Visão geral de mecanismo de diretiva do ActiveSync do Exchange
Aplica-se a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
Este tópico para profissionais de TI descreve o mecanismo de diretiva do Exchange ActiveSync e lista de recursos para usá-lo.
Você quis dizer…
Descrição do recurso
O mecanismo de diretiva do Exchange ActiveSync (EAS) foi introduzido no Windows Server 2012, Windows 8, e Windows RT para habilitar os aplicativos aplicar diretivas EAS em desktops, laptops e tablets para proteger dados que são sincronizados entre a nuvem, como dados de um servidor Exchange. Ele oferece suporte a um conjunto principal de primitivos de segurança do Windows.
Aplicações práticas
O mecanismo de política EAS contém um conjunto de APIs do WinRT que permitem que aplicativos da Windows Store gerenciar os primitivos de segurança em dispositivos. As políticas de suporte pelo mecanismo de diretiva EAS incluem requisitos de senha, timers inativos, métodos de entrada e status de criptografia de disco. O mecanismo de diretiva permite que você verificar se o status está de acordo com suas políticas e o status do dispositivo. Aplicativos da Windows Store podem aproveitar o mecanismo de política EAS APIs para verificar e aplicar essas políticas.
O protocolo Exchange ActiveSync (EAS) é um protocolo baseado em XML projetado para sincronizar email, contatos, calendário, tarefas, anotações e políticas entre o Exchange Server e um dispositivo cliente. O mecanismo de política EAS pode impor um subconjunto das políticas definidas no protocolo EAS em dispositivos que executam qualquer uma das versões com suporte do sistema operacional Windows (listados no aplica-se a lista no início deste tópico).
Como funciona
Dispositivos com suporte
Dispositivos, incluindo servidores, desktops, laptops ou tablets, que estão executando as versões com suporte do Windows e são capazes de instalar um aplicativo de email da Windows Store pode impor diretivas EAS.
Informações de dispositivo disponível
Um aplicativo de email que está usando o mecanismo de política EAS também tem a capacidade de ler as informações de dispositivo e relatá-lo para o servidor Exchange. A seguir está uma lista de informações de dispositivo que estão disponíveis:
Um identificador de dispositivo exclusivo chamado de ID ou ID do dispositivo
Nome do computador
Sistema operacional em execução no dispositivo
Fabricante do sistema
Nome de produto do sistema
SKU do sistema
Políticas de suporte de um aplicativo de email e mecanismo de política EAS
Para sincronizar os dados de um servidor Exchange, o aplicativo de email primeiro se aplica a políticas de segurança no dispositivo cliente. Um aplicativo de email pode aplicar um conjunto principal dessas diretivas usando as APIs do WinRT no mecanismo de política do EAS.
O mecanismo de política EAS tem a capacidade de verificar se há políticas aplicadas em um dispositivo e verificar se as contas nesse dispositivo está em conformidade com essas políticas. Ele também pode impor políticas relacionadas ao entrar em métodos, senha e inatividade de dispositivo.
O mecanismo de política EAS não oferece suporte a todas as políticas especificadas pelo protocolo EAS em MS-ASPROV. Particularmente, não há suporte para as diretivas relativas ao acesso de cartão de armazenamento, retenção de mensagens e S/MIME. Para obter mais informações, consulte [MS-ASPROV]: Exchange ActiveSync: protocolo provisionamento na biblioteca MSDN. A seguir está uma lista de todas as políticas com suporte.
