Exchange ActiveSync İlkesi altyapısı genel bakış
Uygulama Alanı: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
Bu konu BT uzmanları için Exchange ActiveSync ilke altyapısı açıklar ve kaynakları kullanmaya listeler.
Şunu mu demek istediniz...
Özellik açıklaması
Exchange ActiveSync (EAS) ilke altyapısı, tanıtıldıWindows Server 2012Windows 8veWindows RTuygulamaları masaüstü ve dizüstü bilgisayarları tabletler, Exchange Server verilerini gibi buluttan eşitlenen verileri korumak için üzerinde EAS ilkeleri uygulamak etkinleştirmek için. Bu Windows Güvenlik ilkel çekirdek kümesini destekler.
Pratik uygulamalar
EAS ilke altyapısı, bir dizi cihazda güvenlik ilkel yönetmek Windows mağazası uygulamaları etkinleştir WinRT API içerir. EAS ilke altyapısı tarafından desteklenen ilkeleri parola gereksinimlerini, etkin olmama Zamanlayıcı, oturum açma yöntemlerini ve disk şifreleme durumu içerir. İlke altyapısı, Aygıt durumu ve durum ilkelerinizi için uygun değilse denetlemenizi sağlar. Windows mağazası uygulamaları EAS ilke altyapısı API'leri ve bu ilkelerini doğrulamak için kullanabilir.
Exchange ActiveSync (EAS) e-posta, kişiler, takvim, görevler, notlar ve Exchange Server ile bir istemci aygıtı arasındaki ilkeleri eşitlemek için tasarlanmış bir XML tabanlı protokoldür. EAS ilke altyapısı EAS protokol desteklenen Windows işletim sistemi sürümlerini çalıştıran aygıtlarda tanımlanan ilkeleri kümesini uygulayabileceği (listelenenUygulanacağıliste bu konu başında).
Nasıl çalışır?
Desteklenen aygıtlar
Aygıtlar, sunucular, masaüstü, dizüstü ve Windows desteklenen sürümlerini çalıştıran ve Windows Mağazası'ndan posta uygulama yükleme uyumlu olan tabletler dahil olmak üzere EAS ilkelerini uygulayabilir.
Kullanılabilir aygıt bilgileri
EAS ilke altyapısı kullanarak bir posta uygulaması da aygıt bilgileri okuyun ve Exchange sunucusuna rapor olanağı vardır. Aygıt bilgileri bir listesi aşağıda verilmiştir:
Aygıt kimliği veya kimliği olarak adlandırılan bir benzersiz cihaz tanımlayıcısı
Bilgisayar adı
Cihaz üzerinde çalışan işletim sistemi
Sistem üreticisi
Sistem ürün adı
Sistem SKU
Posta uygulamasını ve EAS ilke altyapısı tarafından desteklenen ilkeleri
Exchange Server verileri eşitlemek için posta uygulamasını ilk istemci aygıtta güvenlik ilkeleri uygular. Bir posta uygulaması EAS ilke altyapısı WinRT API'lerini kullanarak bu ilkeler çekirdek kümesi uygulayabilirsiniz.
EAS ilke altyapısı, bu aygıttaki hesapları bu ilkeler için uygun bir aygıt ve onay uygulanan ilkeler denetlemek için özelliğine sahiptir. Bu aynı zamanda yöntemleri, parola ve aygıt etkin olmama oturum açmak için ilgili ilkelerini uygulayabilir.
EAS ilke altyapısı MS ASPROV EAS protokolü tarafından belirtilen tüm ilkelerini desteklemiyor. Özellikle, depolama kartı erişim, posta saklama ve S/MIME ait ilkeleri desteklenmez. Daha fazla bilgi için bkz:,[MS-ASPROV]: Exchange ActiveSync: Protokolü sağlamaMSDN Kitaplığı'nda. Aşağıdaki desteklenen tüm ilkeler bir listesi verilmektedir.
