Condividi tramite


Cenni preliminari sul motore di criteri di ActiveSync di Exchange

 

Si applica a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

In questo argomento per i professionisti IT viene descritto il motore dei criteri di Exchange ActiveSync e vengono elencate le risorse per il relativo utilizzo.

Argomenti correlati

Descrizione delle funzionalità

Il motore dei criteri di Exchange ActiveSync (EAS) è stato introdotto in Windows Server 2012, Windows 8, e Windows RT per abilitare le applicazioni applicare i criteri EAS sul desktop, portatili e Tablet per proteggere i dati sincronizzati dal cloud, ad esempio i dati da un Server di Exchange. Supporta un set principale di primitive di sicurezza di Windows.

Applicazioni pratiche

Il motore dei criteri EAS contiene un set di APIs WinRT che consentono alle applicazioni Windows Store gestire le primitive di sicurezza nei dispositivi. I criteri supportati dal modulo criteri EAS includono i requisiti della password, i timer di inattività, metodi di accesso e lo stato di crittografia del disco. Il motore dei criteri consente di controllare lo stato dei dispositivi e se lo stato è conforme ai criteri del. Applicazioni Windows Store possono sfruttare il motore dei criteri EAS API per verificare e applicare questi criteri.

Il protocollo Exchange ActiveSync (EAS) è un protocollo basato su XML progettato per sincronizzare posta elettronica, contatti, calendario, attività, note e criteri tra Server Exchange e un dispositivo client. Il motore dei criteri EAS può imporre un sottoinsieme dei criteri definiti nel protocollo EAS nei dispositivi che eseguono una delle versioni supportate del sistema operativo Windows (elencati nel si applica a elenco all'inizio di questo argomento).

Come funziona

Dispositivi supportati

I dispositivi, inclusi i server, desktop, portatili e Tablet, che eseguono versioni supportate di Windows e sono in grado di installare un'applicazione di posta elettronica da Windows Store può applicare i criteri EAS.

Informazioni sul dispositivo disponibile

Un'applicazione di posta elettronica che utilizza il motore dei criteri EAS ha inoltre la possibilità di leggere informazioni sul dispositivo e creare un report al Server di Exchange. Seguito è riportato un elenco di informazioni sul dispositivo che è disponibile:

  • Un identificatore univoco del dispositivo denominato ID o ID del dispositivo

  • Nome del computer

  • Sistema operativo in esecuzione sul dispositivo

  • Produttore del sistema

  • Nome del prodotto del sistema

  • Sistema SKU

Criteri supportati da un'applicazione di posta elettronica e il motore dei criteri EAS

Per sincronizzare i dati da un Server Exchange, l'applicazione di posta elettronica prima Applica criteri di sicurezza nel dispositivo client. Un'applicazione di posta elettronica è possibile applicare un set di base di questi criteri tramite WinRT APIs il motore dei criteri EAS.

Il motore dei criteri EAS è in grado di verificare la presenza di criteri applicati in un dispositivo e verificare se gli account nel dispositivo è conforme a tali criteri. Inoltre possibile applicare criteri relativi ai metodi, password e inattività dispositivo l'accesso.

Il motore dei criteri EAS non supporta tutti i criteri specificati dal protocollo EAS in MS-ASPROV. In particolare, non sono supportati criteri che riguardano l'accesso all'archiviazione smart card, il mantenimento della posta e S/MIME. Per ulteriori informazioni, vedere [MS-ASPROV]: Exchange ActiveSync: Provisioning protocollo in MSDN Library. Seguito è riportato un elenco di tutti i criteri supportati.

Nome dei criteri EAS

Descrizione

Correlazione ai criteri di gruppo

AllowSimpleDevicePassword

Specifica se l'utente è consentito utilizzare accesso metodi pratici come letture biometriche, password grafica o pin.

Sono disponibili tre set di criteri di gruppo che controllano il pin e password grafica biometrica. Per consentire gli account senza privilegi di amministratore per renderli conformi senza richiedere un intervento dell'amministratore, è necessario impostare questi criteri.

