee geeft u het aantal eerdere wachtwoorden die opnieuw kunnen niet worden gebruikt. |
Beleidsinstelling: Wachtwoordhistorie Locatie in de module Lokaal beveiligingsbeleid: Computer configuratie en de Windows-instellingen/Beveiligingsinstellingen-instellingen/Account/wachtwoordbeleid / |
RequireDeviceEncryption |
Hiermee geeft u op of apparaat codering vereist is. Als zijn ingesteld op True, het apparaat kunnen ondersteunen en te coderen moet zodat deze compatibel. Notitie Versleuteling kan niet worden ingeschakeld door de beleidsengine EAS en een expliciete gebruikersactie is vereist voor versleuteling, inschakelen als deze wordt niet uitgevoerd |
Er is geen lokaal beveiligingsbeleid of Group Policy Administrative Template die met dit beleid EAS overeenkomt. Een expliciete actie is vereist voor het versleutelen van een apparaat als dit beleid vereist is. |
Zie voor meer informatie over elke beleidExchange ActiveSync beleidsregels vervolgens gebruiken voor Apparaatbeheer.
Over wachtwoordbeleid en -accounts
Wachtwoordbeleid te voorkomen dat een kwaadwillende gebruiker toegang tot inhoud op het apparaat met een wachtwoord. Dit geldt ook voor computers of apparaten die een of meer beheerdersaccounts hebben. Omdat beheerders toegang krijgen gegevens voor andere accounts tot kunnen, is het noodzakelijk dat alle beheerdersaccounts aan beleid voor wachtwoorden voldoen, zelfs als EAS-beleid wordt niet toegepast.
Als wachtwoordbeleid worden toegepast, zijn alle beheerder en alle besturingselement gebruikersaccounts in overeenstemming zijn met een wachtwoord vereisten op de volgende aanmelden of ontgrendelen actie vereist. Bovendien als een administrator-account een leeg wachtwoord heeft, kan een compatibele wachtwoord moet worden uitgevoerd voordat de computer of apparaat zijn die compatibel is met de Exchange-gegevens synchroniseren.
EAS-protocol definieert DevicePasswordEnabled die niet direct in het besturingssysteem wordt ondersteund. Als een Exchange-Server wordt DevicePasswordEnabled ingesteld, worden apps die deze beleid toepassen om in te stellen enkele van de onderliggende wachtwoordbeleid met standaardwaarden verwacht. Deze beleidsregels zijn lengte, complexiteit, geschiedenis, vervaldatum en mislukte pogingen.
MaxDevicePasswordFailedAttempts is ingesteld met een standaardwaarde is 4. In de aanwezigheid van BitLocker- of apparaat versleuteling resulteert onjuist wachtwoord invoert in een herstart gevolgd door een apparaat vergrendelen. Als de schijf is niet versleuteld, wordt het apparaat opnieuw eenvoudige gewelddadige aanvallen vertragen.
Beheerder of gebruikersaccounts die zijn uitgeschakeld zijn ingesteld op het wachtwoord bij de volgende aanmelding wijzigen. Maar omdat ze zijn uitgeschakeld, ze worden beschouwd als compatibel.
Wachtwoordgeschiedenis van een en vervaldatum toepassing alleen op het moment dat het wachtwoord van een lokale gebruikersaccount is geëvalueerd of gewijzigd. Ze hoeven alleen lokaal worden afgedwongen. Dit beleid worden niet afgedwongen voor domein of een Microsoft-accounts. Microsoft-accounts en Active Directory-domeinaccounts hebben verschillende beleidsregels die worden toegepast op de server. Daarom wordt ze niet gebonden aan het beleid van een EAS-beleid.
Lengte van wachtwoord en complexiteit ondersteund door accounttypen
Lengte en de complexiteit wachtwoordbeleid worden geëvalueerd en toegepast op verschillende typen anders.