Nome da política EAS |
Descrição |
Correlação de diretivas de grupo |
|---|---|---|
AllowSimpleDevicePassword |
Especifica se o usuário tem permissão para usar a entrada métodos de conveniência como biometria, senha de imagem ou pin. |
Há três conjuntos de diretivas de grupo que controlam o pin, senha de imagem e biometria. Essas políticas devem ser definidas para permitir que contas não-administrador para se tornarem compatíveis sem a necessidade de uma ação do administrador. PIN Configuração de diretiva: Ativar PIN entrar Local do snap-in Diretiva de segurança Local: Computador configuração/modelos/sistema/Logon administrativo / Imagem Configuração de diretiva: Desativar imagem senha entrar Local do snap-in Diretiva de segurança Local: Computador configuração/modelos/sistema/Logon administrativo / Biometria Configurações de política:
Local do snap-in Diretiva de segurança Local: Computador administrativo/configuração modelos/Windows Components/biometria / Dica Para o cliente de dispositivos que executam as versões com suporte do Windows, se a configuração de diretiva de grupo de imagem ou Pin é aplicada para que as contas de administrador não em conformidade, é necessário definir a chave do registro que corresponde a DisallowConvenienceLogon, que é HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\DisallowConvenienceLogon. |
MaxInactivityTimeDeviceLock |
Especifica o período de tempo que um dispositivo pode ficar sem entrada do usuário antes que ele está bloqueado. |
Configuração de diretiva: logon interativo: limite de inatividade de máquina Local do snap-in Diretiva de segurança Local: Computer Configuration/Windows configurações de segurança configurações/Local Policies/Security Options / |
MaxDevicePasswordFailedAttempts |
Especifica quantas vezes uma senha incorreta pode ser inserida antes que o dispositivo é reinicializado. O dispositivo pode ser colocado em modo de bloqueio, que exige a chave de recuperação para desbloquear o dispositivo na presença de criptografia de disco. |
Configuração de diretiva: logon interativo: limite de bloqueio de conta de máquina Local do snap-in Diretiva de segurança Local: Computer Configuration/Windows configurações de segurança configurações/Local Policies/Security Options / |
MinDevicePasswordComplexCharacters |
Especifica o número mínimo de caracteres complexos que são necessários para uma senha. |
Configuração de diretiva: senha deve satisfazer a requisitos de complexidade Local do snap-in Diretiva de segurança Local: Computador configuração/Windows/configurações de segurança configurações/conta políticas/diretiva de senha / |
MinDevicePasswordLength |
Especifica o comprimento mínimo da senha. |
Configuração de diretiva: comprimento mínimo da senha Local do snap-in Diretiva de segurança Local: Computador configuração/Windows/configurações de segurança configurações/conta políticas/diretiva de senha / |
DevicePasswordExpiration |
Especifica o período de tempo após o qual uma senha de usuário deve ser alterada. |
Configuração de diretiva: duração máxima da senha Local do snap-in Diretiva de segurança Local: Computador configuração/Windows/configurações de segurança configurações/conta políticas/diretiva de senha / |
DevicePasswordHistory |
Especifica o número de senhas anteriores que não pode ser reutilizado. |
Configuração de diretiva: Impor histórico de senhas Local do snap-in Diretiva de segurança Local: Computador configuração/Windows/configurações de segurança configurações/conta políticas/diretiva de senha / |
RequireDeviceEncryption |
Especifica se a criptografia de dispositivo é necessária. Se definido como True, o dispositivo deve ser capaz de dar suporte e implementar a criptografia para se tornarem compatíveis. Dica Criptografia não pode ser ativada pelo mecanismo de política de EAS e uma ação explícita do usuário é necessária para ativar a criptografia, se ainda não estiver sendo executado |
Não há nenhuma diretiva de segurança Local ou grupo de diretiva de modelo administrativo que corresponde a essa política EAS. Uma ação explícita é necessária para criptografar um dispositivo se essa diretiva é necessária. |
Para obter mais informações sobre cada política, consulte Usar políticas do Exchange ActiveSync para o gerenciamento de dispositivo.
Sobre contas e diretivas de senha
Políticas de senha ajudam a impedir que um usuário mal-intencionado acessar o conteúdo no dispositivo, exigindo uma senha. Isso também é verdadeiro para computadores ou dispositivos que têm uma ou mais contas de administrador. Como os administradores podem potencialmente acessar dados para outras contas, é necessário que todas as contas de administrador aderem às diretivas de senha, mesmo que não são aplicadas diretivas EAS.
