Exchange activesync メールボックス ポリシー エンジンの概要
適用対象: Windows 8.1,Windows Server 2012 R2,Windows Server 2012,Windows 8
IT プロフェッショナル向けには、このトピックでは、Exchange ActiveSync のポリシー エンジンを説明し、それを使用するためのリソースを一覧表示します。
以下のリソースも参照してください。
機能の説明
Exchange ActiveSync (EAS) ポリシー エンジンが導入されたWindows Server 2012、Windows 8、およびWindows RTをデスクトップ、ラップトップ、および、Exchange サーバーからのデータなどのクラウドから同期されるデータの保護をタブレットの EAS ポリシーを適用するアプリを有効にします。 これには、Windows のセキュリティ プリミティブのコア セットがサポートしています。
実際の適用例
EAS のポリシー エンジンには、デバイスでのセキュリティ プリミティブを管理する Windows ストア アプリを有効にする WinRT Api のセットが含まれています。 EAS のポリシー エンジンでサポートされているポリシーには、パスワードの要件、非アクティブ タイマー、サインイン メソッド、およびディスクの暗号化の状態が含まれます。 ポリシー エンジンを使用すると、デバイスの状態と状態が、ポリシーに準拠しているかどうかは確認できます。 Windows ストア アプリでは、EAS ポリシー エンジンを確認し、これらのポリシーを適用するに使用される Api を利用できます。
Exchange ActiveSync (EAS) プロトコルは、電子メール、連絡先、予定表、タスク、メモ、および Exchange サーバーとクライアント デバイスの間でポリシーを同期するように設計 XML ベースのプロトコルです。 EAS ポリシー エンジンは、Windows オペレーティング システムのサポートされているバージョンのいずれかの操作を実行しているデバイスでは、EAS プロトコルで定義されているポリシーのサブセットを適用することができます (に示されている、適用先このトピックの冒頭にあるリスト) です。
しくみ
サポートされるデバイス
デバイスには、EAS ポリシーを適用などのサーバー、デスクトップ、ラップトップ、タブレットの機能は、サポートされているバージョンの Windows を実行しているし、は、Windows ストアからのメール アプリをインストールするのに対応することができます。
使用可能なデバイス情報
EAS ポリシー エンジンを使用しているメール アプリでは、デバイスの情報を読み取るし、Exchange サーバーにレポートする機能もあります。 利用可能なデバイス情報の一覧を次に示します。
デバイス ID、または ID と呼ばれる一意のデバイス id
コンピューターの名前
デバイスで実行されているオペレーティング システム
システムの製造元
システムの製品名
システム SKU
メール アプリと EAS ポリシー エンジンでサポートされているポリシー
まず、メール アプリは、Exchange サーバーからのデータを同期するには、クライアント デバイスにセキュリティ ポリシーを適用します。 メール アプリでは、WinRT Api を使用して、EAS ポリシー エンジンで、これらのポリシーのコア セットを適用できます。
EAS のポリシー エンジンでは、そのデバイス上のアカウントは、これらのポリシーに準拠している場合は、デバイスとチェックで適用されるポリシーを確認する機能があります。 メソッド、パスワード、およびデバイスの非アクティブには、サインインに関連するポリシーも強制的に適用できます。
EAS のポリシー エンジンではすべてでは、MS ASPROV EAS プロトコルで指定されたポリシーのサポートはされません。 特に、ストレージ カードへのアクセス、メールの保有期間、および S/MIME に関連するポリシーはサポートされていません。 詳細については」を参照して[MS ASPROV]:Exchange ActiveSync:プロトコルのプロビジョニング、MSDN ライブラリです。 サポートされているすべてのポリシーの一覧を次に示します。
EAS ポリシー名 |
説明 |
グループ ポリシーへの関連付け |
|---|---|---|
AllowSimpleDevicePassword |
ユーザーが暗証番号 (pin)、画像のパスワードまたは生体認証のような便利なサインイン メソッドを使用できるとしているかどうかを指定します。 |
