Exchange ActiveSync 原則引擎概觀
適用於: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
本主題適用於 IT 專業人員說明 Exchange ActiveSync 原則引擎和列出使用它的資源。
您是不是要尋找…
功能說明
Exchange ActiveSync (EAS) 原則引擎所導入Windows Server 2012,Windows 8,和Windows RT若要啟用在桌上型電腦、 膝上型電腦和平板電腦來保護從定域機組如 Exchange Server 中的資料同步處理的資料上套用 EAS 原則的應用程式。 它支援一組核心 Windows 安全性基本項目。
實際應用
EAS 原則引擎包含一組 WinRT Api 可讓 Windows 市集應用程式來管理裝置上的安全性基本項目。 EAS 原則引擎所支援的原則包括密碼需求、 無活動計時器、 登入方法和磁碟加密狀態。 原則引擎可讓您檢查裝置狀態和狀態如果符合您的原則。 Windows 市集應用程式可以利用 EAS 原則引擎 Api 來驗證和強制這些原則。
Exchange ActiveSync (EAS) 通訊協定是以 XML 為基礎的通訊協定設計來同步處理電子郵件、 連絡人、 行事曆、 工作、 備忘稿和 Exchange 伺服器與用戶端裝置之間的原則。 EAS 原則引擎可以強制執行任何支援的 Windows 作業系統版本的裝置上 EAS 通訊協定中定義的原則子集 (列在套用至本主題開頭的清單)。
運作方式
支援的裝置
裝置,包括伺服器、 桌上型電腦、 膝上型電腦和平板電腦、 執行支援的 Windows 版本和能夠從 Windows 市集安裝郵件應用程式可以強制執行 EAS 原則。
可用的裝置資訊
郵件應用程式正在使用 EAS 原則引擎也有讀取裝置資訊和報告至 Exchange 伺服器的能力。 以下是一份可用的裝置資訊:
稱為裝置識別碼是唯一的裝置識別項
電腦的名稱
裝置上執行的作業系統
系統製造商
系統產品名稱
系統 SKU
郵件應用程式和 EAS 原則引擎所支援的原則
若要同步處理資料,從 Exchange 伺服器,郵件應用程式第一次用戶端裝置上套用安全性原則。 郵件應用程式可以使用 WinRT Api 中 EAS 原則引擎套用這些原則的一組核心。
EAS 原則引擎已檢查的原則套用至裝置並檢查如果該裝置上的帳戶符合這些原則的能力。 它也可以強制執行登入方法、 密碼和裝置的閒置時間與相關的原則。
EAS 原則引擎不支援所有 MS ASPROV EAS 通訊協定所指定的原則。 特別是不支援屬於儲存卡存取、 郵件保留和 S/MIME 的原則。 如需詳細資訊請參閱的[MS ASPROV]:Exchange ActiveSync:佈建通訊協定MSDN Library 中。 以下是支援的所有原則的清單。
EAS 原則名稱 |
描述 |
群組原則的相互關聯 |
||||
|---|---|---|---|---|---|---|
AllowSimpleDevicePassword |
指定是否允許使用者使用登入方法類似 pin、 圖片密碼或生物識別技術。 |
有三個集合的群組原則控制 pin、 圖片密碼以及生物識別技術。 這些原則必須設定為允許非系統管理員帳戶,而不需要系統管理員動作以符合。 Pin 原則設定:開啟 [PIN 登入 在 [本機安全性原則嵌入式管理單元中的位置: 電腦設定/系統管理範本/系統/登入 / 圖片 原則設定:關閉 [圖片密碼登入 在 [本機安全性原則嵌入式管理單元中的位置: 電腦設定/系統管理範本/系統/登入 / 生物識別技術 原則設定:
在 [本機安全性原則嵌入式管理單元中的位置: 電腦設定/系統管理範本 /windows 元件/生物識別技術 /
|
||||
MaxInactivityTimeDeviceLock |
指定裝置可以移沒有使用者輸入之前已被鎖定的時間的長度。 |
