Descrição geral do Exchange ActiveSync política motor
Aplica-se a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
Este tópico para profissionais IT descreve o motor de política do Exchange ActiveSync e apresenta uma lista de recursos para utilizá-lo.
Quis dizer…
Descrição da funcionalidade
O motor de política do Exchange ActiveSync (EAS) foi introduzido em Windows Server 2012, Windows 8, e Windows RT ativadas as aplicações aplicar políticas EAS em ambientes de trabalho, computadores portáteis e tablets para proteger os dados que são sincronizados a partir da nuvem, tal como os dados a partir de um servidor Exchange. Suporta um conjunto de núcleos de primitivos de segurança do Windows.
Aplicações práticas
O motor de política do EAS contém um conjunto de WinRT APIs que permitem aplicações da loja Windows gerir primitivos de segurança em dispositivos. As políticas suportadas pelo motor de política EAS incluem requisitos de palavra-passe, timers de inatividade, métodos de início de sessão e estado de encriptação de disco. O motor de política permite-lhe verificar o estado do dispositivo e se o estado está em conformidade com as políticas. Aplicações da loja Windows podem tirar partido do motor de política EAS APIs de verificar e impor estas políticas.
O protocolo Exchange ActiveSync (EAS) é um protocolo baseado em XML concebido para sincronizar o correio eletrónico, contactos, calendário, tarefas, notas e as políticas entre um dispositivo de cliente e o Exchange Server. O motor de política do EAS pode impor um subconjunto das políticas que foram definidos no protocolo EAS em dispositivos a executar qualquer uma das versões do sistema operativo Windows suportadas (listado no aplica-se para lista no início deste tópico).
Como funciona
Dispositivos suportados
Dispositivos, incluindo servidores, ambientes de trabalho, computadores portáteis e tablets, que executam as versões suportadas do Windows e são capaz de instalar uma aplicação de correio a partir da loja Windows pode impor políticas EAS.
Informações de dispositivo disponível
Uma aplicação de correio que está a utilizar o motor de política do EAS também tem a capacidade de ler as informações de dispositivo e comunicar com o Exchange Server. Segue-se uma lista de informações de dispositivo que estão disponíveis:
Um identificador de dispositivo exclusivo designado ID do dispositivo ou ID
Nome do computador
Sistema operativo em execução no dispositivo
Fabricante do sistema
Nome de produto do sistema
Sistema SKU
Políticas suportadas por uma aplicação de correio e o motor de política do EAS
Para sincronizar os dados a partir de um servidor Exchange, a aplicação de correio aplica primeiro políticas de segurança no dispositivo cliente. Uma aplicação de correio pode aplicar um conjunto de núcleos destas políticas utilizando os APIs de WinRT no motor de política de EAS.
O motor de política do EAS tem a capacidade para verificar as políticas aplicadas num dispositivo e verifique se as contas do dispositivo está em conformidade com estas políticas. Também-pode impor políticas relacionados com a sessão métodos, palavra-passe e inatividade do dispositivo.
O motor de política do EAS não suporta todas as políticas especificadas pelo protocolo EAS no MS-ASPROV. Particularmente, as políticas que pertencem a um armazenamento cartão access, retenção de correio e S/MIME não são suportadas. Para mais informações consulte, [MS-ASPROV]: Exchange ActiveSync: Aprovisionamento protocolo na biblioteca do MSDN. Segue-se uma lista de todas as políticas suportadas.
