Kennwörter und Sicherheit in Outlook für iOS und Android für Exchange ServerPasswords and security in Outlook for iOS and Android for Exchange Server

In diesem Artikel wird beschrieben, wie Kennwörter und Sicherheit in Outlook für IOS und Android mit Exchange Server verwendet werden, wenn die Standardauthentifizierung mit dem Exchange ActiveSync-Protokoll verwendet wird.This article describes how passwords and security work in Outlook for iOS and Android with Exchange Server when using Basic authentication with the Exchange ActiveSync protocol.

Wichtig

Outlook für IOS und Android unterstützt die moderne Hybrid Authentifizierung für lokale Postfächer, sodass die Standardauthentifizierung nicht mehr genutzt werden muss.Outlook for iOS and Android supports hybrid Modern Authentication for on-premises mailboxes which eliminates the need to leverage basic authentication. Die in diesem Artikel enthaltenen Informationen beziehen sich nur auf die Standardauthentifizierung.The information contained in this article only pertains to basic authentication. Weitere Informationen finden Sie unter Verwenden der modernen Hybrid Authentifizierung mit Outlook für IOS und Android.For more information, please see Using hybrid Modern Authentication with Outlook for iOS and Android.

Erstellen eines Kontos und Absichern von KennwörternCreating an account and protecting passwords

Bei der ersten Ausführung der Outlook-App für iOS und Android in einer lokalen Exchange-Umgebung generiert Outlook einen zufälligen AES-128-Schlüssel. Dieser Schlüssel wird als Geräteschlüssel bezeichnet und ausschließlich auf dem Gerät des Benutzers gespeichert.The first time the Outlook app for iOS and Android is run in an Exchange on-premises environment, Outlook generates a random AES-128 key. This key is known as the device key and is stored only on the user's device.

Wenn sich ein Benutzer bei Exchange mit der Standardauthentifizierung anmeldet, werden der Benutzername, das Kennwort und ein eindeutiger AES-128-Geräteschlüssel vom Gerät des Benutzers an den Outlook-clouddienst über eine TLS-Verbindung gesendet, wobei der Geräteschlüssel in der Lauf Zeitberechnung gespeichert wird.When a user logs onto Exchange with Basic authentication, the username, password, and a unique AES-128 device key are sent from the user's device to the Outlook cloud service over a TLS connection, where the device key is held in runtime compute memory. Nach der Überprüfung des Kennworts mit dem Exchange-Server verwendet der Outlook-Dienst den Geräteschlüssel zum Verschlüsseln des Kennworts, und das verschlüsselte Kennwort wird dann im Dienst gespeichert.After verifying the password with the Exchange server, the Outlook service uses the device key to encrypt the password, and the encrypted password is then stored in the service. Der Geräteschlüssel wird in der Zwischenzeit aus dem Arbeitsspeicher gelöscht und nie im Outlook-Dienst gespeichert (der Schlüssel wird nur auf dem Gerät des Benutzers gespeichert).The device key, meanwhile, is wiped from memory and never stored in the Outlook service (the key is only stored on the user's device).

Versucht der Benutzer nun, Postfachdaten von Exchange abzurufen, übergibt das Gerät den Geräteschlüssel erneut über eine TLS-gesicherte Verbindung an den Outlook-Dienst. Dieser entschlüsselt mithilfe des Schlüssels das Kennwort im Laufzeitspeicher. Das entschlüsselte Kennwort wird zu keinem Zeitpunkt im Dienst gespeichert oder auf ein lokales Speichermedium geschrieben, und der Geräteschlüssel wird erneut endgültig aus dem Laufzeitspeicher gelöscht.Next, when a user attempts to connect to Exchange to retrieve mailbox data, the device key is again passed from the device to the Outlook service over a TLS-secured connection, where it is used to decrypt the password in runtime compute memory. Once decrypted, the password is never stored in the service or written to a local storage disk, and the device key is once again wiped from memory.

Sobald der Outlook-Dienst das Kennwort zur Laufzeit entschlüsselt hat, kann er eine Verbindung zum Exchange-Server herstellen und E-Mails, Kalender sowie andere Postfachdaten synchronisieren. Solange der Benutzer Outlook regelmäßig öffnet und benutzt, speichert der Outlook-Dienst eine Kopie des entschlüsselten Benutzerkennworts im Laufzeitspeicher, um die Verbindung zum Exchange-Server aufrechtzuerhalten.After the Outlook service has decrypted the password at runtime, the service can then connect to the Exchange server to synchronize mail, calendar, and other mailbox data. As long as the user continues to open and use Outlook periodically, the Outlook service will keep a copy of the user's decrypted password in memory to keep the connection to the Exchange server active.