EAS ilkesi adı |
Açıklama |
Bağıntı için Grup İlkesi |
|---|---|---|
AllowSimpleDevicePassword |
Kullanıcı oturum açma kullanışlı yöntemler PIN, resimli parola veya biyometrisi gibi kullanmak için izin verilip verilmediğini belirtir. |
Üç adet PIN, resimli parola ve biyometrisi denetleyen bir grup ilkeleri vardır. Bu ilkeler, bir yönetici eylemi gerektirmeden uyumlu olmak yönetici olmayan bir hesap izin verecek şekilde ayarlanmalıdır. PIN İlke ayarı: PIN oturum açmayı etkinleştirmek Yerel Güvenlik İlkesi ek bileşeninde konumu: Bilgisayar Yapılandırması/Yönetim Şablonları/sistem/oturum açma / Resmi İlke ayarı: Resim parola oturum açma devre dışı Kapat Yerel Güvenlik İlkesi ek bileşeninde konumu: Bilgisayar Yapılandırması/Yönetim Şablonları/sistem/oturum açma / Biyometrisi İlke ayarları:
Yerel Güvenlik İlkesi ek bileşeninde konumu: Bilgisayar Yapılandırması/Yönetim Şablonları/Windows bileşenleri/biyometrisi / Not İstemci için yönetici olmayan bir hesap uyumlu hale getirmek için PIN veya resim Grup İlkesi ayar uygulanır, Windows, desteklenen sürümlerini çalıştıran aygıtları, HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\DisallowConvenienceLogon olduğu DisallowConvenienceLogon için karşılık gelen kayıt defteri anahtarı ayarlamak gerekli değildir. |
MaxInactivityTimeDeviceLock |
Bir aygıt olmayan kullanıcılar bu kilitlenmeden önce giriş gidebilirsiniz süreyi belirtir. |
İlke ayarı: Etkileşimli oturum açma: Makine etkin olmama sınırı Yerel Güvenlik İlkesi ek bileşeninde konumu: Bilgisayar Yapılandırması/Windows ayarları/güvenlik ayarları/yerel ilkeler/güvenlik seçenekleri / |
MaxDevicePasswordFailedAttempts |
Aygıtı yeniden başlatılıncaya önce hatalı bir parolanın girilebilir kaç kez belirtir. Aygıt disk şifreleme varlığında aygıtın kilidini açmak için kurtarma anahtarı gerektiren kilit modu içine yerleştirilebilir. |
İlke ayarı: Etkileşimli oturum açma: Makine hesap kilitleme eşiği Yerel Güvenlik İlkesi ek bileşeninde konumu: Bilgisayar Yapılandırması/Windows ayarları/güvenlik ayarları/yerel ilkeler/güvenlik seçenekleri / |
MinDevicePasswordComplexCharacters |
En az bir parola için gerekli olan karmaşık karakter sayısını belirtir. |
İlke ayarı: Parola karmaşıklığı gereksinimleri karşılamalıdır Yerel Güvenlik İlkesi ek bileşeninde konumu: Bilgisayar Yapılandırması/Windows ayarları/güvenlik ayarları/Hesap İlkeleri/Parola İlkesi / |
MinDevicePasswordLength |
En küçük parola uzunluğu belirtir. |
İlke ayarı: En az parola uzunluğu Yerel Güvenlik İlkesi ek bileşeninde konumu: Bilgisayar Yapılandırması/Windows ayarları/güvenlik ayarları/Hesap İlkeleri/Parola İlkesi / |
DevicePasswordExpiration |
Bir kullanıcı parolasını sonra değiştirilmesi gerekir süreyi belirtir. |
İlke ayarı: En fazla parola geçerlilik süresi Yerel Güvenlik İlkesi ek bileşeninde konumu: Bilgisayar Yapılandırması/Windows ayarları/güvenlik ayarları/Hesap İlkeleri/Parola İlkesi / |
DevicePasswordHistory |
Yeniden kullanılabilir önceki parolalarını sayısını belirtir. |
İlke ayarı: Parola geçmişini zorlama Yerel Güvenlik İlkesi ek bileşeninde konumu: Bilgisayar Yapılandırması/Windows ayarları/güvenlik ayarları/Hesap İlkeleri/Parola İlkesi / |
RequireDeviceEncryption |
Aygıt şifreleme gerekli olup olmadığını belirtir. Aygıt True olarak uyumlu olmak için şifreleme uygulayan ve destekleyen olması gerekiyorsa. Not Şifreleme EAS ilke altyapısı tarafından etkinleştirilemez ve zaten çalışmıyorsa, açık bir kullanıcı eylem şifreleme'yi açmak için gerekli olan |
Yerel Güvenlik İlkesi veya Grup İlkesi yönetimsel bu EAS ilkesine karşılık gelen şablon yok. Açık bir eylem, bu ilke gerekliyse bir aygıt şifrelemek için gereklidir. |
Her İlkesi hakkında daha fazla bilgi içinExchange ActiveSync ilkeleri aygıt yönetimi için kullanın..