原則設定:互動式登入:電腦未使用時間限制 在 [本機安全性原則嵌入式管理單元中的位置: 電腦設定 /windows 設定/安全性設定/本機原則/安全性選項 / |
||||
MaxDevicePasswordFailedAttempts |
指定裝置重新開機之前可以輸入錯誤密碼的次數。 裝置可能會放入需要修復金鑰來解除鎖定裝置且磁碟加密的鎖定模式。 |
原則設定:互動式登入:電腦帳戶鎖定閾值 在 [本機安全性原則嵌入式管理單元中的位置: 電腦設定 /windows 設定/安全性設定/本機原則/安全性選項 / |
||||
MinDevicePasswordComplexCharacters |
指定所需的密碼的複雜字元的最小數目。 |
原則設定:密碼必須符合複雜性需求 在 [本機安全性原則嵌入式管理單元中的位置: 電腦設定 /windows 設定/安全性設定/帳戶原則/密碼原則 / |
||||
MinDevicePasswordLength |
指定的最小密碼長度。 |
原則設定:密碼長度下限 在 [本機安全性原則嵌入式管理單元中的位置: 電腦設定 /windows 設定/安全性設定/帳戶原則/密碼原則 / |
||||
DevicePasswordExpiration |
指定使用者密碼必須變更之後的時間的長度。 |
原則設定:最長密碼期限 在 [本機安全性原則嵌入式管理單元中的位置: 電腦設定 /windows 設定/安全性設定/帳戶原則/密碼原則 / |
||||
DevicePasswordHistory |
指定不能重複使用的舊密碼數目。 |
原則設定:強制密碼歷程記錄 在 [本機安全性原則嵌入式管理單元中的位置: 電腦設定 /windows 設定/安全性設定/帳戶原則/密碼原則 / |
||||
RequireDeviceEncryption |
指定是否需要加密裝置。 如果設定為 True,裝置必須能夠支援和實作加密以符合。
|
沒有任何本機安全性原則或群組原則系統管理範本對應到此 EAS 原則。 如果此原則需要加密裝置不需要明確的動作。 |
如需有關每個原則的詳細資訊,請參閱使用 Exchange ActiveSync 原則裝置管理。
關於密碼原則和帳戶
密碼原則有助於防止惡意的使用者存取透過要求密碼的裝置上的內容。 這也適用於電腦或裝置具有一或多個系統管理員帳戶。 系統管理員都可以存取資料的其他帳戶,因為它所需的所有系統管理員帳戶遵守至密碼原則,即使是 EAS 原則不會套用。
如果密碼原則會套用,所有的系統管理員和控制的所有使用者帳戶所需符合的密碼需求下一次登入或解除鎖定的動作。 此外,如果系統管理員帳戶有空白的密碼,相容的密碼必須套用之前電腦或裝置可以是符合與交換資料同步處理。
EAS 通訊協定定義 DevicePasswordEnabled 不直接支援的作業系統。 如果 Exchange Server 設定 DevicePasswordEnabled,套用這些原則的應用程式都必須設定一些基礎的密碼原則具有預設值。 這些原則包含長度、 複雜性、 記錄、 到期日,並嘗試失敗。
MaxDevicePasswordFailedAttempts 會設定預設值是 4。 BitLocker 或裝置加密,且不正確密碼嘗試將會導致重新啟動裝置鎖定後面。 如果未加密的磁碟,裝置會重新啟動速度慢下來隨意暴力密碼破解攻擊。
系統管理員或使用者的帳戶已停用會設為在下次登入時變更密碼。 但是它們會停用,因為它們會被視為相容。
密碼歷程記錄與到期日適用於只在本機使用者帳戶密碼會評估或變更的時間。 他們只需要在本機上強制執行。 這些原則不會強制執行網域或 Microsoft 帳戶。 Microsoft 帳戶和 Active Directory 網域帳戶有不同的原則強制執行的伺服器上因此,它們將不繫結的原則從 EAS 原則。
密碼長度和複雜度帳戶型別支援
密碼長度和複雜性原則評估和以不同方式套用至不同的帳戶類型。
