Общие сведения о системе Exchange ActiveSync политики
Применимо к:Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
В этом разделе для ИТ-специалистов описываются модуль политики Exchange ActiveSync и перечислены ресурсы для его использования.
Возможно, вы имели в виду...
Описание компонента
Модуль политики Exchange ActiveSync (EAS) была введена в Windows Server 2012, Windows 8, и Windows RT для предоставления приложениям применяются политики EAS на настольные компьютеры, ноутбуки и планшетные ПК для защиты данных, который синхронизирован из облака, таких как данные с сервера Exchange. Он поддерживает базовый набор примитивов безопасности Windows.
Практическое применение
Модуль политики EAS содержит набор WinRT API, позволяющие приложений для магазина Windows для управления примитивы безопасности на устройствах. Политики, поддерживаемые модулем политики EAS содержат требования к паролю, таймеров отсутствия активности, методы вход и состояние шифрования диска. Модуль политики можно проверить состояние устройства, и если состояние соответствует политикам. Приложения для магазина Windows можно использовать модуль политики EAS API-интерфейсы для проверки и применения этих политик.
Протокол Exchange ActiveSync (EAS) — это протокол, основанный на XML, предназначалась для синхронизации электронной почты, контакты, календарь, задачи, заметки и политики между сервером Exchange и клиентском устройстве. Модуль политики EAS может применить подмножество политик, определенных в протоколе EAS на устройствах под управлением любой из поддерживаемых версий операционной системы Windows (перечисленных в применяется к списка в начале этого раздела).
Принцип работы
Поддерживаемые устройства
Устройства, включая серверы, настольные компьютеры, ноутбуки и планшетные ПК, которые управлением поддерживаемых версий Windows и способны установки почтового приложения из магазина Windows можно применять политики EAS.
Сведения о доступных устройств
Приложение "Почта" используется модуль политики EAS также имеет возможность чтения сведений об устройстве и его регистрация на сервере Exchange. Ниже приведен список сведений об устройстве, который доступен:
Уникальные идентификаторы устройств называется Идентификатором устройства или
Имя компьютера
ОС на устройстве
Производитель системы
Системное имя продукта
Конфигурация системы
Политики, поддерживаемые почтовое приложение и модуль управления политикой EAS
Чтобы синхронизировать данные с сервера Exchange, приложение "Почта" сначала применяет политики безопасности на клиентском устройстве. С помощью WinRT API-интерфейсы в модуль политики EAS почтового приложения можно применить базовый набор этих политик.
Модуль политики EAS имеет возможность проверять политик, примененных на устройстве и проверки, если соответствует эти политики учетных записей на этом устройстве. Он также обеспечивают политики, связанные с вход методы, пароль и отсутствия активности устройства.
Модуль политики EAS не поддерживает все политики, заданную этим протоколом EAS в MS-ASPROV. В частности политики, которые относятся к карте доступа к хранилищу, хранения почты и S/MIME не поддерживается. Дополнительные сведения см. в разделах [MS-ASPROV]: Exchange ActiveSync: протокол подготовки в библиотеке MSDN. Ниже приведен список поддерживаемых политик.
Имя политики EAS |
Описание |
Корреляция групповых политик |
|---|---|---|
AllowSimpleDevicePassword |
Указывает, разрешено ли пользователю использовать удобные методы вроде ПИН-код, графических паролей или биометрические данные входа. |
Существует три набора групповые политики, управлять ПИН-код, графические пароли и биометрии. Эти политики должно быть присвоено предоставьте учетным записям без прав администратора для соответствия без вмешательства администратора. ПИН-код Политика: Включить вход ПИН-код Расположение в оснастке «Локальная политика безопасности»: Компьютер конфигурации и шаблоны и системы или вход администратора и Рисунок Политика: Отключить рисунок пароль входа в Расположение в оснастке «Локальная политика безопасности»: Компьютер конфигурации и шаблоны и системы или вход администратора и Биометрические данные Параметры политики:
Расположение в оснастке «Локальная политика безопасности»: Компьютер конфигурации и административные шаблоны и Windows компонентов или биометрические данные и Примечание Для клиентских устройств под управлением поддерживаемых версий Windows, если параметр ПИН-код или рисунок групповой политики применяется для приведения в соответствие учетных записей без прав администратора, это необходимо сделать раздел реестра, который соответствует DisallowConvenienceLogon, который является HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\DisallowConvenienceLogon. |
MaxInactivityTimeDeviceLock |
Указывает время, устройство может выполняться без пользовательского ввода, прежде чем он был заблокирован. |
