了解 Exchange ActiveSync 的安全性

發行項
06/13/2016

適用版本： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間： 2010-01-25

當您允許行動電話或其他行動裝置與 Exchange 2010 伺服器進行同步處理時，也就允許將敏感的公司資訊儲存在容易遺失或失竊的小型可攜式裝置上。在部署 Exchange ActiveSync 前，建議您務必熟悉可供您設定以保護公司資訊安全的各項安全性設定。您可以設定 Exchange ActiveSync 的驗證方法、部署 Exchange ActiveSync 信箱原則，以及使用遠端裝置資料抹除來移除遺失或失竊之行動電話上的個人資料和公司資料。

Exchange ActiveSync 伺服器安全性

有幾項您可在執行 Exchange ActiveSync 的伺服器上執行的安全性相關工作。其中一項最重要的工作是設定驗證方法。Exchange ActiveSync 會在執行 Exchange 2010 且已安裝 Client Access server role 的電腦上執行。此伺服器角色會以預設的自行簽署數位憑證安裝。雖然 Exchange ActiveSync 支援自行簽署憑證，但此憑證不是最安全的驗證方法。若要增加安全性，請考慮從協力廠商商業憑證授權單位 (CA) 或信任的 Windows 公開金鑰基礎結構 (PKI) 憑證授權單位部署信任的憑證。如需如何設定信任之數位憑證的相關資訊，請參閱設定 Exchange ActiveSync 的 SSL。

選取 Exchange ActiveSync 的驗證方法

除了部署信任的數位憑證外，您還應該考慮適用於 Exchange ActiveSync 的不同驗證方法。安裝 Client Access server role 後，依預設會將 Exchange ActiveSync 設定為搭配使用基本驗證與安全通訊端層 (SSL)。若要提供較高的安全性，請考慮將驗證方法變為摘要式驗證或 Windows 整合式驗證。

裝置安全性

除了增強 Exchange ActiveSync 伺服器的安全性外，您還應該考慮增強使用者行動電話的安全性。有數種方法可用來增強行動電話的安全性。

Exchange ActiveSync 信箱原則

Exchange 2010 的 Exchange ActiveSync 可讓您建立 Exchange ActiveSync 信箱原則，將一組常用的安全性設定套用至一群使用者。這些設定值包括下列各項：

需要密碼
指定最小的密碼長度
需要在密碼中使用數字或特殊字元
指定行動電話可閒置的時間，超過此時間就會要求使用者重新輸入密碼
指定在輸入特定次數的錯誤密碼之後，即清除行動電話或行動裝置的資料

如需 Exchange ActiveSync 信箱原則的相關資訊，請參閱使用原則管理 Exchange ActiveSync。

遠端裝置資料抹除

行動電話可能儲存了屬於您組織的機密資料，並能存取組織的許多資源。若行動電話遺失或失竊，便會洩漏資料。遠端裝置資料抹除功能可讓 Exchange 伺服器將行動電話設定為，當行動電話再次連接至 Exchange 伺服器時刪除所有資料。遠端裝置資料抹除功能可以有效地移除行動電話中所有同步處理的資訊和個人設定。若行動電話遺失或失竊，這個功能十分有用，否則會洩漏資料。

警告：
執行遠端裝置資料抹除後，將難以進行資料復原。但在執行資料移除程序後，行動電話或其他行動裝置並無法達到全新完全沒有殘餘資料的狀態。使用進階工具仍然有可能復原行動電話或其他行動裝置中的資料。

如需遠端裝置清除功能的相關資訊，請參閱了解遠端裝置資料清除。

共用方式為