Lokale accounts
Huidige lokale account en alle administrator-accounts zijn vereist om een wachtwoord als het beleid EAS minimale wachtwoordlengte en/of de complexiteit instellen. Niet te voldoen aan deze vereiste resulteert in niet-naleving. Als wachtwoord lengte en de complexiteit regels worden toegepast, worden alle besturingselement gebruiker en de beheerder accounts zijn gemarkeerd voor het wachtwoord bij de volgende aanmelding wijzigen om ervoor te zorgen complexiteit voorwaarden is voldaan.
Beleid voor de volledige lengte kunnen ondersteuning voor lokale accounts, maar ze kunnen alleen ondersteuning voor drie tekensets, niet de volledige vier EAS-protocol kunt opgeven. Als een EAS-beleid is ingesteld om af te dwingen vier tekensets, worden alle lokale accounts niet-compatibel. Dit komt doordat de Windows-besturingssysteem niet expliciet ondersteunt het kiezen van het aantal complexe tekens in een wachtwoord; in plaats daarvan is vereist dat wachtwoorden voldoen aan een bepaald niveau van de complexiteit. Deze complexiteit wordt omgezet in drie complexe tekens. Daarom kan niet een beleid voor EAS groter zijn dan 3 MinDevicePasswordComplexCharacters moet worden ondersteund door Windows-accounts.
Lokale accounts standaard een minimale lengte en de complexiteit beleid verhouding van 6 en 3 als u een wachtwoord is ingesteld. Vereisten voor wachtwoordcomplexiteit worden afgedwongen wanneer wachtwoorden worden gewijzigd of gemaakt. Alle dreigingen via het netwerk op accounts met een leeg wachtwoord worden beperkt. Wanneer een gebruiker een wachtwoord voor een lokaal account instelt, is het account echter onmiddellijk kwetsbaar zijn voor het wachtwoord raden of andere aanvallen wachtwoord via het netwerk. Minimale vereisten zijn dus te verlichten dreigingen via toegang tot het netwerk, instellen voor lokale accounts, waarbij een redelijke beveiligingsniveau.
Domeinaccounts
Domeinaccounts worden niet lokaal geëvalueerd voor wachtwoordbeleid die door EAS worden ingesteld omdat wordt ervan uitgegaan dat de beleidsregels voor EAS en het domein-account naar dezelfde account behoren. Dit zijn onder andere complexiteit, lengte van de vervaldatum en Geschiedenisinstellingen.
Microsoft-accounts
Notitie
Microsoft-accounts zijn voorheen bekend als Windows Live ID-accounts.
Als een domeinaccount is een Microsoft-account veel onderworpen aan een instantie beleid dat is niet gerelateerd aan een lokaal apparaat. Eigenschappen zoals wachtwoordcomplexiteit, lengte, vervaldatum en geschiedenis van zijn onderdeel van het Microsoft-account.
Microsoft-accounts afdwingen voor een minimale wachtwoordlengte van 8 tekens en 2 tekensets in een wachtwoord zijn beveiligd. Microsoft-accounts kunnen daarom als het beleid MinDevicePasswordLength is ingesteld op kleiner dan of gelijk aan 8 tekens en het beleid MinDevicePasswordComplexCharacters is ingesteld op kleiner dan of gelijk zijn aan 2 voldoen.
Een wachtwoord kunt nog steeds voldoen aan de beleidsregels EAS, maar er niets kan voorkomen dat een gebruiker een minder complex wachtwoord voor het Microsoft-account maken. Niet-naleving resultaten als EAS beleid strenger zijn dan die Microsoft-accounts kunnen afdwingen.
Vervaldatum en geschiedenis niet geëvalueerd lokaal voor Microsoft-accounts.
Toepassing van het beleid op de beheerder en standard gebruikersaccounts
EAS-beleid wordt toegepast op alle administrator-accounts, ongeacht of er een app die is geconfigureerd voor gebruik van EAS-beleid.