Nome da política EAS |
Descrição |
Correlação às políticas de grupo |
|---|---|---|
AllowSimpleDevicePassword |
Especifica se o utilizador tem permissão para utilizar conveniência início de sessão métodos como pin, palavra-passe de imagem ou biometria. |
Existem três conjuntos de políticas de grupo que controlam o pin, palavra-passe de imagem e biometria. Estas políticas tem de ser definidas para permitir que não-administrador contas passará a ser compatível com sem necessidade de uma ação de administrador. PIN Definição da política: Ativar PIN início de sessão Localização do snap-in a política de segurança Local: Computador configuração/administrativo modelos/sistema/início de sessão / Imagem Definição da política: Desativar imagem palavra-passe início de sessão Localização do snap-in a política de segurança Local: Computador configuração/administrativo modelos/sistema/início de sessão / Biometria Definições da política:
Localização do snap-in a política de segurança Local: Computador configuração/administrativo modelos/Windows componentes/biometria / Nota Para o cliente dispositivos que executem as versões suportadas do Windows, se a definição de Pin ou política de grupo de imagem é aplicada a trazer contas de administrador de não conformidade, é necessário definir a chave de registo que corresponde ao DisallowConvenienceLogon, que é HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\DisallowConvenienceLogon. |
MaxInactivityTimeDeviceLock |
Especifica o período de tempo que um dispositivo pode ir sem intervenção antes do mesmo é bloqueado do utilizador. |
Definição da política: Início de sessão interativo: Limite de inatividade da máquina Localização do snap-in a política de segurança Local: Opções de políticas/segurança do computador configuração/Windows Definições/segurança definições/Local / |
MaxDevicePasswordFailedAttempts |
Especifica o número de vezes pode ser introduzida uma palavra-passe incorreta antes do dispositivo é reiniciado. O dispositivo pode ser colocado em modo de bloqueio, que requer a chave de recuperação para desbloquear o dispositivo na presença de encriptação de disco. |
Definição da política: Início de sessão interativo: Limiar de bloqueio de conta de máquina Localização do snap-in a política de segurança Local: Opções de políticas/segurança do computador configuração/Windows Definições/segurança definições/Local / |
MinDevicePasswordComplexCharacters |
Especifica o número mínimo de carateres complexos que são necessários para uma palavra-passe. |
Definição da política: Palavra-passe tem de cumprir os requisitos de complexidade Localização do snap-in a política de segurança Local: Política de políticas/palavra-passe do computador configuração/Windows Definições/segurança definições/conta / |
MinDevicePasswordLength |
Especifica o comprimento mínimo da palavra-passe. |
Definição da política: Comprimento mínimo da palavra-passe Localização do snap-in a política de segurança Local: Política de políticas/palavra-passe do computador configuração/Windows Definições/segurança definições/conta / |
DevicePasswordExpiration |
Especifica o período de tempo após o qual uma palavra-passe de utilizador tem de ser alterada. |
Definição da política: Idade máxima da palavra-passe Localização do snap-in a política de segurança Local: Política de políticas/palavra-passe do computador configuração/Windows Definições/segurança definições/conta / |
DevicePasswordHistory |
Especifica o número de palavras-passe anterior que não podem ser reutilizados. |
Definição da política: Impor histórico de palavra-passe Localização do snap-in a política de segurança Local: Política de políticas/palavra-passe do computador configuração/Windows Definições/segurança definições/conta / |
RequireDeviceEncryption |
Especifica se for necessária encriptação de dispositivo. Se definido como True, o dispositivo tem de ser capaz de suporte e implementar encriptação passará a ser em conformidade. Nota Encriptação não pode ser ativada pelo motor de política EAS e é necessária uma ação explícita do utilizador para ativar a encriptação, se estiver não já em execução |
Não existe nenhuma política de segurança Local ou grupo de política de modelo administrativo que corresponde a esta política EAS. É necessária uma ação explícita para encriptar um dispositivo se esta política é obrigatória. |
Para mais informações sobre cada política, consulte o artigo Utilizar o Exchange ActiveSync políticas de gestão de dispositivos.
Acerca de contas e políticas de palavra-passe
Políticas de palavra-passe ajudam a impedir que um utilizador mal intencionado aceder ao conteúdo no dispositivo exigindo uma palavra-passe. Isto também acontece com computadores ou dispositivos que tenham uma ou mais contas de administrador. Porque os administradores potencialmente podem aceder a dados de outras contas, é necessário que todas as contas de administrador respeitar políticas de palavra-passe, mesmo que não são aplicadas políticas EAS.
Se políticas de palavra-passe são aplicadas, são necessárias para estar em conformidade com a palavra-passe requisitos no próximo início de sessão ou desbloquear ação administrador todos os e todas as contas de utilizador do controlo. Além disso, se uma conta de administrador tiver uma palavra-passe em branco, uma palavra-passe em conformidade com deve ser aplicada antes do computador ou dispositivo pode estar em conformidade com a sincronizar com dados do Exchange.