暗証番号 (pin)、ピクチャ パスワード、および生体認証を制御するグループ ポリシーの次の 3 つのセットがあります。 適合するように、管理者の操作を必要とせず、管理者以外のアカウントを許可するのには、これらのポリシーを設定する必要があります。 暗証番号 (pin) ポリシーの設定:PIN を使用したサインインをオンにする ローカル セキュリティ ポリシー スナップインでの場所: コンピューターの構成/管理用テンプレート/システム/ログオン/ 画像 ポリシーの設定:ピクチャ パスワードを使用したサインインをオフにする ローカル セキュリティ ポリシー スナップインでの場所: コンピューターの構成/管理用テンプレート/システム/ログオン/ 生体認証 ポリシー設定:
ローカル セキュリティ ポリシー スナップインでの場所: コンピューターの構成/管理用テンプレート/windows コンポーネント/生体認証/ 注意 クライアントは HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\DisallowConvenienceLogon DisallowConvenienceLogon に対応するレジストリ キーを設定する必要がある管理者以外のアカウントを準拠させるために、暗証番号 (pin)、または画像のグループ ポリシーの設定が適用されている場合は、サポートされているバージョンの Windows を実行しているデバイスでは、します。 |
MaxInactivityTimeDeviceLock |
デバイスは、ユーザーがロックされている前に、入力をしなくてもよいことができます時間の長さを指定します。 |
ポリシーの設定:対話型ログオン:コンピューターの非アクティブ状態の制限 ローカル セキュリティ ポリシー スナップインでの場所: コンピューターの構成/windows の設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション/ |
MaxDevicePasswordFailedAttempts |
デバイスを再起動する前に、正しくないパスワードを入力できる回数を指定します。 ロック モードは、ディスクの暗号化が存在する場合、デバイスのロックを解除するには、回復キーを必要とするには、デバイスを格納することがあります。 |
ポリシーの設定:対話型ログオン:コンピューター アカウントのロックアウトしきい値 ローカル セキュリティ ポリシー スナップインでの場所: コンピューターの構成/windows の設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプション/ |
MinDevicePasswordComplexCharacters |
パスワードを必要とされる複雑な文字の最小数を指定します。 |
ポリシーの設定:パスワードが複雑さの要件を満たす必要があります。 ローカル セキュリティ ポリシー スナップインでの場所: コンピューターの構成/windows の設定/セキュリティ設定/アカウント ポリシー/パスワード ポリシー/ |
MinDevicePasswordLength |
パスワードの長さを指定します。 |
ポリシーの設定:パスワードの最小文字数 ローカル セキュリティ ポリシー スナップインでの場所: コンピューターの構成/windows の設定/セキュリティ設定/アカウント ポリシー/パスワード ポリシー/ |
DevicePasswordExpiration |
その後、ユーザーのパスワードを変更する必要があります時間の長さを指定します。 |
ポリシーの設定:パスワードの有効期間 ローカル セキュリティ ポリシー スナップインでの場所: コンピューターの構成/windows の設定/セキュリティ設定/アカウント ポリシー/パスワード ポリシー/ |
DevicePasswordHistory |
再利用できない前のパスワードの数を指定します。 |
ポリシーの設定:[パスワード履歴を強制する] ローカル セキュリティ ポリシー スナップインでの場所: コンピューターの構成/windows の設定/セキュリティ設定/アカウント ポリシー/パスワード ポリシー/ |
RequireDeviceEncryption |
デバイスの暗号化が必要かどうかを指定します。 True の場合、デバイスに設定する必要がある場合をサポートし、適合するように暗号化を実装します。 注意 EAS ポリシー エンジンによって、暗号化を有効にすることはできず、実行されていない場合は、暗号化を有効に明示的なユーザー アクションが必要 |
ローカル セキュリティ ポリシーまたはこの EAS ポリシーに対応するグループ ポリシーの管理用テンプレートはありません。 このポリシーが必要な場合は、デバイスを暗号化するには、明示的なアクションが必要です。 |
各ポリシーに関する詳細については、次を参照してください。Exchange ActiveSync のポリシーを使用して、デバイス管理です。
パスワード ポリシーとアカウントについて