本機帳戶
目前的本機帳戶及所有系統管理員帳戶所需的密碼如果 EAS 原則設定最小密碼長度、 複雜性或兩者。 為了符合此需求失敗會導致不符合規定。 密碼長度和複雜度的規則套用時,所有控制使用者和系統管理員帳戶會都標示為在下次登入時密碼變更為確保符合複雜性需求。
本機帳戶可支援完整的密碼長度原則,但它們只可以支援三個字元集,不完整的四種 EAS 通訊協定可以指定。 如果 EAS 原則設定為需要四個字元集,所有本機帳戶將會變成不相容。 這是因為 Windows 作業系統不明確支援密碼; 中選擇的複雜字元數而它需要密碼符合特定複雜性等級。 這種複雜性會轉譯成複雜的三個字元。 因此,需要 MinDevicePasswordComplexCharacters 大於 3 的 EAS 原則無法支援的 Windows 帳戶。
本機帳戶預設為 6 及 3 任何密碼原則設定時的最小密碼長度和複雜性原則比率。 密碼已變更或建立時會強制執行複雜性需求。 使用空白密碼的帳戶在網路上的所有安全性威脅會都降低。 不過,當使用者在設定本機帳戶的密碼,此帳戶是立即容易猜測密碼或其他密碼攻擊網路上。 因此,為了減緩透過網路存取的威脅,最低需求是針對提供適當的安全性等級的本機帳戶設定。
網域帳戶
網域帳戶不會因為它會假定 EAS 原則和網域帳戶原則屬於相同的帳戶授權由 EAS 中設定的密碼原則在本機評估。 這些原則包括複雜性、 長度、 期限和記錄設定。
Microsoft 帳戶
.jpeg "System_CAPS_note") 注意事項 |
|---|
Microsoft 帳戶之前稱為 Windows Live ID 帳戶。 |
更像網域帳戶、 Microsoft 帳戶是由本機裝置無關的原則授權單位來管理。 屬性包括密碼複雜性、 長度、 期限和記錄是 Microsoft 帳戶的一部分。
Microsoft 帳戶強制執行最小密碼長度為 8 個字元和在密碼中的 2 字元集。 因此,Microsoft 帳戶可以符合如果 MinDevicePasswordLength 原則會設定在小於或等於 8 個字元而 MinDevicePasswordComplexCharacters 原則設定在小於或等於 2。
密碼可以仍會符合 EAS 原則規則但不是可以防止使用者建立的 Microsoft 帳戶的較複雜密碼。 如果 EAS 原則比 Microsoft 帳戶可以強制執行更嚴格的非相容性結果。
到期和歷程記錄不會在本機 Microsoft 帳戶的評估。
系統管理員和標準使用者帳戶上的原則應用程式
EAS 原則會套用至所有系統管理員帳戶不論它們是否具有設定為使用 EAS 原則的應用程式。
EAS 原則也會套用至任何已設定為使用 EAS 原則的應用程式的標準 (非系統管理員) 帳戶。 這些帳戶稱為控制使用者帳戶。 EAS 原則 MaxInactivityTimeDeviceLock 是例外狀況因為它不會套用到帳戶,但而到裝置。
不同來源所指定的原則
指定一組由 Exchange ActiveSync、 群組原則、 Microsoft 帳戶或本機原則強制執行原則,Windows 作業系統永遠會強制執行嚴格的原則從整組法規。
多使用者支援
Windows 提供單一裝置上的多個使用者。 Windows Live Mail 也允許每個使用者的多個 EAS 帳戶。 當多個具有執行任何支援的 Windows 版本之裝置上設定原則的 EAS 帳戶原則會合併到最嚴格的結果集。
EAS 原則並不適用於執行 Windows 之裝置上的所有使用者。 Windows 會在其存取權限的位置或其他使用者設定檔中的資料的能力限制標準使用者帳戶。 基於這個理由,EAS 原則不適統一標準使用者。 原則只能套用到需要 EAS 原則設定的 Exchange 帳戶的標準使用者。
具有系統管理員權限的使用者帳戶一定套用 EAS 原則。
Windows 只提供一個機制來套用 EAS 原則的單一執行個體。 EAS 原則受限於任何帳戶受到嚴格的原則套用到裝置。