Политика: интерактивного входа в систему: предел простоя компьютера Расположение в оснастке «Локальная политика безопасности»: Компьютера/Конфигурация Windows Параметры безопасности параметры/локальные политики/параметры безопасности / |
MaxDevicePasswordFailedAttempts |
Указывает, сколько раз можно ввести неправильный пароль, прежде чем перезагрузки устройства. Устройства могут быть помещены в режим блокировки, который требуется ключ восстановления для разблокировки устройства при наличии шифрование диска. |
Политика: интерактивного входа в систему: порог блокировки учетной записи компьютера Расположение в оснастке «Локальная политика безопасности»: Компьютера/Конфигурация Windows Параметры безопасности параметры/локальные политики/параметры безопасности / |
MinDevicePasswordComplexCharacters |
Указывает минимальное число сложных символов, которые требуются для ввода пароля. |
Политика: пароль должен отвечать требованиям сложности Расположение в оснастке «Локальная политика безопасности»: Политики компьютера/Конфигурация Windows Параметры безопасности учетная запись параметров политики и пароль или |
MinDevicePasswordLength |
Указывает минимальную длину пароля. |
Политика: Минимальная длина пароля Расположение в оснастке «Локальная политика безопасности»: Политики компьютера/Конфигурация Windows Параметры безопасности учетная запись параметров политики и пароль или |
DevicePasswordExpiration |
Указывает время, после которого необходимо изменить пароль пользователя. |
Политика: Максимальный срок действия пароля Расположение в оснастке «Локальная политика безопасности»: Политики компьютера/Конфигурация Windows Параметры безопасности учетная запись параметров политики и пароль или |
DevicePasswordHistory |
Указывает количество предыдущих паролей, которые нельзя использовать повторно. |
Политика: вести журнал паролей Расположение в оснастке «Локальная политика безопасности»: Политики компьютера/Конфигурация Windows Параметры безопасности учетная запись параметров политики и пароль или |
RequireDeviceEncryption |
Указывает, требуется ли шифрование устройства. Если задано значение True, устройство необходимо поддерживать и использовать шифрование для соответствия. Примечание Невозможно включить шифрование модулем политики EAS и явному действию пользователя требуется включить шифрование, если она еще не запущена |
Нет локальной политики безопасности или административный шаблон групповой политики, соответствующий этой политике EAS. Явное действие требуется зашифровать устройство, если этот параметр является обязательным. |
Дополнительные сведения о каждой из политик см. в разделе Использование политик Exchange ActiveSync для управления устройствами.
Об учетных записей и политики паролей
Политики паролей позволяет предотвратить злонамеренному пользователю доступ к содержимому на устройстве с помощью пароля. Это также справедливо для компьютеров или устройств, которые имеют один или несколько учетных записей администратора. Так как администратор может получить доступ к данным для других учетных записей, играет все учетные записи администраторов придерживается политики паролей, даже если не применяются политики EAS.
Если применяются политики паролей, все администратора и все учетные записи управления должны удовлетворять требования при следующей загрузке входа в систему или разблокировать действия пароля. Кроме того Если пустого пароля у учетной записи администратора, пароля, удовлетворяющего требованиям, которые должны быть применены до компьютер или устройство может быть совместимым синхронизации с данными Exchange.
Протокол EAS определяет DevicePasswordEnabled, который напрямую не поддерживается в операционной системе. Если сервер Exchange задает DevicePasswordEnabled, приложений, применять эти политики должны определяем некоторые из базовой политики паролей со значениями по умолчанию. Эти политики включать длину, сложность, журнал, срок действия и неудачных попыток.
MaxDevicePasswordFailedAttempts задано значение по умолчанию 4. При наличии или шифрование BitLocker перезагрузка следуют блокировки устройства приведет к попыток неверного ввода пароля. Если диск не зашифрован, устройство будет перезапущена замедлить случайного атак методом подбора.
Сменить пароль при следующем входе задаются учетные записи администратора или пользователя, которые будут отключены. Но потому, что они отключены, они считаются совместимыми.
Журнал паролей и истечения срока действия применяются только во время вычисления или изменение пароля учетной записи локального пользователя. Они требуются только принудительно выполняться локально. Эти политики не применяются для домена или учетные записи Майкрософт. Учетные записи Майкрософт и Active Directory домена имеют разные политики, которые применяются на сервере; Таким образом они будут не привязаны с помощью политик политикой EAS.
Длина пароля и сложности, поддерживаемые типы учетных записей
Политики длины и сложности паролей, применяемых в различных типов учетных записей по-разному.