パスワード ポリシーでは、悪意のあるユーザーがパスワードを要求することで、デバイス上のコンテンツにアクセスするを防ぐのに役立ちます。 またこれは、コンピュータやデバイスを 1 つまたは複数の管理者アカウントを持つ場合は true です。 管理者が他のアカウントのデータにアクセスできる可能性があるためこれで、すべての管理者アカウントがパスワードのポリシーに準拠するために必要な場合でも、EAS ポリシーが適用されません。
パスワード ポリシーが適用される場合、すべての管理者アカウントとすべてのコントロールのユーザー アカウントがパスワードでは、次の要件は、サインインしたり、アクションのロックを解除に準拠するように必要です。 さらに、管理者アカウントに、空白のパスワードがある場合は、前に、コンピューターに準拠したパスワードを適用する必要があるしたり、デバイスを Exchange データと同期する準拠にすることができます。
EAS プロトコルでは、オペレーティング システムでは直接サポートされていませんが、DevicePasswordEnabled を定義します。 Exchange サーバーが DevicePasswordEnabled を設定する場合は、これらのポリシーを適用するアプリを既定値では、基になるパスワード ポリシーの一部を設定する必要があります。 これらのポリシーでは、長さ、複雑さ、履歴、有効期限を含めるし、試行に失敗しました。
MaxDevicePasswordFailedAttempts は、既定値は 4 に設定されます。 BitLocker、デバイスの暗号化が存在する場合、再起動の後にデバイスのロック不正なパスワードの試行回数が発生します。 ディスクが暗号化されていない場合、デバイスは、一般レベルのブルート フォース攻撃の速度が低下する再起動されます。
無効になっている管理者またはユーザーのアカウントは、次回のサインイン時にパスワードの変更に設定されます。 準拠するいると見なされるため、これらが無効になります。
パスワードの履歴と有効期限は、ローカル ユーザー アカウントのパスワードが評価または変更されたときにのみ適用されます。 これらを適用するローカルでのみ必要です。 これらのポリシーは、ドメイン、または Microsoft アカウントには適用されません。 Microsoft アカウントと Active Directory ドメイン アカウントは、サーバーに適用されるさまざまなポリシーを設定します。そのため、これらはバインドできません、ポリシーによって、EAS ポリシーから。
パスワードの長さや複雑さの勘定科目の種類でサポートされています。
パスワードの長さと複雑さのポリシーが評価され、異なる方法で異なるアカウントの種類に適用します。
ローカル アカウント
現在のローカル アカウントとすべての管理者アカウントは、EAS ポリシーがパスワードの長さ、複雑さ、またはその両方を設定している場合、パスワードを必要です。 この要件を満たすために失敗している非対応になります。 パスワードの長さと複雑さの規則が適用されると、複雑さの要件が満たされていることを確認する次のサインイン時にパスワードを変更するすべてのコントロール ユーザーと管理者アカウントがマークされます。
ローカル アカウントは、すべてのパスワードの長さポリシーをサポートできますが、次の 3 つの文字セットでは、完全に EAS プロトコルを指定する 4 いないのみサポートことができます。 EAS ポリシーが 4 つの文字セットを要求するように設定されている場合、すべてのローカル アカウントは非対応になります。 これは、Windows オペレーティング システムは明示的にサポートしていないためです。 パスワードの複雑な文字の数を選択します。代わりに、パスワードが、特定の複雑さのレベルを満たしている必要があります。 このような複雑さは、次の 3 つの複雑な文字に変換します。 そのため、3 を超える MinDevicePasswordComplexCharacters を必要とする EAS ポリシーは、Windows アカウントでサポートすることはできません。
6 とすべてのパスワード ポリシーが設定されている場合、3 のについて、パスワードの最小の長さと複雑さのポリシーの比率をローカル アカウントの既定値です。 パスワードが変更されたか、作成時に、複雑さの要件が適用されます。 空白のパスワードを持つアカウントでネットワーク経由ですべてのセキュリティの脅威が軽減されます。 ただし、ユーザーがローカル アカウントのパスワードを設定すると、アカウントは、ネットワーク経由でパスワード推測攻撃やその他のパスワードの攻撃に対してすぐに脆弱になりますが。 そのため、によるネットワーク アクセスの脅威を軽減する最小要件は一定レベルのセキュリティを提供する、ローカルのアカウントに対して設定されています。
ドメイン アカウント