PIN

Impostazione di criteri: attivare PIN sign

Percorso nello snap-in Criteri di sicurezza locali:

Computer Configuration/modelli/sistema/accesso amministrativo /

Immagine

Impostazione di criteri: disattivare immagini password sign-in

Percorso nello snap-in Criteri di sicurezza locali:

Computer Configuration/modelli/sistema/accesso amministrativo /

Biometria

Impostazioni dei criteri:

  • Consente l'utilizzo di biometria

  • Consentire agli utenti di accedere utilizzando biometria

    Nota

    Si consiglia di impostare per garantire che tutti gli utenti non amministratori possono essere conformi.

  • Consentire agli utenti di dominio per l'accesso mediante biometria

Percorso nello snap-in Criteri di sicurezza locali:

Computer componenti modelli/Windows amministrativo/configurazione/biometrica /

Nota

Per client di dispositivi che eseguono versioni supportate di Windows, se viene applicata l'impostazione di Pin o criteri di gruppo di immagini per rendere conformi agli account non amministratore, è necessario impostare la chiave del Registro di sistema che corrisponde a DisallowConvenienceLogon, HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\DisallowConvenienceLogon.

MaxInactivityTimeDeviceLock

Specifica il periodo di tempo che senza input prima che venga bloccato utente può passare un dispositivo.

Impostazione di criteri: accesso interattivo: limite di inattività del computer

Percorso nello snap-in Criteri di sicurezza locali:

Computer Configuration/Windows impostazioni/locale/Impostazioni sicurezza/criteri opzioni di protezione /

MaxDevicePasswordFailedAttempts

Specifica quante volte è possibile immettere una password non corretta prima che il dispositivo viene riavviato.

Il dispositivo può essere inserito in modalità di blocco, che richiede la chiave di ripristino per sbloccare il dispositivo in presenza di crittografia del disco.

Impostazione di criteri: accesso interattivo: soglia di blocco degli account computer

Percorso nello snap-in Criteri di sicurezza locali:

Computer Configuration/Windows impostazioni/locale/Impostazioni sicurezza/criteri opzioni di protezione /

MinDevicePasswordComplexCharacters

Specifica il numero minimo di caratteri complessi richiesti per una password.

Impostazione di criteri: Password deve soddisfare i requisiti di complessità

Percorso nello snap-in Criteri di sicurezza locali:

Computer configurazione/Windows/protezione impostazioni impostazioni/criteri Account/criteri Password /

MinDevicePasswordLength

Specifica la lunghezza minima della password.

Impostazione di criteri: lunghezza minima password

Percorso nello snap-in Criteri di sicurezza locali:

Computer configurazione/Windows/protezione impostazioni impostazioni/criteri Account/criteri Password /

DevicePasswordExpiration

Specifica il periodo di tempo dopo il quale deve essere modificata una password utente.

Impostazione di criteri: validità massima password

Percorso nello snap-in Criteri di sicurezza locali:

Computer configurazione/Windows/protezione impostazioni impostazioni/criteri Account/criteri Password /

DevicePasswordHistory

Specifica il numero di password precedenti che non può essere riutilizzato.

Impostazione di criteri: Imponi cronologia delle password

Percorso nello snap-in Criteri di sicurezza locali:

Computer configurazione/Windows/protezione impostazioni impostazioni/criteri Account/criteri Password /

RequireDeviceEncryption

Specifica se è necessaria la crittografia dei dispositivi. Se impostato su True, il dispositivo deve essere in grado di supportare e implementare la crittografia per renderli conformi.

Nota

Crittografia non può essere abilitata per il motore dei criteri EAS e un'azione esplicita dell'utente è necessario attivare la crittografia, se non è già in esecuzione

Non esiste alcun criteri di protezione locali o modello Criteri di gruppo amministrativo che corrisponde ai criteri EAS. È richiesta un'azione esplicita per crittografare un dispositivo se questo criterio è necessario.

Per ulteriori informazioni su ciascun criterio, vedere Utilizzare criteri di Exchange ActiveSync per la gestione dei dispositivi.

Sugli account e criteri password

Criteri password aiutano a impedire che un utente malintenzionato l'accesso al contenuto nel dispositivo richiedendo una password. Questo vale anche per i computer o dispositivi che dispongono di uno o più account di amministratore. Poiché gli amministratori possono potenzialmente accedere ai dati per gli altri account, è necessario che tutti gli account di amministratore siano conformi ai criteri password, anche se non vengono applicati i criteri EAS.