Локальные учетные записи
Текущей локальной учетной записи и все учетные записи администраторов должны иметь пароль, если политики EAS задать минимальную длину пароля сложности и/или. Несоблюдение этого требования приведет к несоответствию. При применении правил длину и сложность пароля, все управления пользователя и администратора учетные записи помечены для смены пароля при следующем входе чтобы убедиться, что соблюдены требования к сложности.
Локальные учетные записи может поддерживать полную длина пароля, но они поддерживают только три кодировки, не полный четыре, можно указать протокол EAS. Если политика EAS требуется четыре набора символов, все локальные учетные записи станет несоответствующим. Это, поскольку операционная система Windows не поддерживает явным образом выбрать число сложных символов в пароле; Вместо этого он требует, что пароли достижения определенного уровня сложности. Эта сложность означает три сложных символов. Таким образом не поддерживается EAS политику, которая требует больше 3 MinDevicePasswordComplexCharacters учетные записи Windows.
Локальные учетные записи по умолчанию соотношение 6 и 3, когда задано политике паролей, минимальную длину и сложность политики. Требования к сложности применяются при изменении или создании паролей. Устраняются все угрозы безопасности сети для учетных записей с пустым паролем. Тем не менее когда пользователь устанавливает пароль для локальной учетной записи, учетной записи подвержена немедленно подбора пароля или других атак пароля по сети. Таким образом для борьбы с угрозами посредством сетевого доступа, минимальным требованиям задаются для локальных учетных записей, которые предоставляет достаточного уровня безопасности.
Учетные записи домена
Учетные записи домена не обрабатываются локально для политики паролей, которые устанавливаются с EAS, поскольку предполагается принадлежность EAS политики и политики учетных записей домена для одной учетной записи. Эти политики содержат сложности, длина, срок действия и настройки журнала.
Учетные записи Майкрософт
Примечание
Учетные записи Майкрософт ранее известных как учетные записи Windows Live ID.
Гораздо как учетная запись домена, учетная запись Майкрософт управляет центром политики, которые не связаны с локального устройства. Свойства, включая сложности пароля, длина, срок действия и журнал являются частью учетной записи Майкрософт.
Учетные записи Майкрософт обеспечить минимальную длину 8 символов и 2 наборов символов в пароле. Таким образом учетные записи Майкрософт может соответствовать если меньше или равна 8 символам составляет MinDevicePasswordLength политики и политики MinDevicePasswordComplexCharacters установлено в значение меньше или равно 2.
Пароль можно по-прежнему соответствуют правила политики EAS, но ничего не может запретить создание менее сложный пароль для учетной записи Майкрософт. Результаты не соответствия, если политики EAS строже, чем те, которые можно применить учетные записи Майкрософт.
Истечение срока действия и журнал не обрабатываются локально для учетных записей Майкрософт.
Применение политики администратора и учетные записи обычных пользователей
EAS политики применяются ко всем учетным записям администратора, независимо от наличия приложения настроен для использования политики EAS.
Политика EAS также применяется к любой стандартной учетной записи (не администраторов), был настроен для использования политики EAS приложения. Эти учетные записи, называются управления учетных записей пользователей. Это исключение политики EAS, MaxInactivityTimeDeviceLock, так как оно не применяется к учетным записям, а скорее с устройства.
Политики, указанные для различных источников
Определенный набор политик, которые применяются с Exchange ActiveSync, групповые политики, учетная запись Майкрософт или локальные политики, операционная система Windows всегда обеспечивает строгой политики из набора основных политик.
Многопользовательская поддержка
Windows предоставляет для нескольких пользователей на одном устройстве. Windows Live Mail также позволяет использовать множественные учетные записи EAS для каждого пользователя. При наличии нескольких учетных записей EAS с политиками на устройстве под управлением любой поддерживаемой версии Windows, политики объединяются в наиболее строгие результирующий набор.
EAS политик не применяются для всех пользователей на устройства под управлением Windows. Windows учетные записи обычных пользователей ограничивает возможности доступа к данным в других профилей пользователей или в привилегированных. По этой причине EAS политик не применяются одинаково для обычных пользователей. Политики применяются только для стандартных пользователей, которые имеют настроенную учетную запись Exchange, требующее политикой EAS.
Учетные записи для пользователей с правами администратора всегда имеют примененные политики EAS.
Только Windows предоставляет механизм для применения политик EAS один экземпляр. Любая учетная запись, с которой действует политика EAS управляется строгой политики, примененные к устройству.
Сброс политики
Чтобы приложение из уменьшения политик безопасности и привносит риск невыполнения устройства, политика не может быть уменьшено, даже если политика больше не существует на сервере. Пользователь должен предпринять действия для сброса политики в случае ослабление политики, удаление политики, удаление учетной записи или удаления приложения.