Protocolo EAS define DevicePasswordEnabled, que não é suportado diretamente no sistema operativo. Se um servidor Exchange define DevicePasswordEnabled, as aplicações que aplicam estas políticas são esperadas para definir algumas das políticas de palavra-passe do subjacente com valores predefinidos. Estas políticas incluem comprimento, complexidade, histórico, expiração e falha tentativas.
MaxDevicePasswordFailedAttempts está definido com um valor predefinido de 4. Na presença BitLocker ou encriptação do dispositivo, as tentativas de palavra-passe incorreta resultará num reinício seguido de bloqueio de dispositivo. Se o disco não está encriptado, o dispositivo será reiniciado para atrasar informais brute-forçar ataques.
Contas de administrador ou utilizador que estão desativadas estão definidas para alterar a palavra-passe de início de sessão seguinte. Mas porque estão desativadas, são considerados estar em conformidade.
Histórico de palavra-passe e expiração aplicam-se apenas ao tempo uma palavra-passe da conta de utilizador local é avaliada ou alterada. Estes são apenas necessários para ser imposta localmente. Estas políticas não são impostas para domínio ou contas Microsoft. Contas de domínio do Active Directory e contas Microsoft tem variadas políticas que são impostas no servidor; Por conseguinte, estes serão não vinculadas às políticas de uma política de EAS.
Comprimento da palavra-passe e complexidade suportado pelo tipos de conta
Políticas de comprimento e complexidade da palavra-passe são avaliadas e aplicadas tipos de conta diferente de forma diferente.
Contas locais
Conta local atual e todas as contas de administrador são necessárias ter uma palavra-passe, se as políticas EAS definir o comprimento mínimo da palavra-passe ou complexidade ou ambos. Falhar ao cumpre este requisito resultados em não conformidade. Quando são aplicadas regras de comprimento e complexidade da palavra-passe, todas as os controlo de utilizador e administrador contas estão marcadas para alterar a palavra-passe no próximo início de sessão para garantir a complexidade requisitos são cumpridos.
Contas locais podem suportar a política de comprimento da palavra-passe completa, mas podem suportar apenas três conjuntos de carateres, não os quatro completos que pode especificar o protocolo EAS. Se uma política de EAS está definida para exigir quatro conjuntos de carateres, todas as contas locais ficarão não conformes. Isto acontece porque o sistema operativo Windows não suporta explicitamente escolher o número de carateres complexos numa palavra-passe; em vez disso, é necessário que as palavras-passe correspondam a um determinado nível de complexidade. Este complexidade traduz para três carateres complexos. Por conseguinte, uma política EAS que requer MinDevicePasswordComplexCharacters maior que 3 não sejam suportada pelo contas do Windows.
Predefinição de contas locais para um rácio de política de palavra-passe mínimo comprimento e complexidade, de 6 e 3 quando qualquer política de palavra-passe está definida. Requisitos de complexidade são impostos quando as palavras-passe são alteradas ou criadas. Todos os ameaças de segurança através da rede em contas com uma palavra-passe em branco são mitigated. No entanto, quando um utilizador define uma palavra-passe para uma conta local, a conta é imediatamente vulnerável a palavra-passe guessing ou outros ataques de palavra-passe através da rede. Por isso, para mitigar ameaças através de acesso de rede, os requisitos mínimos estão definidos para contas locais, que fornece um nível de segurança razoável.
Contas de domínio
Contas de domínio não são avaliadas localmente para políticas de palavra-passe que são definidas pelo EAS porque é considerado que as políticas EAS e as políticas de conta de domínio pertencem à mesma autoridade conta. Estas políticas incluem complexidade, comprimento, expiração e definições de histórico.
Contas Microsoft
Nota
Contas Microsoft foram anteriormente conhecidas como contas do Windows Live ID.