Konformitäts Überlegungen beim Senden von KennwörternCompliance considerations when sending passwords

Bevor Sie alles aktivieren, was die Übertragung von Kennwörtern aus Ihrer lokalen Exchange-Umgebung ermöglicht, sollten Sie die möglichen Verzweigungen berücksichtigen.Before you enable anything that allows for the transmission of passwords from your on-premises Exchange environment, be sure to consider the possible ramifications. Beispielsweise kann das Übertragen von Kennwörtern an Outlook-Dienste dazu führen, dass die Anforderungen von PCI-DSS oder ISO/IEC 27001 nicht erfüllt werden können.For example, transmitting passwords to Outlook services might result in your inability to meet the requirements of PCI-DSS or ISO/IEC 27001.

Darüber hinaus können Sie bei der Verbindung und Synchronisierung von e-Mails, Kalendern und anderen e-Mail-bezogenen Daten Probleme bei der Einhaltung von dsgvo ausführen, wodurch die privaten Informationen eingeschränkt werden, die Sie ohne Zustimmung des Benutzers übertragen können.Furthermore, if you connect and synchronize email, calendars, and other email-related data, you might run into issues of compliance with GDPR, which restricts the private information that you can transmit without owner consent. Diese Informationen sind möglicherweise in e-Mails, Kalenderelementen usw. enthalten und wurden darin gefunden.This information might be contained in and found within emails, calendar items, and so on.

Kontoinaktivität und Löschen von Kennwörtern aus dem LaufzeitspeicherAccount inactivity and flushing passwords from memory

Nach drei Tagen Inaktivität löscht der Outlook-Dienst das entschlüsselte Kennwort aus dem Laufzeitspeicher. Ist das geschehen, kann der Outlook-Dienst nicht mehr auf das Postfach des Benutzers zugreifen. Das verschlüsselte Kennwort bleibt im Outlook-Dienst gespeichert, kann aber ohne den Geräteschlüssel nicht entschlüsselt werden. Dieser wiederum kann nur vom Gerät des Benutzers bereitgestellt werden. After three days of inactivity, the Outlook service will flush a decrypted password from memory. With the decrypted password flushed, the Outlook service is unable to access a user's mailbox. The encrypted password remains stored in the Outlook service, but decrypting it again isn't possible without the device key, which is only available from the user's device.

Es gibt drei Gründe, aus denen ein Benutzerkonto inaktiv werden kann:There are three ways a user account can become inactive:

  • Der Benutzer deinstalliert Outlook für iOS und Android.Outlook for iOS and Android is uninstalled by the user.

  • Die Aktualisierung der Hintergrund-APP ist in den Einstellungsoptionen deaktiviert, und dann wird ein erzwungenes beenden auf Outlook angewendet.Background app refresh is disabled in the Settings options, and then a force-quit is applied to Outlook.

  • Das Gerät des Benutzers hat keine Internetverbindung, sodass Outlook sich nicht mit Exchange synchronisieren kann.No internet connection is available on the device, preventing Outlook from synchronizing with Exchange.

Hinweis

Outlook wird nicht inaktiv, einfach weil der Benutzer die APP für einige Zeit nicht öffnet, beispielsweise an einem Wochenende oder im Urlaub.Outlook will not become inactive simply because the user does not open the app for some time, such as over a weekend or while on vacation. Solange die Hintergrundaktualisierung für Apps aktiviert ist (Standardeinstellung für Outlook für iOS und Android), zählen Funktionen wie Pushbenachrichtigungen und die Hintergrundsynchronisierung von E-Mails als Aktivität.As long as background app refresh is enabled (which is the default setting for Outlook for iOS and Android), functions like push notifications and background synchronization of email will count as activity.

Löschen des verschlüsselten Kennworts und des Nachrichtencaches von SpeichermedienFlushing encrypted password and message cache from hard disk

Der Outlook-Dienst löscht im wöchentlichen Rhythmus inaktive Konten. Sobald ein Benutzerkonto inaktiv wird, löscht der Outlook-Dienst sowohl das verschlüsselte Kennwort als auch alle zwischengespeicherten Postfachinhalte des Benutzers aus dem Dienst.The Outlook service flushes, or deletes, inactive accounts on a weekly schedule. After a user account becomes inactive, the Outlook service will flush both the encrypted password and all of the user's cached mailbox content out of the service.