Se as diretivas de senha são aplicadas, todos administrador e todas as contas de usuário de controle são necessárias de acordo com a senha requisitos no próximo acessar ou desbloquear a ação. Além disso, se uma conta de administrador tem uma senha em branco, uma senha compatível com deve ser aplicada antes que o computador ou dispositivo pode ser compatível para sincronizar com os dados do Exchange.
Protocolo EAS define DevicePasswordEnabled, que não é suportado diretamente no sistema operacional. Se um servidor Exchange define DevicePasswordEnabled, aplicativos que se aplicam a essas políticas devem definir algumas das diretivas de senha subjacente com valores padrão. Essas políticas incluem comprimento, complexidade, histórico, expiração e tentativas com falha.
MaxDevicePasswordFailedAttempts é definido com um valor padrão de 4. Na presença de BitLocker ou criptografia de dispositivo, tentativas de senha incorretas resultará em uma reinicialização seguida de bloqueio do dispositivo. Se o disco não for criptografado, o dispositivo será reiniciado para diminuí-la casuais ataques de força bruta.
Contas de administrador ou usuário que estão desabilitadas são definidas para alterar a senha no próximo logon. Mas como eles estão desativados, eles são considerados para ser compatível.
Expiração e o histórico de senha se aplicam apenas no momento em que uma senha de conta de usuário local for avaliada ou alterada. Eles só são necessários devem ser aplicadas localmente. Essas políticas não são impostas para contas da Microsoft ou de domínio. Contas da Microsoft e contas de domínio do Active Directory têm diferentes diretivas que são aplicadas no servidor. Portanto, eles não serão ligados pelas políticas de uma política EAS.
Comprimento e complexidade suportado pelos tipos de conta
Políticas de tamanho e a complexidade de senha são avaliadas e aplicadas de forma diferente em diferentes tipos de conta.
Contas locais
Conta local atual e todas as contas de administrador são necessárias para ter uma senha, se as diretivas EAS definir o comprimento mínimo da senha ou complexidade ou ambos. Deixar de atender a esse requisito resulta em não conformidade. Quando as regras de tamanho e a complexidade de senha são aplicadas, todos os controle contas de usuário e administrador estão marcadas para alterar a senha no próximo logon para garantir que os requisitos de complexidade são atendidos.
Contas locais podem oferecer suporte a diretiva de comprimento de senha completo, mas eles só podem oferecer suporte a três conjuntos de caracteres, não os quatro completos especificado por protocolo EAS. Se uma política EAS é definida para requerer quatro conjuntos de caracteres, todas as contas locais se tornará não compatíveis. Isso ocorre porque o sistema operacional Windows não oferecem suporte explicitamente a escolher o número de caracteres complexos em uma senha; em vez disso, ele requer que as senhas atendam a um determinado nível de complexidade. Essa complexidade se traduz em três caracteres complexos. Portanto, uma política do EAS que requer maior que 3 MinDevicePasswordComplexCharacters não têm suporte para as contas do Windows.
Padrão de contas locais a um mínimo de senha comprimento e complexidade política proporção de 6 e 3 quando qualquer diretiva de senha é definida. Requisitos de complexidade são impostos quando as senhas são criadas ou alteradas. Todas as ameaças de segurança através da rede em contas com uma senha em branco são atenuadas. No entanto, quando um usuário definir uma senha para uma conta local, a conta é imediatamente vulnerável a adivinhação de senha ou outros ataques de senha pela rede. Assim, para atenuar as ameaças por meio de acesso à rede, os requisitos mínimos são definidos para contas locais, que fornece um nível razoável de segurança.
Contas de domínio
Contas de domínio não são avaliadas localmente para diretivas de senha que são definidas pelo EAS porque supõe-se que as diretivas EAS e as diretivas de conta de domínio pertencem à mesma autoridade de conta. Essas políticas incluem complexidade, comprimento, expiração e as configurações do histórico.
Contas da Microsoft
Dica
Contas da Microsoft eram anteriormente conhecidas como contas do Windows Live ID.