Parola ilkeleri ve hesapları hakkında
Parola ilkeleri kötü niyetli bir kullanıcıya bir parola isteyerek içerik aygıta erişimini engellemek. Bu aynı zamanda bilgisayar veya bir veya daha fazla yönetici hesapları yoksa da aygıtları için geçerlidir. Yöneticiler, olası veri diğer hesapları için erişebildiğinden EAS ilkeleri uygulanmaz olsa bile, tüm yönetici hesapları parola ilkelerini için uyması gereklidir.
Parola ilkeleri uygulandığında, tüm yönetici ve tüm denetim kullanıcı hesapları için sonraki gereksinimlerine oturum açın veya eylem kilidini parola uymak için gereklidir. Buna ek olarak, bir yönetici hesabı boş bir parolası varsa, uyumlu bir parola önce bilgisayarı uygulanması veya aygıt Exchange verileri eşitlemek için uyumlu olabilir.
EAS protokolü, doğrudan işletim sisteminde desteklenmiyor DevicePasswordEnabled tanımlar. Exchange Server DevicePasswordEnabled ayarlar, bu ilkeler uygulayabilirler uygulamaları bazı temel parola ilkelerini varsayılan değerlerle ayarlamak için bekleniyor. Bu ilkeler dahil uzunluk, karmaşıklık, geçmiş, sona erme ve denemesi başarısız oldu.
MaxDevicePasswordFailedAttempts 4 varsayılan değeri ile ayarlanır. BitLocker veya aygıt şifreleme varsa, hatalı parola denemesi aygıt Kilitle ve ardından yeniden neden olur. Disk şifreli değil, aygıt sıradan yanılma saldırılarına yavaş için yeniden başlatır.
Devre dışı bırakılmış Yöneticisi veya kullanıcı hesapları sonraki oturum açma parolanızı değiştirmek için ayarlanır. Ancak, devre dışı bırakıldığı için bunlar uyumlu olduğu kabul edilir.
Parola geçmişini ve kullanım süresi sonu yerel kullanıcı hesabı parolasını hesaplanan veya değiştirilmesi yalnızca zamanında uygulanır. Yerel olarak yürütülebilmesi için yalnızca gereklidir. Etki alanı veya Microsoft hesapları için bu ilkeler zorunlu değil. Microsoft hesapları ve Active Directory etki alanı hesapları sunucuda zorunlu değişen ilkeleri vardır; Bu nedenle, bunlar ilkeleri tarafından bir EAS İlkesi'ni bağlanacak değil.
Parola uzunluğu ve hesap türleri tarafından desteklenen karmaşıklığı
Parola uzunluğu ve karmaşıklık ilkeleri değerlendirilir ve farklı bir hesap türlerinde farklı uygulanır.