Kombination aus Sicherheitsfunktionen auf Geräte- und DienstseiteDevice and service security combination

Der eindeutige Geräteschlüssel jedes Benutzers wird nie im Outlook-Dienst gespeichert, und das Exchange-Kennwort eines Benutzers wird nie auf dem Gerät gespeichert.Each user's unique device key is never stored in the Outlook service, and a user's Exchange password is never stored on the device. Diese Architektur bedeutet, dass für einen böswilligen Teilnehmer der Zugriff auf das Kennwort eines Benutzers erforderlich ist, wenn er sowohl nicht autorisierten Zugriff auf den Outlook-Dienst als auch physischen Zugriff auf das Gerät dieses Benutzers benötigt.This architecture means that for a malicious party to gain access to a user's password, they would need both unauthorized access to the Outlook service and physical access to that user's device.

Durch Erzwingen von PIN-Richtlinien und Verschlüsselung auf Geräten in Ihrer Organisation müsste der böswillige Anbieter auch die Verschlüsselung eines Geräts besiegen, um Zugriff auf den Geräteschlüssel zu erhalten.By enforcing PIN policies and encryption on devices in your organization, the malicious party would also have to defeat a device's encryption to get access to the device key. All das müsste passieren, bevor der Benutzer den Diebstahl oder die Kompromittierung des Geräts bemerkt und eine Remotezurücksetzung anfordert.This would all have to take place before the user noticed that the device was compromised and could request a remote wipe for the device.

Häufig gestellte Fragen zur KennwortsicherheitPassword security FAQ

Im folgenden finden Sie häufig gestellte Fragen zum Sicherheitsdesign und zu den Einstellungen für Outlook für IOS und Android, wenn die Standardauthentifizierung verwendet wird.The following are frequently asked questions regarding security design and settings for Outlook for iOS and Android when used with Basic authentication.

Werden die Benutzeranmeldeinformationen im Outlook-Dienst gespeichert, wenn ich den Outlook-Zugriff auf meinen Exchange-Server blockiere? Are user credentials stored in the Outlook service if I block Outlook from accessing my Exchange Server?

Wenn Sie den Zugriff auf Ihre lokalen Exchange-Server für Outlook für iOS und Android blockiert haben, wird bereits der erste Verbindungsversuch von Exchange abgelehnt. Die Benutzeranmeldeinformationen werden nicht vom Outlook-Clouddienst gespeichert. Die während des fehlgeschlagenen Verbindungsversuchs übermittelten Anmeldeinformationen werden sofort aus dem Laufzeitspeicher gelöscht. If you have chosen to block Outlook for iOS and Android from accessing your on-premises Exchange servers, the initial connection will be rejected by Exchange. User credentials will not be stored by the Outlook cloud service and the credentials presented in the failed connection attempt are immediately flushed from memory.

Wie werden der eindeutige Geräteschlüssel und das Benutzerkennwort während der Übermittlung an den Outlook-Dienst verschlüsselt?How is the unique device key and user password encrypted in transit to the Outlook service?

Die gesamte Kommunikation zwischen der Outlook-App und dem Outlook-Dienst läuft über eine verschlüsselte TLS-Verbindung. Die Outlook-App kann sich ausschließlich mit dem Outlook-Dienst verbinden.All communication between the Outlook app and the Outlook service is through an encrypted TLS connection. The Outlook app is capable of connecting with the Outlook service and nothing else.

Wie kann ich die Anmeldeinformationen und Postfachdaten eines Benutzers aus dem Outlook-Dienst entfernen?How do I remove a user's credentials and mailbox information from the Outlook service?

Es gibt drei Möglichkeiten, Informationen aus dem Outlook-Dienst zu entfernen:There are three ways to remove information from the Outlook service:

  • Option 1: Sie stoßen eine Remotezurücksetzung für jeden Benutzer an, der über die App eine Verbindung zu Exchange hergestellt hat.Option 1: Initiate a Remote Wipe for each user who has used the app to connect to Exchange.

  • Option 2: Sie weisen alle Benutzer an, Outlook für iOS und Android zu löschen. Anschließend werden alle Daten innerhalb von etwa 3 bis 7 Tagen aus dem Outlook-Dienst entfernt.Option 2: Have all users delete Outlook for iOS and Android. All data will be removed from the Outlook service in approximately 3-7 days.