Muito como uma conta de domínio, uma conta da Microsoft é governada por uma autoridade de diretiva que não está relacionada a um dispositivo local. Propriedades, incluindo o histórico, comprimento, expiração e complexidade de senha são parte da conta da Microsoft.
Contas da Microsoft impõem um comprimento mínimo da senha de 8 caracteres e 2 conjuntos de caracteres em uma senha. Portanto, contas da Microsoft podem estar em conformidade se a diretiva MinDevicePasswordLength é definida no menor ou igual a 8 caracteres e a política de MinDevicePasswordComplexCharacters é menor que ou igual a 2.
Uma senha pode ainda estar em conformidade com as regras de política EAS, mas nada pode impedir que um usuário criar uma senha para a conta da Microsoft e menos complexas. Resultados de conformidade se mais rígidas que as contas da Microsoft podem impor diretivas EAS.
Expiração e o histórico não são avaliadas localmente para contas da Microsoft.
Aplicação de diretiva no administrador e contas de usuário padrão
Diretivas EAS são aplicadas a todas as contas de administrador, independentemente de terem um aplicativo configurado para usar as diretivas de EAS.
Diretivas EAS também são aplicadas a qualquer conta padrão (não-administrador) que tem um aplicativo configurado para usar as diretivas de EAS. Essas contas são chamadas de contas de usuário do controle. A política EAS, MaxInactivityTimeDeviceLock é a exceção porque não se aplica a contas, mas em vez disso, para o dispositivo.
Políticas especificadas por fontes diferentes
Dado um conjunto de diretivas que são aplicadas pelo Exchange ActiveSync, as diretivas de grupo, uma conta da Microsoft ou diretivas locais, o sistema operacional Windows sempre impõe a diretiva mais rígida fora do conjunto de políticas de controle.
Suporte a vários usuários
O Windows fornece vários usuários em um único dispositivo. O Windows Live Mail também permite que várias contas EAS para cada usuário. Quando há várias contas EAS com políticas definidas em um dispositivo executando qualquer versão com suporte do Windows, as diretivas são mescladas no conjunto resultante mais restritivo.
Diretivas EAS não se aplicam a todos os usuários em um dispositivo que executa o Windows. Windows restringe as contas de usuário padrão em sua capacidade de acessar dados em outros perfis de usuário ou em locais de segurança reduzida. Por esse motivo, diretivas EAS não são aplicadas uniformemente para usuários padrão. As políticas se aplicam somente aos usuários padrão com uma conta configurada do Exchange que requer uma política do EAS.
Contas de usuários com direitos de administrador sempre têm as diretivas EAS aplicadas.
O Windows só fornece um mecanismo para aplicar uma única instância das diretivas de EAS. Qualquer conta que está sujeito a uma política EAS é controlada pela mais rígida política aplicada ao dispositivo.
Política de redefinição
Para impedir que um aplicativo de reduzir as políticas de segurança e apresentando um risco para o dispositivo, uma política não pode ser reduzida, mesmo se a diretiva não existe mais no servidor. Um usuário deve agir para políticas de redefinição em caso de relaxamento de política, política de remoção, a remoção da conta ou uma remoção do aplicativo.
As políticas podem ser redefinidas por meio do painel de controle. Clique em contas de usuário e segurança familiar, clique em contas de usuário, e clique em políticas de segurança redefinir. Os usuários também podem usar políticas de segurança redefinir para redefinir uma política do EAS que causa uma falha de entrega de email.
Dica
A opção para redefinir as políticas de segurança está presente apenas se as políticas são aplicadas pelo mecanismo de diretiva EAS.
Atualização de políticas e o provisionamento de EAS
Servidores Exchange podem forçar os usuários a dispositivos de provisão e reaplique políticas após um determinado período de tempo. Isso garante que, se o dispositivo não é compatível com as diretivas EAS, as diretivas são reaplicadas ou o dispositivo é considerado incompatível.
O cliente de email do Windows não impõe a atualização de provisionamento, portanto, é responsabilidade do administrador do EAS para certificar-se de que, se ocorrer uma alteração de diretiva, a atualização de provisionamento é acionada em um determinado período de tempo.