EAS-beleid wordt ook toegepast op elke standard (niet-beheerder)-account met een app die is geconfigureerd voor gebruik van EAS-beleid. Deze accounts worden besturingselement gebruikersaccounts genoemd. Het beleid EAS, MaxInactivityTimeDeviceLock is de uitzondering omdat deze niet wordt toegepast op accounts, maar in plaats daarvan op het apparaat.
Beleid dat is opgegeven door de verschillende bronnen
Uitgaande van een set beleidsregels die worden afgedwongen door Exchange ActiveSync, Groepsbeleid, een Microsoft-account of lokaal beleid, de Windows-besturingssysteem altijd de strengste beleid buiten de set met het beleid inzake afgedwongen.
Ondersteuning voor meerdere gebruikers
Windows biedt voor meerdere gebruikers op één apparaat. Windows Live Mail kunnen ook meerdere EAS-accounts voor elke gebruiker. Als er meerdere EAS accounts met beleid op een apparaat met een ondersteunde versie van Windows is ingesteld, worden het beleid in de strengste resulterende set samengevoegd.
EAS-beleid niet van toepassing op alle gebruikers op een apparaat met Windows. Windows beperkt standaard gebruikersaccounts in de mogelijkheid voor toegang tot gegevens in andere gebruikersprofielen of in de beschermde locaties. Om deze reden EAS-beleid niet van toepassing op dezelfde wijze op standaardgebruikers. Het beleid alleen van toepassing voor standaard gebruikers met een geconfigureerde Exchange-account waarvoor een EAS-beleid.
Accounts voor gebruikers met beheerdersrechten hebben altijd de EAS-beleid toegepast.
Windows biedt alleen een mechanisme voor het toepassen van een exemplaar van het beleid EAS. Een account dat een EAS-beleid wordt bepaald door het strengste beleid toegepast op het apparaat.
Beleid voor opnieuw instellen
Om te voorkomen dat een app uit beveiligingsbeleid verminderen en die een risico vormen op het apparaat, kan niet een beleid worden verkleind, zelfs als het beleid niet meer op de server bestaat. Een gebruiker een actie opnieuw instellen van beleid in het geval versoepeling beleid, beleid verwijderen, account verwijderen of verwijdering van een app moet uitvoeren.
Beleid kunnen worden hersteld via het Configuratiescherm. Klik opgebruikersaccounts en Ouderlijk toezichtklikt u opgebruikersaccountsen klik opbeveiligingsbeleid opnieuw. Gebruikers kunnen ook gebruikenbeveiligingsbeleid opnieuwopnieuw instellen van een EAS-beleid dat wordt veroorzaakt door een e-mailbericht voor de levering van opgetreden.
Notitie
De optie opnieuw instellen van beveiligingsbeleid is alleen aanwezig als door de beleidsengine EAS het beleid wordt toegepast.
EAS-beleid en inrichten vernieuwen
Exchange-servers kunnen afdwingen dat gebruikers inrichten van apparaten en beleid toepassen na een bepaalde periode. Dit zorgt ervoor dat als het apparaat niet langer zijn die compatibel is met EAS-beleid is, het beleid opnieuw worden toegepast of het apparaat wordt geacht niet-compatibel.
De Windows Mail-client worden niet afgedwongen door het inrichtingsproces vernieuwen zodat de verantwoordelijkheid van de beheerder EAS om ervoor te zorgen dat als er een wijziging optreedt, het inrichtingsproces vernieuwen binnen een bepaalde periode wordt geactiveerd.
Een provisioning vernieuwen kan worden beheerd door het instellen van deVernieuwingsintervalbeleid in de beleidsinstellingen van Exchange ActiveSync postvak. Zie voor meer informatie over het instellen van het interval voor vernieuwenweergeven of configureren van Exchange ActiveSync Postvak beleidseigenschappen.
Apparaat vergrendelen
De ondersteunde Windows-besturingssystemen bieden gegevensbescherming via BitLocker-stationsversleuteling. Als in combinatie met wachtwoordbeleid en het beleid MaxDevicePasswordFailedAttempts, biedt Windows Live Mail een robuuste data protection schema beperken de risico's van gegevensverlies als gevolg van apparaat verlies of diefstal.
