Exchange ActiveSync 策略引擎概述
适用对象:Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
本主题面向 IT 专业人员介绍 Exchange ActiveSync 策略引擎并列出使用它的资源。
是否就是…
功能描述
中引入了 Exchange ActiveSync (EAS) 策略引擎Windows Server 2012,Windows 8,和Windows RT若要使应用程序能够在台式计算机、 便携式计算机和平板电脑来保护从云中,如从 Exchange 服务器的数据同步的数据上应用 EAS 策略。 它支持 Windows 安全基元的一组核心。
实际的应用程序
EAS 策略引擎包含一组启用 Windows 应用商店应用程序来管理设备上的安全基元的 WinRT Api。 EAS 策略引擎支持的策略包括密码要求、 非活动计时器、 登录方法和磁盘加密状态。 策略引擎使您能够检查设备状态和状态是否符合您的策略。 Windows 应用商店应用程序可以利用 EAS 策略引擎 Api 来验证和强制执行这些策略。
Exchange ActiveSync (EAS) 协议是基于 XML 的协议,旨在同步电子邮件、 联系人、 日历、 任务、 注释和 Exchange 服务器和客户端设备之间的策略。 EAS 策略引擎可以强制实施运行任何 Windows 操作系统的受支持版本的设备上的 EAS 协议中定义的策略子集 (中列出应用于本主题开头的列表)。
工作原理
支持的设备
设备,包括服务器、 台式计算机、 便携式计算机和平板电脑、 正在运行支持的 Windows 版本的并且能够从 Windows 应用商店安装邮件应用程序可强制实施 EAS 策略。
可用的设备信息
邮件应用程序正在使用 EAS 策略引擎还具有读取设备信息并将其报告为 Exchange 服务器的能力。 以下是可用的设备信息的列表:
唯一的设备标识符 (称为设备 ID 或 ID
计算机的名称
在设备上运行的操作系统
系统制造商
系统产品名称
系统 SKU
邮件应用程序和 EAS 策略引擎支持的策略
若要同步从 Exchange 服务器的数据,邮件应用程序首先将安全策略应用客户端设备上。 邮件应用程序可以通过在 EAS 策略引擎中使用 WinRT Api 来应用这些策略的一组核心。
EAS 策略引擎具有的功能来检查如果该设备上的帐户符合这些策略应用于设备并检查的策略。 它还可强制进行签名的方法、 密码和设备处于不活动状态的相关的策略。
EAS 策略引擎不支持的所有 MS ASPROV 中的 EAS 协议由指定的策略。 具体来说,是不支持适用于存储卡访问、 邮件保留和 S/MIME 的策略。 有关详细信息,请参阅,[MS ASPROV]:Exchange ActiveSync:设置协议MSDN 库中。 下面是受支持的所有策略的列表。
EAS 策略名称 |
说明 |
对组策略的相关 |
---|---|---|
AllowSimpleDevicePassword |
指定是否允许用户使用如 pin、 图片密码或生物识别登录方法方便起见。 |
有三个集的控制 pin、 图片密码和生物识别的组策略。 这些策略必须设置为允许非管理员帐户而无需管理员操作变得符合。 Pin 策略设置:启用 PIN 登录 本地安全策略管理单元中的位置: 计算机配置/管理的模板/系统/登录 / 图片 策略设置:将关闭图片密码登录 本地安全策略管理单元中的位置: 计算机配置/管理的模板/系统/登录 / 生物识别 策略设置:
本地安全策略管理单元中的位置: 计算机配置/管理模板 /windows 组件/生物识别 / 备注 为客户端运行的受支持的版本的 Windows 中,如果应用了 Pin 或图片组策略设置以使非管理员帐户符合的设备,则必须将对应的注册表项设置为 DisallowConvenienceLogon,即 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\DisallowConvenienceLogon。 |