Se vengono applicati criteri password, verranno richiesto di conforme alle password requisiti al successivo accedono o sbloccare azione amministratore tutti e tutti gli account utente di controllo. Inoltre, se un account amministratore dispone di una password vuota, è necessario applicare una password conformo prima che il computer o dispositivo può essere conforme per sincronizzare i dati di Exchange.

Protocollo EAS definisce DevicePasswordEnabled, che non è supportato direttamente nel sistema operativo. Se un Server di Exchange imposta DevicePasswordEnabled, le applicazioni che si applicano questi criteri sono previste per impostare alcuni dei criteri password sottostante con i valori predefiniti. Questi criteri includono lunghezza, complessità, cronologia, scadenza e non riusciti.

MaxDevicePasswordFailedAttempts viene impostato con un valore predefinito di 4. In presenza di BitLocker o la crittografia dei dispositivi, tentativi con password errata comporterà un riavvio seguito dal blocco del dispositivo. Se il disco non è crittografato, il dispositivo verrà riavviato per rallentare gli attacchi di forza bruta casuali.

Account amministratore o utente che sono disabilitati sono impostati per modificare la password al successivo accesso. Ma perché sono disabilitati, sono considerati conformi.

Scadenza e la cronologia delle password si applicano solo al momento una password dell'account utente locale viene valutata né modificata. Sono necessarie solo per essere applicate localmente. Questi criteri non vengono applicati per dominio o account Microsoft. Account Microsoft e account di dominio Active Directory siano diversi criteri che vengono applicati nel server. di conseguenza, essi non verrà associate in base ai criteri da un criterio EAS.

La lunghezza della password e la complessità supportato dai tipi di account

Criteri di lunghezza e complessità delle password vengono valutati e applicati in modo diverso in tipi di account diversi.

Account locali

Account locale corrente e tutti gli account di amministratore sono devono avere una password, se i criteri EAS Imposta lunghezza minima della password e/o complessità. Non soddisfa questo requisito comporta di non conformità. Quando vengono applicate le regole di lunghezza e complessità delle password, vengono contrassegnati tutti il controllo account utente e amministratore per modificare la password al successivo accesso per verificare che siano soddisfatti i requisiti di complessità.

Gli account locali possono supportare il criterio di lunghezza completa delle password, ma supportano solo tre set di caratteri, non le quattro complete che è possibile specificare il protocollo EAS. Se un criterio EAS è impostato su richiedono quattro set di caratteri, tutti gli account locali diventeranno non conforme. In questo modo il sistema operativo Windows non supporta in modo esplicito scegliendo il numero di caratteri complessi la password. piuttosto, è necessario che le password soddisfino un determinato livello di complessità. Questa complessità viene convertita in tre caratteri complessi. Pertanto, un criteri EAS che richiede MinDevicePasswordComplexCharacters maggiore di 3 non possono essere supportato da account di Windows.

Per impostazione predefinita gli account locali a un rapporto di criteri complessità e lunghezza minima della password di 6 e 3 quando è impostato alcun criterio di password. Requisiti di complessità vengono applicati quando le password vengono modificate o create. Vengano risolti tutti i rischi di sicurezza attraverso la rete per gli account con una password vuota. Tuttavia, quando un utente imposta una password per un account locale, l'account è immediatamente vulnerabile a indovinare la password o altri attacchi password sulla rete. Pertanto, per limitare le minacce tramite l'accesso alla rete, requisiti minimi sono impostati per gli account locali, che fornisce un livello ragionevole di sicurezza.

Account di dominio

Gli account di dominio non vengono valutati in locale per i criteri password vengono impostati tramite EAS perché si presuppone che i criteri EAS e i criteri di account di dominio appartengano alla stessa autorità di account. Questi criteri sono complessità, lunghezza, scadenza e le impostazioni di cronologia.

Account Microsoft

Nota

Account Microsoft erano precedentemente noti come account Windows Live ID.