Yerel hesaplar
En az parola uzunluğu veya karmaşıklık veya her ikisi de EAS ilkeleri ayarlarsanız, geçerli bir yerel hesabı ve tüm yönetici hesapları için bir parola gereklidir. Bu gereksinimi karşılamak üzere başarısız olmayan-uyumlu sonuçlanır. Tüm denetim kullanıcı ve yönetici hesapları parola uzunluğu ve karmaşıklık kuralları uygulandığında karmaşıklık gereksinimlerin karşılandığını emin olmak için sonraki oturum açma parolanızı değiştirmek için işaretlenir.
Yerel hesaplar için tam parola uzunluğu İlkesi destekleyebilir, ancak yalnızca değil EAS protokol belirtebilirsiniz dört tam olarak üç karakter kümelerini destekleyebilir. EAS İlkesi dört karakter kümelerini gerektirecek şekilde ayarlanmışsa, tüm yerel hesaplar için uyumlu olmayan hale gelecektir. Windows işletim sisteminin bir parola karmaşık karakter sayısı seçme açıkça desteklemiyor olmasıdır; Bunun yerine, parolaların belirli bir karmaşıklık düzeyini uyması gerekir. Bu karmaşıklığı için üç karmaşık karakterleri çevirir. Bu nedenle, 3'ten büyük MinDevicePasswordComplexCharacters gerektiren bir EAS İlkesi tarafından Windows hesapları desteklenemez.
En küçük parola uzunluğu ve karmaşıklık İlkesi oranında 6 ve herhangi bir parola ilkesi ayarlandığında, 3 için varsayılan yerel hesaplar. Parolalar değiştirildi veya oluşturulan karmaşıklık gereksinimlerini uygulanır. Boş bir parola ile hesaplarında ağ üzerinden tüm güvenlik tehditleri azalmasına. Bir kullanıcının bir yerel hesabı için parola ayarladığında, ancak ağ üzerinden parola tahmin veya diğer parola saldırılarını hemen güvenlik açığı hesabıdır. Bu nedenle, ağ erişimi üzerinden tehditleri azaltmak için minimum gereksinimlerini makul bir güvenlik düzeyi sağlayan yerel hesaplar için ayarlanır.
Etki alanı hesapları
Etki alanı hesapları yerel olarak kabul EAS ilkelerine ve etki alanı hesabı için aynı hesabı yetkilisi ait olduğundan, EAS tarafından ayarlanan parola ilkelerini için değerlendirilmez. Bu ilkeler karmaşıklık, uzunluğu, sona erme ve geçmiş ayarları içerir.
Microsoft hesapları
Not
Microsoft hesapları önceden Windows Live ID hesabı olarak bilinir.
Çok bir etki alanı hesabı gibi bir Microsoft hesabı için yerel bir aygıt ilgili olmayan bir ilke yetkilisi tabidir. Parola karmaşıklığını, uzunluğu, sona erme ve geçmiş gibi özellikleri Microsoft hesabını bir parçasıdır.
Microsoft hesapları 8 karakter ve bir parola 2 karakter kümelerini en küçük parola uzunluğu zorlar. En az 8 karakter veya MinDevicePasswordLength ilke ayarlayın ve MinDevicePasswordComplexCharacters ilke, en küçük veya eşit 2 ayarlanmışsa bu nedenle, Microsoft hesapları uyumlu.
Bir parola yine de EAS İlkesi kurallarına uygun, ancak hiçbir şey Microsoft hesabı için daha az karmaşık bir parola oluşturmaktan, bir kullanıcının engelleyebilirsiniz. EAS ilkeleri Microsoft hesapları uygulayabileceği olanlar daha sıkı varsa olmayan uyumluluk sonuçları.
Yerel olarak sona erme ve geçmiş Microsoft hesapları için değerlendirilmez.
İlke uygulaması yönetici ve standart kullanıcı hesapları
EAS ilkeleri EAS ilkeleri kullanacak şekilde yapılandırılmış bir uygulama olsun, tüm yönetici hesapları için uygulanır.
EAS ilkeleri EAS ilkeleri kullanacak şekilde yapılandırılmış bir uygulama olan tüm standart (yönetici olmayan) hesap için de uygulanır. Bu hesapları denetim kullanıcı hesapları olarak adlandırılır. Hesapları, ancak bunun yerine aygıt uygulanmadığından EAS, MaxInactivityTimeDeviceLock özel durum ilkesidir.