MaxInactivityTimeDeviceLock |
指定设备可能会没有用户输入之前处于锁定状态的情况下的时间的长度。 |
策略设置:交互式登录:计算机非活动限制 本地安全策略管理单元中的位置: 计算机配置 /windows 设置/安全设置/本地策略/安全选项 / |
MaxDevicePasswordFailedAttempts |
指定在设备重新启动之前可以输入错误密码的次数。 可能会处于锁定模式,需要恢复密钥来解锁设备在出现磁盘加密的情况下使该设备。 |
策略设置:交互式登录:计算机帐户锁定阈值 本地安全策略管理单元中的位置: 计算机配置 /windows 设置/安全设置/本地策略/安全选项 / |
MinDevicePasswordComplexCharacters |
指定的最小密码所需的复杂字符数。 |
策略设置:密码必须符合复杂性要求 本地安全策略管理单元中的位置: 计算机配置 /windows 设置/安全设置中的帐户策略/密码策略 / |
MinDevicePasswordLength |
指定的最短密码长度。 |
策略设置:最短密码长度 本地安全策略管理单元中的位置: 计算机配置 /windows 设置/安全设置中的帐户策略/密码策略 / |
DevicePasswordExpiration |
指定用户密码必须更改后的时间的长度。 |
策略设置:最长密码期限 本地安全策略管理单元中的位置: 计算机配置 /windows 设置/安全设置中的帐户策略/密码策略 / |
DevicePasswordHistory |
指定以前不能重复使用的密码数。 |
策略设置:强制密码历史 本地安全策略管理单元中的位置: 计算机配置 /windows 设置/安全设置中的帐户策略/密码策略 / |
RequireDeviceEncryption |
指定是否需要设备加密。 如果设置为 True,该设备必须能够支持和实现加密变为符合。 备注 不能通过 EAS 策略引擎,请启用加密和一个显式用户操作后才可以启用加密,如果未运行 |
没有本地安全策略或组策略管理模板对应于此 EAS 策略。 程序执行显式操作需要此策略是否需要对设备进行加密。 |
有关每个策略的详细信息,请参阅使用 Exchange ActiveSync 策略进行设备管理。
有关密码策略和帐户
密码策略有助于防止恶意用户访问通过要求提供密码的设备上的内容。 这也是适用于计算机或设备具有一个或多个管理员帐户。 管理员可以潜在地访问数据的其他帐户,因为它需要所有管理员帐户都符合密码策略,即使是不会应用 EAS 策略。
如果应用密码策略,所有管理员和控件的所有用户帐户都将需要符合的密码要求在下次登录或解锁操作。 此外,如果管理员帐户具有空密码,必须在计算机之前应用符合密码或设备可以是符合与 Exchange 数据进行同步。
EAS 协议定义 DevicePasswordEnabled,不直接支持操作系统中。 如果 Exchange 服务器设置 DevicePasswordEnabled,都应将这些策略应用的应用程序设置某些基础的密码策略使用的默认值。 这些策略包括长度、 复杂性、 历史记录、 过期和失败的尝试。
MaxDevicePasswordFailedAttempts 设置具有默认值为 4。 BitLocker 或设备加密,如果存在不正确的密码尝试将导致重新启动后跟设备锁定。 如果未加密磁盘,将重新启动设备以减慢休闲暴力攻击。
处于禁用状态的管理员或用户帐户将设置为在下次登录时更改密码。 但它们将被禁用,因为它们被认为是符合。
仅在本地用户帐户密码已计算或更改的时间将应用密码历史记录和过期。 它们只需本地强制实施。 对于域或 Microsoft 帐户不强制执行这些策略。 Microsoft 帐户和 Active Directory 域帐户具有服务器; 强制的不同策略因此,它们将不绑定由策略从 EAS 策略。