ドメイン アカウントは、パスワード ポリシーは、EAS ポリシーとドメインのアカウント ポリシーが同じアカウント機関に属していることと見なされるので、EAS で設定されているはローカルで評価されません。 これらのポリシーには、複雑さ、長さ、有効期限、および履歴の設定が含まれます。
Microsoft アカウント
注意
Microsoft アカウントが、Windows Live ID アカウントと呼ばれていました。
かなりのようにドメイン アカウントでは、Microsoft アカウントは、ポリシーの機関は、ローカルのデバイスに関連がありませんによって決まります。 パスワードの複雑性、長さ、有効期限、および履歴を含むプロパティは、Microsoft アカウントの一部です。
Microsoft アカウントでは、パスワードの長さが 8 文字のパスワードの 2 つの文字セットを適用します。 そのため、Microsoft アカウントは、MinDevicePasswordLength ポリシーは、8 文字以下に設定されていて、MinDevicePasswordComplexCharacters ポリシーの設定では、2 と等しいかそれよりも小さい場合に準拠していることができます。
パスワードはことができます、EAS ポリシーの規則に準拠していますが、何も、ユーザーを防ぐため、Microsoft アカウントの複雑なパスワードの作成からことができます。 EAS ポリシーが Microsoft アカウントに実施できるよりも厳密な場合は、結果を非対応です。
有効期限と履歴は評価されませんローカルに Microsoft アカウントをします。
管理者と標準ユーザー アカウントに、ポリシーの適用
EAS ポリシーは、EAS ポリシーを使用するように構成するアプリケーションがあるかどうかに関係なく、すべての管理者アカウントに適用されます。
EAS ポリシーは、アプリの EAS ポリシーを使用するように構成したすべての標準 (非管理者) アカウントにも適用されます。 これらのアカウントでは、コントロールのユーザー アカウントと呼ばれます。 EAS ポリシー、MaxInactivityTimeDeviceLock は例外ですので、デバイスにではなくですが、アカウントには適用されません。
別のソースによって指定されたポリシー
Exchange ActiveSync、グループ ポリシー、Microsoft アカウントまたはローカル ポリシーによって適用されるポリシーのセットを指定するには、Windows オペレーティング システムは常に、管理ポリシーのセットから厳格なポリシーを適用します。
マルチ ユーザー サポート
Windows では、1 つのデバイスで複数のユーザーを提供します。 Windows Live メールでは、各ユーザーの EAS アカウントを複数も可能です。 ポリシーがサポートされているバージョンの Windows を実行しているデバイスの設定を持つ複数の EAS アカウントがある場合、ポリシーは、最も制限の厳しいの結果セットにマージされます。
EAS ポリシーは、Windows を実行しているデバイス上のすべてのユーザーには適用されません。 Windows では、その他のユーザー プロファイルまたは特権を持つ場所でのデータにアクセスする機能で標準ユーザー アカウントを制限します。 このため、EAS ポリシーは適用されません一様に分布を標準ユーザー。 ポリシーは、EAS ポリシーが必要な構成済みの Exchange アカウントを持っている標準のユーザーにのみ適用されます。
常に管理者権限を持つユーザーのアカウントである EAS ポリシーを適用します。
Windows のみの EAS ポリシーの 1 つのインスタンスを適用するためのメカニズムを提供します。 EAS ポリシーが適用される任意のアカウントは、デバイスに適用された厳格なポリシーによって制御されます。
ポリシーのリセット
セキュリティ ポリシーを削減し、デバイスに、上のリスクの投稿からアプリを防ぐためには、ポリシーも短くできない、ポリシーは、サーバー上に存在しない場合でもです。 ユーザーには、ポリシーの緩和、ポリシーの削除、アカウントの削除、または、アプリケーションの削除が発生した場合、ポリシーをリセットするアクションを実行する必要があります。
ポリシーは、コントロール パネルを使用してリセットすることができます。 クリックしてユーザー アカウントとファミリー セーフティ、] をクリックしてユーザー アカウント、] をクリックセキュリティ ポリシーのリセットです。 でも使用できるセキュリティ ポリシーのリセットを電子メールの配信エラーの原因となった EAS ポリシーをリセットします。
注意
セキュリティ ポリシーをリセットするオプションは、ポリシーが、EAS ポリシー エンジンによって適用される場合にのみ存在します。
EAS ポリシーおよびプロビジョニングの更新
Exchange サーバーには、ユーザーがデバイスをプロビジョニングし、一定時間後にポリシーを再適用を強制できます。 これにより、デバイスが EAS ポリシーに対応して、不要になった場合、ポリシーが再適用されますか、デバイスが非対応と見なされることができます。