Uma atualização de provisionamento pode ser controlada, definindo o intervalo de atualização política nas configurações de diretiva de caixa de correio do Exchange ActiveSync. Para obter mais informações sobre como definir o intervalo de atualização, consulte Exibir ou configurar a propriedades de política do Exchange ActiveSync da caixa de correio.
Bloqueio de dispositivo
Os sistemas operacionais Windows suportados fornecer proteção de dados por meio da criptografia de unidade BitLocker. Quando combinado com diretivas de senha e a política de MaxDevicePasswordFailedAttempts, Windows Live Mail fornece um esquema de proteção de dados robusta para limitar os riscos de perda de dados devido a roubo ou perda de dispositivo.
Embora muitos dispositivos móveis oferece suporte a uma remoção completa do conteúdo do dispositivo quando uma instrução remota é recebida ou quando é atingido o limite de MaxDevicePasswordFailedAttempts por um usuário, sistemas operacionais Windows não.
O recurso de bloqueio de dispositivo em sistemas operacionais Windows permite que os dispositivos que são criptografados com BitLocker criptograficamente bloquear todos os volumes criptografados e reiniciar o dispositivo no console de recuperação. Um dispositivo perdido ou roubado não é legível, a menos que a chave de recuperação do dispositivo está disponível para o detentor do dispositivo.
O recurso de bloqueio de dispositivo fornece proteção para dispositivos perdidos ou roubados e fornece um meio para os usuários legítimos que acidentalmente entrarem no estado de bloqueio de dispositivo para recuperar seu dispositivo e continuar a usá-lo.
Comportamento de logon automático
Implementação de diretivas EAS impede que os usuários usando o recurso de logon automático. Logon automático permite que as credenciais assinado na conta ser criptografadas e armazenadas no registro para que quando o computador é reiniciado a conta do usuário é conectada automaticamente usando as credenciais armazenadas. Logon automático é útil quando os administradores precisam entrar em um computador várias vezes durante a configuração, ou quando um usuário tem a posse segura do seu computador pessoal e deseja uma maior capacidade de entrar.
Quando as diretivas EAS são implementadas, logon automático não funcionará por padrão e o usuário que está tentando entrar deve inserir as credenciais da conta. Se o comportamento de logon automático for desejado, as diretivas EAS devem ser desabilitadas.
Aviso
Desabilitar as diretivas EAS reduzirá a eficiência da segurança.
Para obter mais informações sobre essa ferramenta para download, consulte, Autologon.
Funcionalidade nova e alterada
O mecanismo de política EAS foi introduzido no Windows Server 2012 e Windows 8.
No Windows Server 2012 e Windows 8, métodos de entrada biometria não são considerados dos limites definidos na política MaxDevicePasswordFailedAttempts. Em Windows Server 2012 R2 e Windows 8.1, se o dispositivo é criptografado com BitLocker ou qualquer outro disco criptografia software, biometria métodos de entrada não são desabilitados quando o limite for excedido se a diretiva DisallowConvenienceLogon está definida.
Requisitos de software
O mecanismo de política EAS e sua implementação de política tem suporte apenas em versões do sistema operacional Windows designado para o aplica-se a lista no início deste tópico.
Recursos adicionais
A tabela a seguir fornece informações adicionais e relacionadas sobre o mecanismo de políticas do Exchange ActiveSync, incluindo as políticas e APIs.
Tipo de conteúdo |
Referências |
|---|---|
Avaliação do produto |
Este tópico |
Planejamento |
Não |
Implantação |
Não |
Operações |
Usar políticas do Exchange ActiveSync para o gerenciamento de dispositivo |
Solução de problemas |
Não |
Segurança |
Não |
Ferramentas e configurações |
Referência de configurações da diretiva de segurança: política de senha |
Recursos da comunidade |
Não |
Tecnologias relacionadas |
Gerenciando o Exchange ActiveSync: Exchange 2010 ajuda Perguntas freqüentes do ActiveSync do Exchange [MS-ASPROV]: Exchange ActiveSync: protocolo de provisionamento |