密码长度和复杂性帐户类型支持
密码长度和复杂性策略计算并以不同的方式应用于不同的帐户类型。
本地帐户
当前的本地帐户和所有管理员帐户则要求拥有密码,如果 EAS 策略设置最小密码长度或复杂性。 未能满足此要求会导致不符合性。 密码长度和复杂性规则应用时,所有的控制用户和管理员帐户被标记,以便更改在下一步登录的密码以确保满足复杂性要求。
本地帐户可以支持完整的密码长度策略,但它们只能支持三字符组,不可以指定 EAS 协议的完整四个。 如果 EAS 策略设置需要以下四个字符集,则所有本地帐户将成为不符合标准。 这是因为 Windows 操作系统不显式支持在密码 ; 选择复杂字符数相反,它要求密码符合某些复杂性级别。 这种复杂性可以转换为三个复杂字符数。 因此,需要 MinDevicePasswordComplexCharacters 大于 3 的 EAS 策略不能支持的 Windows 帐户。
本地帐户为最小密码长度和复杂性策略比率为 6 和 3 的任何密码策略设置时的默认值。 更改或创建密码时强制执行复杂性要求。 使用空白密码的帐户在网络上的所有安全威胁会得到都缓解。 但是,当用户设置本地帐户的密码,该帐户是立即容易遭受密码猜测或其他密码攻击通过网络。 因此,若要缓解通过网络访问的威胁,最低要求是设置对于本地帐户,请提供合理的安全级别。
域帐户
域帐户不会本地评估 EAS 因为假定 EAS 策略和域帐户策略属于同一个帐户颁发机构设置的密码策略中。 这些策略包括复杂性、 长度、 过期和历史记录设置。
Microsoft 帐户
备注
Microsoft 帐户是以前称为 Windows Live ID 帐户。
得多域帐户,如 Microsoft 帐户由管理与本地设备无关的策略颁发机构。 属性包括密码复杂性、 长度、 过期和历史记录是 Microsoft 帐户的一部分。
Microsoft 帐户强制实施的最短密码长度为 8 个字符和密码中的 2 字符集。 因此,Microsoft 帐户可以遵循如果 MinDevicePasswordLength 策略设置为小于或等于 8 个字符,并且 MinDevicePasswordComplexCharacters 策略设置为小于或等于 2。
密码仍符合 EAS 策略规则,但执行任何操作可以防止用户创建的 Microsoft 帐户不太复杂密码。 如果 EAS 策略比 Microsoft 帐户可以强制实施更严格的不符合性结果。
过期和历史记录不会评估本地 Microsoft 帐户。
对管理员和标准用户帐户的策略应用程序
EAS 策略将应用于所有的管理员帐户,无论它们是否有应用程序配置为使用 EAS 策略。
EAS 策略也适用于已配置为使用 EAS 策略的应用程序的任何标准 (非管理员) 帐户。 这些帐户被称为控制用户帐户。 EAS 策略,MaxInactivityTimeDeviceLock 是因为未应用到帐户,但而是与该设备的异常。
指定由不同的源策略
给定一组由 Exchange ActiveSync、 组策略、 Microsoft 帐户或本地策略实施的策略,Windows 操作系统的系统总是强制实施出的管理策略组严格的策略。
多用户支持
Windows 提供了针对多个用户的单一设备上。 Windows Live Mail 还允许为每个用户的多个 EAS 帐户。 当存在多个具有在运行任何受支持的版本的 Windows 设备上设置策略的 EAS 帐户时,策略将被合并到最具限制性的结果集。
EAS 策略不适用于运行 Windows 的设备上的所有用户。 Windows 将在其能够访问其他用户配置文件中或在特权位置中的数据限制标准用户帐户。 为此,EAS 策略不适用于统一标准用户。 这些策略仅适用于具有配置的 Exchange 帐户 EAS 策略所需的标准用户。
具有管理员权限的用户帐户始终具有 EAS 策略应用。
Windows 仅提供了一种机制来应用 EAS 策略的一个实例。 受到 EAS 策略的任何帐户通过严格的策略应用到设备控制。