Muito como uma conta de domínio, uma conta Microsoft é regida por uma autoridade de política que não está relacionado com um dispositivo local. Propriedades incluindo complexidade de palavra-passe, comprimento, expiração e histórico fazem parte da conta Microsoft.
Contas Microsoft impor um comprimento mínimo da palavra-passe de 8 caracteres e 2 conjuntos de carateres numa palavra-passe. Por conseguinte, podem cumprir contas Microsoft se a política de MinDevicePasswordLength é definida na menor ou igual a 8 caracteres e a política de MinDevicePasswordComplexCharacters é definida na menor ou igual a 2.
Uma palavra-passe de pode ainda está em conformidade com as regras de política do EAS, mas nada pode impedir que um utilizador de criar uma palavra-passe de menos-complexo para a conta Microsoft. Resultados de não conformidade se forem mais rigorosos que aqueles que contas Microsoft podem impor políticas EAS.
Expiração e histórico não são avaliados localmente para contas Microsoft.
Aplicação de política no administrador e contas de utilizador padrão
Políticas EAS são aplicadas a todas as contas de administrador, independentemente de terem ou uma aplicação configurada para utilizar políticas EAS.
Políticas EAS também são aplicadas a qualquer conta (não-administrador) padrão que tem uma aplicação configurada para utilizar políticas EAS. Estas contas são denominadas contas de utilizador do controlo. A política EAS, MaxInactivityTimeDeviceLock é a exceção porque não é aplicada às contas, mas preferia para o dispositivo.
Políticas especificadas por origens diferentes
Dado um conjunto de políticas que são impostas do Exchange ActiveSync, políticas de grupo, uma conta Microsoft ou políticas locais, o sistema operativo Windows impõe sempre a política strictest fora o conjunto de governação de políticas.
Suporte de multiutilizadores
Windows fornece para vários utilizadores num único dispositivo. Windows Live Mail também permite várias contas EAS para cada utilizador. Quando existem várias contas EAS com políticas definidas num dispositivo com qualquer versão suportada do Windows, as políticas são intercaladas o conjunto resultante mais restritivo.
Políticas EAS não se aplicam a todos os utilizadores num dispositivo Windows a executar. Windows restringe contas de utilizador padrão na sua capacidade de aceder a dados em outras perfis de utilizador ou nas localizações com privilégios. Por este motivo, as políticas de EAS não aplicar uniformly a utilizadores padrão. As políticas de aplicam apenas a utilizadores padrão que têm uma conta do Exchange configurada que requer uma política de EAS.
Contas de utilizadores com direitos de administrador tenham sempre as políticas EAS aplicadas.
Windows fornece apenas um mecanismo para aplicar uma única instância das políticas EAS. Qualquer conta que está sujeito a uma política de EAS é controlada pela política de strictest aplicada ao dispositivo.
Reposição de política
Para impedir que uma aplicação a partir de redução políticas de segurança e posing um risco ao dispositivo, uma política não pode ser reduzida, mesmo se a política já não existe no servidor. Um utilizador tem de tomar medidas para repor as políticas em caso de relaxamento de política, remoção de política, remoção de conta ou remoção de uma aplicação.
As políticas podem ser repor utilizando o painel de controlo. Clique em contas de utilizador e familiar, clique em contas de utilizador, e clique em Repor políticas de segurança. Os utilizadores também podem utilizar Repor políticas de segurança para repor uma política EAS que provoca uma falha de entrega de correio eletrónico.
Nota
A opção para repor as políticas de segurança está presente apenas se as políticas são aplicadas pelo motor de política EAS.
Atualização de políticas e aprovisionamento EAS
Servidores do Exchange podem forçar os utilizadores a aprovisionar dispositivos e reaplicar políticas após um determinado período de tempo. Isto assegura que, se o dispositivo já não está em conformidade com as políticas de EAS, as políticas são reapplied ou o dispositivo é considerado como não conformidade.
O cliente do Windows Mail não impor a atualização de aprovisionamento, pelo que é a responsabilidade do administrador EAS para se certificar de que, se ocorrer uma alteração de política, a atualização de aprovisionamento é acionada num determinado período de tempo.