Farklı bir kaynak tarafından belirtilen ilkeleri
Exchange ActiveSync, Grup İlkesi, bir Microsoft hesabı veya yerel ilkeler tarafından zorlanan ilkeleri kümesini verildiğinde, Windows işletim sistemi katı ilke ilkeleri yöneten kümesi dışında her zaman zorlar.
Birden çok kullanıcı desteği
Tek bir aygıttaki birden çok kullanıcı için Windows sağlar. Windows Live Mail ayrıca her bir kullanıcı için birden çok EAS hesabı izin verir. Birden çok EAS hesabı Windows desteklenen herhangi bir sürümünü çalıştıran bir aygıt üzerinde Ayarla ilkeleriyle olduğunda, ilkeleri en kısıtlayıcı bir sonuç kümesi birleştirilir.
EAS ilkeleri Windows çalıştıran bir aygıttaki tüm kullanıcılar için geçerli değildir. Windows standart kullanıcı hesapları veri diğer kullanıcı profillerini veya ayrıcalıklı konumları erişim yeteneğini de kısıtlar. Bu nedenle, EAS ilkeleri hep standart kullanıcılar için geçerli değildir. EAS İlkesi yapılandırılmış bir Exchange hesap olan standart kullanıcılar için ilkeler uygulayabilirler.
Hesapları yönetici hakları olan kullanıcılar için her zaman uygulanan EAS ilkeleri vardır.
Windows yalnızca tek bir EAS ilkeleri örneğini uygulamak için bir mekanizma sağlar. Bir EAS İlkesi tabi olan herhangi bir hesapla aygıta uygulanan katı İlkesi tarafından kontrol edilir.
İlke sıfırlama
İlke sunucusunda artık olsa bile güvenlik ilkeleri azaltarak ve aygıt için risk günlüğe bir uygulama önlemek için bir ilke, azaltma olamaz. Bir kullanıcı ilkesi relaxation, ilke kaldırma, hesap kaldırma veya uygulama kaldırma durumunda ilkeleri sıfırlamak için bir işlem yapması gerekir.
İlkeleri, Denetim Masası'nı kullanarak sıfırlayabilirsiniz. ' I tıklatınkullanıcı hesapları ve Aile Korumasıtıklatınkullanıcı hesaplarıtıklatıpsıfırlama güvenlik ilkeleri. Kullanıcılar da kullanabilirsinizsıfırlama güvenlik ilkeleribir e-posta teslim hatası neden olan bir EAS İlkesi sıfırlanır.
Not
Güvenlik ilkeleri sıfırlamak için bu seçeneği yalnızca ilkeleri EAS ilke altyapısı tarafından uygulanan türünü gösterir.
EAS ilkeleri ve sağlama yenileme
Exchange sunucusu, kullanıcıların aygıtları sağlayın ve ilkeleri zaman bir belirli bir süreden sonra yeniden zorlayabilir. Bu cihaz artık EAS ilkeleriyle uyumlu değil, ilkeleri yeniden veya aygıt uyumlu olmayan düşünülen sağlar.
Sağlama yenileme İlkesi değişiklik olursa, belirli bir zaman çerçevesinde tetiklenir emin olmak için EAS yönetici sorumluluğundadır için Windows Mail istemci sağlama yenileme zorlamaz.
Sağlama yenileme ayarlayarak denetlenebiliryenileme aralığıExchange ActiveSync posta kutusu ilke ayarlarını ilkesinde. Yenileme aralığı ayarlama hakkında daha fazla bilgi içingörünümü veya Exchange ActiveSync posta kutusu ilkesi özelliklerini yapılandırmak.
Aygıt kilidi
Desteklenen Windows işletim sistemleri, veri koruması BitLocker Sürücü Şifrelemesi ile sağlar. Parola ilkeleri ve MaxDevicePasswordFailedAttempts ilke ile birlikte kullanılırsa, Windows Live Mail aygıt kaybı veya çalınması nedeniyle veri kaybı riskleri sınırlamak için güçlü veri koruma düzeni sağlar.