Windows メール クライアントでは、ポリシーの変更が発生した場合に、指定された時間枠でプロビジョニングの更新がトリガーされるかどうかを確認するには、EAS 管理者の役割ですので、プロビジョニングの更新は適用されません。
プロビジョニングの更新を設定して制御することができます、更新間隔、Exchange ActiveSync メールボックス ポリシーの設定でのポリシーです。 更新間隔を設定する方法の詳細については、次を参照してください。ビューまたは Exchange ActiveSync メールボックス ポリシーのプロパティを構成するです。
デバイスのロック
サポートされている Windows オペレーティング システムでは、BitLocker ドライブ暗号化によるデータの保護を提供します。 パスワード ポリシーおよび MaxDevicePasswordFailedAttempts ポリシーと組み合わせると、Windows Live メールでは、デバイスの紛失や盗難によるデータの損失を伴うリスクを軽減する、堅牢なデータ保護の構成が提供されます。
デバイスのコンテンツを完全に削除をサポートする多くのモバイル デバイスが受信すると、リモートの命令はまたはサポートされている Windows オペレーティング システムがないユーザーによって MaxDevicePasswordFailedAttempts しきい値に達すると、します。
サポートされている Windows オペレーティング システムのデバイスのロック機能では、暗号的に暗号化されているすべてのボリュームをロックして、回復コンソールにデバイスを再起動を BitLocker で暗号化されているデバイスを使用します。 紛失または盗難デバイスは、デバイスの回復キーは、デバイスの所有者を使用可能な限り、読み取りができません。
デバイスのロック機能では、[デバイスの紛失または盗難にあったの保護と、正当なユーザーがデバイスを回復し、使用を続行してデバイスのロックの状態を誤ってを入力した手段を提供します。
自動ログオン動作
EAS ポリシーの実装では、ユーザーが自動ログオン機能を使用できなくなります。 自動ログオンは、保存された資格情報を暗号化し、コンピューターを再起動したときに、ユーザーのアカウントはこれらを使用して自動的に署名するために、レジストリに格納されているアカウントに、署名済みの資格情報を許可します。 自動ログオンは、管理者がサインインするコンピューターに複数回構成中に、必要な場合、またはユーザーが自分のパーソナル コンピューターを所有しているセキュリティで保護し、サインインを簡単に行えるようにを希望する場合に便利です。
EAS ポリシーが実装された場合、自動ログオンは、既定では機能しないしのサインインを試みているユーザーは、アカウントの資格情報を入力する必要があります。 自動ログオン動作を使用する場合は、EAS ポリシーが無効にする必要があります。
警告
EAS ポリシーが無効にすると、セキュリティの有効性が減少します。
このダウンロード可能なツールの詳細についてを参照してください。Autologonです。
新機能と変更された機能
EAS ポリシー エンジンが導入されたWindows Server 2012とWindows 8です。
Windows Server 2012 および Windows 8 では、生体認証サインイン メソッドは MaxDevicePasswordFailedAttempts ポリシーでの制限にはカウントされません。Windows Server 2012 R2とWindows 8.1、BitLocker またはその他のディスク暗号化ソフトウェア、サインインの方法が無効になっていない DisallowConvenienceLogon ポリシーが設定されている場合は、制限を超えたときに生体認証を使用して、デバイスが暗号化されている場合。
ソフトウェア要件
指定されている Windows オペレーティング システムのバージョンでのみ、EAS ポリシー エンジンとそのポリシーの実装はサポートされている、適用先このトピックの冒頭にある一覧です。
その他の資料
次の表では、Exchange ActiveSync ポリシー エンジンは、ポリシーなど、Api についておよびその他の関連を説明します。
コンテンツの種類 |
参考資料 |
|---|---|
製品評価 |
このトピック |
計画 |
None |
展開 |
None |
運用 |
|
トラブルシューティング |
None |
セキュリティ |
None |
ツールと設定 |
セキュリティ ポリシー設定は、次の参照です。パスワード ポリシー |
コミュニティ リソース |
None |
関連テクノロジ |
Exchange ActiveSync を管理するには。Exchange 2010 のヘルプ |