Hoewel vele mobiele apparaten ondersteuning voor een volledig verwijderen van apparaat inhoud wanneer een extern-instructie wordt ontvangen of wanneer de MaxDevicePasswordFailedAttempts drempelwaarde wordt bereikt door een gebruiker, de ondersteunde besturingssystemen van Windows niet.
De functie van de vergrendeling apparaat in de ondersteunde besturingssystemen van Windows kunt apparaten die zijn versleuteld met BitLocker versleutelen vergrendelen alle versleutelde volumes en opnieuw opstarten van het apparaat in de recovery-console. Een apparaat verloren of gestolen is alleen leesbaar is als de sleutel voor het apparaat herstel beschikbaar voor de possessor van het apparaat is.
De functie apparaat vergrendelen biedt bescherming voor verloren of gestolen apparaten en biedt een methode voor legitieme gebruikers die de status van het apparaat vergrendelen om te herstellen van hun apparaat en doorgaan met behulp van deze per ongeluk invoeren.
Automatisch aanmelden gedrag
Implementatie van EAS-beleid wordt voorkomen dat gebruikers met de functie automatisch aanmelden. Automatisch aanmelden kan de referenties van de handtekening op het account worden versleuteld en opgeslagen in het register zodat wanneer de computer opnieuw wordt opgestart account van de gebruiker wordt automatisch aangemeld met behulp van de opgeslagen referenties. Automatisch aanmelden is handig als beheerders nodig zijn voor het aanmelden bij een computer meerdere keren tijdens de configuratie, of wanneer een gebruiker heeft beveiligde eigendom van hun computer en wenst een mogelijkheid gemakkelijker aan te melden.
EAS-beleid wordt geïmplementeerd, automatisch aanmelden werkt niet standaard als de gebruiker die probeert aan te melden hun account referenties moet opgeven. Als automatische aanmelding gedrag wenselijk is, kan het beleid EAS moeten worden uitgeschakeld.
Waarschuwing
Uitschakelen EAS beleid beperkt de effectiviteit van de beveiliging.
Voor meer informatie over dit downloadbare hulpprogramma ziet,automatisch aanmelden.
Nieuwe en gewijzigde functionaliteit
EAS beleids-engine is geïntroduceerd inWindows Server 2012enWindows 8.
In Windows Server 2012 en Windows 8 meetellen biometrie aanmelden methoden niet naar de in het beleid MaxDevicePasswordFailedAttempts limieten. InWindows Server 2012 R2enWindows 8.1indien het apparaat is versleuteld met BitLocker- of andere schijf versleuteling software, biometrie aanmelden methoden zijn niet uitgeschakeld wanneer de limiet is overschreden als het beleid DisallowConvenienceLogon is ingesteld.
Softwarevereisten
De engine EAS-beleid en de uitvoering van het beleid wordt alleen ondersteund voor versies van het besturingssysteem Windows is opgegeven in devan toepassing oplijst aan het begin van dit onderwerp.
Aanvullende bronnen
De volgende tabel bevat aanvullende en gerelateerde informatie over de beleidsengine Exchange ActiveSync, met inbegrip van API's en beleid.
Inhoudstype |
Verwijzingen |
|---|---|
Productevaluatie |
In dit onderwerp |
Planning |
Geen |
Implementatie |
Geen |
Bewerkingen |
Exchange ActiveSync beleidsregels vervolgens gebruiken voor Apparaatbeheer |
Problemen oplossen |
Geen |
Beveiliging |
Geen |
Hulpprogramma's en instellingen |
Instellingen voor het beveiligingsbeleid verwijzen naar: Wachtwoordbeleid |
Communitybronnen. |
Geen |
Verwante technologieën |
Exchange ActiveSync beheren: Exchange 2010 Help |