A actualização de aprovisionamento pode ser controlada ao definir o Atualizar intervalo política nas definições de política de caixa de correio do Exchange ActiveSync. Para obter mais informações sobre como definir o intervalo de atualização, consulte o artigo vista ou configurar o Exchange ActiveSync caixa de correio política propriedades.
Bloquear de dispositivo
Os sistemas de operativos Windows suportados fornecer proteção de dados através da encriptação de unidade BitLocker. Quando combinadas com políticas de palavra-passe e a política de MaxDevicePasswordFailedAttempts, o Windows Live Mail fornece um esquema de proteção de dados robusta para limitar os riscos de perda de dados devido a perda de dispositivo ou roubo.
Apesar de vários dispositivos móveis suportam uma concluída remoção de dispositivo de conteúdo quando uma instrução remota é recebida ou quando o limiar de MaxDevicePasswordFailedAttempts é alcançado por um utilizador, os sistemas de operativos suportados do Windows não têm.
A funcionalidade de bloqueio de dispositivo nos sistemas de operativos suportados do Windows permite que os dispositivos que estão encriptados com BitLocker cryptographically bloquear todos os volumes encriptados e reiniciar o dispositivo para a consola da recuperação. Um dispositivo perdido ou roubado não é legível, a menos que a chave de recuperação de dispositivo está disponível para o possessor do dispositivo.
A funcionalidade de bloqueio de dispositivo fornece proteção para dispositivos perdidas ou roubadas e fornece um meio para utilizadores legítimos que introduza acidentalmente o estado de bloqueio de dispositivo para recuperar os seus dispositivos e continuar a utilizá-lo.
Comportamento de AutoLogon
Implementação de políticas EAS impede que os utilizadores de utilizar a funcionalidade de Autologon. AutoLogon permite as credenciais do assinado on account ser encriptados e armazenados no registo para que quando o reinício do computador a conta de utilizador é automaticamente iniciada sessão com as credenciais armazenadas. AutoLogon é útil quando os administradores são necessárias para iniciar sessão num computador várias vezes durante a configuração ou quando um utilizador tem possession segura do respetivo computador pessoal e desires uma capacidade mais fácil de iniciar sessão.
Quando são implementadas políticas EAS, autologon não funcionar por predefinição e o utilizador que está a tentar iniciar sessão tem de introduzir as credenciais da conta. Se for pretendido autologon comportamento, as políticas EAS devem ser desativadas.
Aviso
Desativar políticas EAS reduzirá eficácia de segurança.
Para mais informações sobre esta ferramenta transferível, consulte o artigo, Autologon.
Funcionalidade nova e alterada
O motor de política do EAS foi introduzido em Windows Server 2012 e Windows 8.
No Windows Server 2012 e Windows 8, métodos de início de sessão de Biometria não contabiliza os limites de definir a política de MaxDevicePasswordFailedAttempts. No Windows Server 2012 R2 e Windows 8.1, se o dispositivo é encriptado utilizando BitLocker ou qualquer outro disco encriptação software, biometria de início de sessão métodos não estão desativados quando o limite é excedido se a política de DisallowConvenienceLogon está definida.
Requisitos de software
O motor de política do EAS e a respetiva implementação da política só é suportada em versões do sistema operativo Windows designado no aplica-se para lista no início deste tópico.
Recursos adicionais
A tabela seguinte fornece informações adicionais e relacionadas sobre o motor de política do Exchange ActiveSync, incluindo as políticas e APIs.
Tipo de conteúdo |
Referências |
|---|---|
Avaliação do produto |
Este tópico |
Planeamento |
Nenhum |
Implementação |
Nenhum |
Operações |
Utilizar o Exchange ActiveSync políticas de gestão de dispositivos |
Resolução de Problemas |
Nenhum |
Segurança |
Nenhum |
Ferramentas e definições |
Referência de definições de política de segurança: Política de palavra-passe |
Recursos de comunidade |
Nenhum |
Tecnologias relacionadas |
Gerir o Exchange ActiveSync: Exchange 2010 ajuda Perguntas mais frequentes do Exchange ActiveSync [MS-ASPROV]: Exchange ActiveSync: Protocolo de aprovisionamento |