İçerik aygıtının tam bir kaldırma mobil aygıtların çoğu destek olsa da bir uzak yönergesi alındığında veya bir kullanıcı tarafından MaxDevicePasswordFailedAttempts Eşiğe ulaşıldığında, desteklenen Windows işletim sistemlerinin yapın.
Desteklenen Windows işletim sistemlerinde aygıt kilit özelliğini şifreleme açısından tüm şifrelenmiş birimlere kilitlemek ve kurtarma konsolunda aygıtı yeniden başlatmak için BitLocker ile şifrelenmiş aygıtları sağlar. Aygıt kurtarma anahtarı aygıtın possessor için kullanılabilir olmadığı sürece kayıp veya çalıntı bir aygıt okunabilir değil.
Aygıt kilit özelliğini kayıp veya çalıntı cihazlar için koruma ve yanlışlıkla aygıtlarını kurtarmak ve kullanmaya devam etmek için aygıt kilit durumunu girin yasal kullanıcılar için bir yol sağlar.
Otomatik oturum açma davranışı
EAS ilkeleri uygulaması kullanıcıların otomatik oturum açma özelliği kullanamazsınız. Depolanan kimlik bilgileri şifrelenir ve bilgisayar yeniden başlatıldığında kullanıcı hesabının otomatik olarak bu kullanarak imzalanmış için kayıt defterindeki için açık hesap otomatik oturum açma kimlik bilgilerini imzalı izin verir. Otomatik oturum açma, Yöneticiler bir bilgisayara yapılandırması sırasında birden çok kez oturum açmak için gerekli olan veya bir kullanıcı kişisel bilgisayarlarını güvenli olarak sahip olduğunda ve oturum açmak için kolay bir özelliğini istediği zaman yararlıdır.
EAS ilkeleri uygulandığında otomatik oturum açma varsayılan olarak çalışmaz ve oturum açmaya kullanıcı hesabına ait kimlik bilgilerini girmeniz gerekir. Otomatik oturum açma davranışını isterseniz EAS ilkeleri devre dışı bırakılması gerekir.
Uyarı
EAS ilkeleri devre dışı bırakma güvenlik verimliliğini azaltır.
Bu karşıdan yüklenebilir aracı hakkında daha fazla bilgi için bkz:Otomatik oturum açma.
Yeni ve değiştirilmiş işlevsellik
EAS ilke altyapısı, tanıtıldıWindows Server 2012veWindows 8.
Windows Server 2012 ve Windows 8'de biyometrisi oturum açma yöntemlerini MaxDevicePasswordFailedAttempts ilke ayarlayın sınırları doğru sayılmaz. İçindekiWindows Server 2012 R2veWindows 8.1aygıt BitLocker veya diğer disk şifreleme yazılımları, oturum açma yöntemlerini devre dışı olmuyor DisallowConvenienceLogon İlkesi ayarlanırsa sınırı aşıldığında biyometrisi kullanılarak şifrelenir.
Yazılım gereksinimleri
EAS ilke altyapısı ve ilke uygulaması yalnızca Windows işletim sistemi olarak atanmış sürümlerinde desteklenirUygulanacağıBu konu başında listesi.
Ek kaynaklar
Aşağıdaki tablo, ilkeleri ve API'leri dahil olmak üzere Exchange ActiveSync ilke altyapısı hakkında ek ve ilgili bilgi sağlar.
İçerik türü |
Başvurular |
|---|---|
Ürün değerlendirmesi |
Bu konu |
Planlama |
Yok |
Dağıtım |
Yok |
İşlemler |
|
Sorun giderme |
Yok |
Güvenlik |
Yok |
Araçlar ve ayarlar |
Güvenlik İlkesi ayarları başvurusu: Parola İlkesi |
Topluluk kaynakları |
Yok |
İlgili teknolojiler |