Molto come un account di dominio, un account Microsoft è governato da un'autorità di criteri non è correlata a una periferica locale. Proprietà inclusi cronologia, lunghezza, scadenza e la complessità delle password fanno parte dell'account Microsoft.

Account Microsoft imporre una lunghezza minima della password di 8 caratteri e 2 set di caratteri in una password. Di conseguenza, gli account Microsoft possono essere conformi a se il criterio MinDevicePasswordLength è minore o uguale a 8 caratteri e i criteri di MinDevicePasswordComplexCharacters è minore o uguale a 2.

Una password può comunque conformi alle regole dei criteri EAS, ma non può impedire all'utente la creazione di una password complessa minore per l'account Microsoft. Risultati di non conformità se i criteri EAS sono più severi di quelle in grado di applicare gli account Microsoft.

Scadenza e la cronologia non vengono valutate in locale per gli account Microsoft.

Applicazione di criteri in account di amministratore e utente standard

I criteri EAS vengono applicati a tutti gli account di amministratore, indipendentemente dal fatto che dispongano di un'applicazione configurata per utilizzare i criteri EAS.

I criteri EAS vengono applicati anche a qualsiasi account (non amministratori) standard che dispone di un'applicazione configurata per utilizzare i criteri EAS. Questi account vengono chiamati gli account utente di controllo. I criteri EAS, MaxInactivityTimeDeviceLock rappresenta un'eccezione perché non viene applicato agli account, ma piuttosto al dispositivo.

Criteri specificati da origini diverse

Dato un set di criteri che vengono applicate da Exchange ActiveSync, criteri di gruppo, un account Microsoft o criteri locali, il sistema operativo Windows impone sempre i criteri rigorosi escluso il set di criteri governativi.

Supporto multiutente

Windows fornisce per più utenti in un singolo dispositivo. Windows Live Mail consente inoltre di account EAS multipli per ogni utente. Quando sono presenti account EAS multipli con criteri impostati su un dispositivo che esegue qualsiasi versione supportata di Windows, i criteri vengono uniti nel set risultante più restrittivo.

Criteri EAS non si applicano a tutti gli utenti in un dispositivo che esegue Windows. Windows limita gli account utente standard per la capacità di accedere ai dati in altri profili utente o in posizioni privilegiate. Per questo motivo, i criteri EAS non può essere applicata agli utenti standard. I criteri si applicano solo agli utenti standard che dispongono di un account di Exchange configurato che richiede un criteri EAS.

Gli account per gli utenti con diritti di amministratore hanno sempre applicati i criteri EAS.

Windows fornisce solo un meccanismo per applicare una singola istanza dei criteri EAS. Tutti gli account che è soggetto a un criterio EAS è controllato dai criteri rigorosi applicati al dispositivo.

Reimpostazione dei criteri

Per evitare che un'applicazione da ridurre i criteri di sicurezza e che presentano un rischio per il dispositivo, un criterio non può essere ridotto, anche se il criterio non esiste più nel server. Un utente deve intervenire per reimpostare i criteri in caso di minore rigidità dei criteri, la rimozione dei criteri, rimozione di un account o una rimozione app.

I criteri possono essere reimpostati mediante il pannello di controllo. Fare clic su gli account utente e protezione per la famiglia, fare clic su gli account utente, fare clic su reimpostare i criteri di sicurezza. Gli utenti possono inoltre utilizzare reimpostare i criteri di sicurezza per reimpostare un criteri EAS che causa un errore di recapito tramite posta elettronica.

Nota

L'opzione per reimpostare i criteri di sicurezza è presente solo se i criteri vengono applicati dal modulo criteri EAS.

Aggiornamento di criteri e provisioning EAS

Server di Exchange possono imporre agli utenti di eseguire il provisioning di dispositivi e riapplicare i criteri dopo un determinato periodo di tempo. Ciò garantisce che se il dispositivo non è conforme ai criteri EAS, i criteri vengono riapplicati o il dispositivo è considerato non conforme.

Client di posta elettronica di Windows non viene applicato l'aggiornamento di provisioning, pertanto è responsabilità dell'amministratore EAS per assicurarsi che se si verifica una modifica dei criteri, l'aggiornamento di provisioning deve essere attivato in un determinato intervallo di tempo.