策略重置
若要防止应用程序从从而降低了安全策略并发布到该设备的风险,策略不能减小,即使该策略不再存在于服务器上。 用户必须采取操作来重置在策略放宽了、 策略删除、 帐户删除或应用程序删除的策略。
策略可以通过使用控制面板重置。 单击用户帐户和家庭安全设置,单击用户帐户,然后单击重置安全策略。 用户还可以使用重置安全策略以电子邮件传递失败将导致 EAS 策略重置。
备注
若要重置安全策略的选项是通过 EAS 策略引擎将策略应用上才存在。
EAS 策略和设置刷新
Exchange 服务器可以强制用户来设置设备并在一段时间后重新应用策略。 这可确保如果该设备是不再符合 EAS 策略,都将重新应用这些策略或设备将被视为不符合。
Windows Mail 客户端并不强制设置的刷新,因此它是要确保如果发生策略更改,则设置刷新在给定的时间范围内触发的 EAS 管理员的责任。
可以通过设置控制设置的刷新刷新间隔中的 Exchange ActiveSync 邮箱策略设置的策略。 有关设置的刷新间隔的详细信息,请参阅查看或配置 Exchange ActiveSync 邮箱策略属性。
设备锁定
支持的 Windows 操作系统提供通过 BitLocker 驱动器加密的数据保护。 当与密码策略和 MaxDevicePasswordFailedAttempts 策略结合使用,Windows Live Mail 提供功能强大的数据保护方案来限制由于设备丢失或被盗而导致数据丢失的风险。
尽管许多移动设备支持的设备的内容完全删除收到时的远程指令或支持的 Windows 操作系统不达到 MaxDevicePasswordFailedAttempts 阈值后由用户,这样做。
支持的 Windows 操作系统设备锁定功能可以使加密使用 BitLocker 加密锁定所有加密的卷和进入故障恢复控制台中重新启动设备的设备。 除非设备恢复密钥是可用于设备的私钥的持有人丢失或被盗设备不可读。
设备锁定功能为丢失或被盗的设备提供保护并提供了一种合法用户意外地输入设备锁定状态中恢复其设备并继续使用它。
Autologon 行为
实现 EAS 策略可防止用户使用自动登录功能。 自动登录允许的已签名的凭据的帐户进行加密,因此在重新启动计算机时该用户帐户自动登录中使用的那些存储在注册表中存储的凭据。 要求管理员登录到一台计算机多次在配置期间,或者在用户具有其个人计算机的安全所有权和想要更容易能够在登录时自动登录非常有用。
EAS 策略实现时,默认情况下不能正常自动登录并尝试登录的用户必须输入其帐户的凭据。 如果需要自动登录行为时,必须禁用 EAS 策略。
警告
禁用 EAS 策略会减少安全的效率。
此可下载的工具,有关详细信息请参阅,Autologon。
新功能和更改的功能
中引入了 EAS 策略引擎Windows Server 2012和Windows 8。
在 Windows Server 2012 和 Windows 8 中,生物识别登录方法不算 MaxDevicePasswordFailedAttempts 策略中设置的限制。 在Windows Server 2012 R2和Windows 8.1,如果使用 BitLocker 或任何其他磁盘加密软件,如果设置 DisallowConvenienceLogon 策略超出限制时,将不禁用登录方法的生物识别设备进行加密。
软件要求
仅在版本中指定的 Windows 操作系统上支持 EAS 策略引擎和其策略的实施应用于本主题开头的列表。
其他资源
下表提供有关 Exchange ActiveSync 策略引擎,包括策略和 Api 的其他及相关信息。
内容类型 |
参考 |
---|---|
产品评估 |
本主题 |
规划 |
无 |
部署 |
无 |
操作 |
|
疑难解答 |
无 |
安全 |
无 |
工具和设置 |
安全策略设置参考资料:密码策略 |
社区资源 |
无 |
相关技术 |