Политики можно сбросить с помощью панели управления. Щелкните учетные записи пользователей и родительский контроль, нажмите кнопку учетных записей пользователей, и нажмите кнопку Сброс политики безопасности. Пользователи также могут использовать Сброс политики безопасности Сброс политики EAS, который вызывает сбой доставки по электронной почте.
Примечание
Параметр сброса политики безопасности присутствует только в том случае, если применяются политики модулем политики EAS.
Обновление политик и подготовка EAS
Серверы Exchange можно заставить пользователей для подготовки устройств и повторное применение политик после определенного периода времени. Это гарантирует, что устройство больше не соответствует политикам EAS, политики применяются ли устройство считается несоответствующим.
Клиент Windows Mail не требует подготовки обновления, отвечает администратор EAS, чтобы убедиться в том, что при изменении политики подготовки обновление запускается в течение заданного промежутка времени.
Можно управлять, задав подготовки обновления интервал обновления политики в параметрах политики почтовых ящиков Exchange ActiveSync. Дополнительные сведения об установке интервала обновления см. в разделе Просмотр или Настройка свойств политики почтовых ящиков Exchange ActiveSync.
Блокировка устройства
Поддерживаемые операционные системы Windows содержат защиты данных с помощью шифрования диска BitLocker. В сочетании с политиками паролей и политики MaxDevicePasswordFailedAttempts, Windows Live Mail предоставляет схему защиты надежные данные для ограничения риск потери данных, вызванной в случае кражи или потери устройства.
Хотя многие мобильные устройства поддерживают полное удаление содержимого устройства при удаленной инструкции принимается или не при достижении порогового значения MaxDevicePasswordFailedAttempts пользователем поддерживаемых операционных систем Windows.
Функция блокировки устройства в поддерживаемых операционных систем Windows позволяет устройствам, зашифрованных с помощью BitLocker, перезагрузка устройства в консоли восстановления и криптографически блокировки всех зашифрованных томов. Если устройства ключ восстановления недоступен для владельца устройства утерянного или украденного устройства недоступен для чтения.
Функция блокировки устройства обеспечивает защиту потере или краже устройства и предоставляет средства для законных пользователей, случайно перейти в состояние блокировки устройства для восстановления своих устройств и продолжать его использование.
Поведение автоматического входа
Реализация EAS политики запрещает пользователям использовать функцию автоматического входа в систему. Автоматический вход в систему позволяет использовать учетные данные подписанного счета для зашифровываются и сохраняются в реестре, поэтому при перезапуске компьютера учетной записи пользователя автоматически вход с использованием тех сохраненные учетные данные. Автоматический вход в систему может быть полезно, когда администраторы необходимы для входа в систему несколько раз во время настройки или при безопасной владения персонального компьютера и пользователя хочет проще возможность входа.
При реализации политики EAS, автоматический вход в систему не работает по умолчанию и пользователь, пытающийся войти необходимо ввести учетные данные своей учетной записи. При желании поведение autologon политиками EAS должно быть отключено.
Предупреждение
Отключение политики EAS уменьшит эффективности системы безопасности.
Дополнительные сведения об этом загружаемое средство просмотра, Autologon.
Новые и измененные функции
Модуль политики EAS была введена в Windows Server 2012 и Windows 8.
В Windows Server 2012 и Windows 8 биометрические данные входа методы не считаются предел, установленный в политике MaxDevicePasswordFailedAttempts. В Windows Server 2012 R2 и Windows 8.1, если устройство зашифрован с помощью BitLocker или любого другого диска шифрования программного обеспечения, биометрические данные методы вход не отключаются при превышении лимита, если политика DisallowConvenienceLogon.
Требования к программному обеспечению
Модуль политики EAS и его реализация политики поддерживается только в версиях операционных систем Windows, указанный в применяется к списка в начале этого раздела.
Дополнительные ресурсы
Следующая таблица предоставляет дополнительные связанные сведения и модуль политики Exchange ActiveSync, включая политики и API-интерфейсы.
Тип содержимого |
Ссылок |
|---|---|
Оценка продукта |
В этом разделе |
Планирование |
Нет |
Развертывание |
Нет |
Операции |
Использование политик Exchange ActiveSync для управления устройствами |
Диагностика |
Нет |
Безопасность |
Нет |
Средства и параметры |
Справочник по параметрам политики безопасности: Политика паролей |
Ресурсы сообщества |
Нет |
Связанные технологии |
Управление Exchange ActiveSync: Справка по Exchange 2010 |