Un aggiornamento provisioning può essere controllato impostando il l'intervallo di aggiornamento criteri nelle impostazioni del criterio cassetta postale di Exchange ActiveSync. Per ulteriori informazioni sull'impostazione dell'intervallo di aggiornamento, vedere Proprietà criterio cassetta postale di configurare Exchange ActiveSync o una vista.

Blocco del dispositivo

I sistemi operativi Windows supportati la protezione dei dati tramite crittografia unità BitLocker. Se combinato con i criteri password e il criterio MaxDevicePasswordFailedAttempts, Windows Live Mail fornisce uno schema di protezione dati per ridurre il rischio di perdita di dati a causa di furto o perdita di dispositivo.

Sebbene molti dispositivi mobili supportano una rimozione completa del dispositivo del contenuto quando viene ricevuta un'istruzione remota o quando viene raggiunta la soglia di MaxDevicePasswordFailedAttempts da un utente, i sistemi operativi Windows supportati non.

La funzionalità di blocco del dispositivo in sistemi operativi Windows supportati consente ai dispositivi che vengono crittografati con BitLocker da bloccare tutti i volumi crittografati e riavviare il dispositivo nella console di ripristino. Un dispositivo perso o rubato non è leggibile, a meno che la chiave di ripristino del dispositivo è disponibile per il possessore del dispositivo.

La funzionalità di blocco del dispositivo fornisce protezione per i dispositivi persi o rubati e fornisce un mezzo per utenti legittimi accidentalmente immettere lo stato di blocco del dispositivo per ripristinare il dispositivo e continuare a utilizzarlo.

Comportamento di accesso automatico

Implementazione dei criteri EAS impedisce agli utenti di utilizzare la funzionalità di accesso automatico. Accesso automatico consente le credenziali di firmata su account per essere crittografate e archiviate nel Registro di sistema, pertanto quando il computer viene riavviato l'account dell'utente viene automaticamente connesso utilizzando quelle credenziali archiviate. Accesso automatico è utile quando gli amministratori devono accedere a un computer più volte durante la configurazione o quando un utente è sicuro possesso del proprio computer e richiede più possibilità di accedere.

Quando vengono implementati i criteri EAS, accesso automatico non funziona per impostazione predefinita e l'utente che sta tentando di accedere è necessario immettere le credenziali dell'account. Se si desidera il comportamento di accesso automatico, è necessario disabilitare i criteri EAS.

Avviso

Disabilitare i criteri EAS consente di ridurre l'efficacia di sicurezza.

Per ulteriori informazioni su questo strumento scaricabile, vedere, Autologon.

Funzionalità nuove e modificate

Il motore dei criteri EAS è stato introdotto in Windows Server 2012 e Windows 8.

In Windows Server 2012 e Windows 8, metodi di accesso biometrico non vengono contano i limiti impostati nei criteri di MaxDevicePasswordFailedAttempts. In Windows Server 2012 R2 e Windows 8.1, se il dispositivo viene crittografato con BitLocker o qualsiasi altro disco crittografia software, biometrica metodi di accesso non vengono disabilitati quando il limite viene superato se il criterio DisallowConvenienceLogon è impostato.

Requisiti software

Il motore dei criteri EAS e la relativa implementazione di criteri è supportato solo nelle versioni del sistema operativo Windows designato nel si applica a elenco all'inizio di questo argomento.

Risorse aggiuntive

Nella tabella seguente fornisce informazioni aggiuntive e correlate il motore dei criteri di Exchange ActiveSync, compresi i criteri e le API.

Tipo di contenuto

Riferimenti

Valutazione del prodotto

In questo argomento

Pianificazione

Nessuno

Distribuzione

Nessuno

Operazioni

Utilizzare criteri di Exchange ActiveSync per la gestione dei dispositivi

Risoluzione dei problemi

Nessuno

Sicurezza

Nessuno

Strumenti e impostazioni

Riferimento di impostazioni di criteri di sicurezza: criteri Password

Risorse della community

Nessuno

Tecnologie correlate

Gestione Exchange ActiveSync: Guida Exchange 2010

Domande frequenti su Exchange ActiveSync

[MS-ASPROV]: Exchange ActiveSync: protocollo di Provisioning