原則重設
若要避免降低安全性原則並提出一項風險裝置從應用程式,原則不能縮減,即使原則不再存在於伺服器上。 使用者必須採取動作來重設原則放寬、 原則移除、 帳戶移除或應用程式移除事件的原則。
使用控制台可以重設原則。 按一下使用者帳戶和家庭安全,按一下使用者帳戶,按一下重設安全性原則。 使用者也可以使用重設安全性原則重設會導致電子郵件傳遞失敗的 EAS 原則。
| 注意事項 |
|---|
若要重設安全性原則的選項才會顯示出來 EAS 原則引擎套用原則。 |
EAS 原則和佈建重新整理
Exchange 伺服器可以強制使用者佈建裝置並在一段時間之後重新套用原則。 這可確保如果裝置已不再符合 EAS 原則,都會重新套用原則或裝置被視為不相容。
Windows Mail 用戶端不會強制佈建的重新整理,所以請確定發生原則變更時,給定的時間範圍內觸發佈建的重新整理 EAS 系統管理員的責任。
可以藉由設定控制佈建的重新整理重新整理間隔Exchange ActiveSync 信箱原則設定中的原則。 如需有關設定重新整理間隔的詳細資訊,請參閱檢視或設定 Exchange ActiveSync 信箱原則內容。
裝置鎖定
支援的 Windows 作業系統提供透過 BitLocker 磁碟機加密的資料保護。 與密碼原則和 MaxDevicePasswordFailedAttempts 原則結合,Windows Live Mail 提供穩固的資料保護配置來限制資料遺失裝置遺失或遭竊的風險。
雖然許多行動裝置支援的裝置內容的完整移除遠端指令收到時或使用者達到 MaxDevicePasswordFailedAttempts 臨界值時,支援的 Windows 作業系統則否。
裝置支援的 Windows 作業系統中的鎖定功能可讓使用密碼編譯鎖定所有加密的磁碟區並進入 「 修復主控台重新啟動裝置的 BitLocker 加密的裝置。 遺失或遭竊的裝置不是可讀取的除非裝置修復金鑰是用於裝置的擁有人。
裝置鎖定功能提供保護遺失或遭竊的裝置,並提供一種方法的合法使用者不小心輸入裝置鎖定狀態復原他們的裝置並繼續使用它。
自動登入行為
EAS 原則的實作可防止使用者使用自動登入功能。 自動登入允許簽署的認證帳戶加密並儲存在登錄中讓使用者的帳戶重新啟動電腦時自動簽章中使用這些預存認證。 自動登入在系統管理員才能登入電腦多次在設定期間,或當使用者安全擁有其個人電腦並想要登入更容易的能力是很有用。
EAS 原則實作時,預設功能無法自動登入並嘗試登入的使用者必須輸入其帳戶的認證。 如果想要自動登入行為,EAS 原則必須停用。
警告
停用 EAS 原則將會減少安全性效益。
如需有關此可下載的工具,請參閱,Autologon。
新功能和變更的功能
EAS 原則引擎所導入Windows Server 2012和Windows 8。
在 Windows Server 2012 和 Windows 8 中,生物識別技術登入方法不會計入 MaxDevicePasswordFailedAttempts 原則中設定的限制。 在Windows Server 2012 R2和Windows 8.1、 如果裝置已加密使用 BitLocker 或任何其他磁碟加密軟體、 生物識別技術時超過限制時如果 DisallowConvenienceLogon 原則設定未停用登入方法。
軟體需求
只在指定的 Windows 作業系統版本上支援 EAS 原則引擎和其原則實作套用至本主題開頭的清單。
其他資源
下表提供 Exchange ActiveSync 原則引擎,包括原則和應用程式開發介面的其他與相關資訊。
內容類型 |
參考 |
|---|---|
產品評估 |
本主題 |
規劃 |
無 |
部署 |
無 |
操作 |
|
疑難排解 |
無 |
安全性 |
無 |
工具及設定 |
安全性原則設定參考:密碼原則 |
社群資源 |
無 |
相關技術 |