  • Option 3: Sie weisen die Benutzer an, ihr Konto aus der Outlook-App zu entfernen und anschließend die App von ihrem Gerät zu löschen. Hierzu müssen die Benutzer in der App Einstellungen aufrufen und auf Kontoeinstellungen tippen. Dann müssen sie auf Konto auswählen und anschließend auf Konto löschen tippen.Option 3: Have users remove their accounts from the Outlook app, and then delete the app from their devices. In the app, have users go to Settings, then tap Account Settings, then Select an Account, and then tap Delete Account.

Die App ist geschlossen oder wurde deinstalliert, versucht aber immer noch, sich mit meinem Exchange-Server zu verbinden. Wie kann das sein? The app is closed or uninstalled, but I still see it connecting to my Exchange server. How is this happening?

Der Outlook-Dienst entschlüsselt die Benutzerkennwörter im Laufzeitspeicher und nutzt anschließend die entschlüsselten Kennwörter, um eine Verbindung mit Exchange herzustellen.The Outlook service decrypts user passwords in runtime compute memory and then uses the decrypted passwords to connect to Exchange. Da der Outlook-Dienst eine Verbindung mit Exchange im Namen des Geräts herstellt, um Postfachdaten abzurufen und zwischenzuspeichern, kann Sie für einen kurzen Zeitraum fortgesetzt werden, bis der Dienst erkennt, dass Outlook keine Daten mehr anfordert.Since the Outlook service is connecting to Exchange on behalf of the device to fetch and cache mailbox data, it can continue for a short period until the service detects that Outlook is no longer requesting data.

Deinstalliert der Benutzer die App, ohne zuvor die Option Konto löschen zu verwenden, bleibt der Outlook-Dienst mit dem Exchange-Server verbunden, bis das Konto inaktiv wird (siehe Abschnitt „Löschen des verschlüsselten Kennworts und des Nachrichtencaches von Speichermedien" oben).If a user uninstalls the app from their device without first using the Delete Account option, the Outlook service will stay connected to your Exchange server until the account becomes inactive, as described above in "Account inactivity and flushing passwords from memory." Um diese Aktivität zu beenden, befolge Sie die Option 1 oder Option 3 aus den obigen häufig gestellten Fragen, oder blockieren Sie die APP, wie unter Blockieren von Outlook für IOS und Androidbeschrieben.To stop this activity, follow Option 1 or Option 3 from the above FAQ, or block the app, as described in Blocking Outlook for iOS and Android.

Ist ein Benutzerkennwort in Outlook für iOS und Android weniger sicher als bei Verwendung anderer Exchange ActiveSync-Clients?Is a user password less secure in Outlook for iOS and Android than when using other Exchange ActiveSync clients?

Nein. EAS-Clients speichern die Benutzeranmeldeinformationen generell lokal auf dem Gerät des Benutzers. Wird ein Gerät gestohlen oder kompromittiert, könnte ein Angreifer also Zugang zum Kennwort des Benutzers erhalten. Dank der Sicherheitsarchitektur von Outlook für iOS und Android müsste sich der Angreifer dafür jedoch unautorisierten Zugriff auf den Outlook-Dienst und physischen Zugang zum Gerät des Benutzers verschaffen.No. EAS clients generally save user credentials locally on the user's device. This means a stolen or compromised device could result in a malicious party gaining access to the user's password. With the security design of Outlook for iOS and Android, a malicious party would need unauthorized access to the Outlook service and have physical access to a user's device.

Was passiert, wenn ein Benutzer versucht, Outlook für iOS und Android zu verwenden, nachdem seine Daten aus dem Outlook-Clouddienst gelöscht wurden?What happens if a user attempts to use Outlook for iOS and Android after their data has been deleted from the Outlook cloud service?

Wenn ein Benutzerkonto inaktiv wird (beispielsweisedurch Deaktivieren der Hintergrund-App-Aktualisierung auf dem Gerät oder nachdem das Gerät einige Zeit nicht mehr mit dem Internet verbunden ist), wird die Outlook-App beim nächsten Start der APP erneut mit dem Outlook-Dienst verbunden, und das Kennwort der Verschlüsselungs-und e-Mail-Cache Vorgang wird neu gestartet.If a user account becomes inactive (such as by disabling background app refresh on the device or having their device disconnected from the Internet for some time), the Outlook app will reconnect to the Outlook service the next time the app is launched, and the password encryption and email caching process will restart. Dies ist für den Benutzer transparent.This is all transparent to the user.

Wie werden die vorübergehend im Outlook-Dienst zwischengespeicherten Postfachdaten geschützt?How is the temporarily cached mailbox data secured while stored in the Outlook service?

Informationen dazu, wie unsere Daten aktuell geschützt werden, finden Sie im Azure Trust Center.You can read about how our data is currently protected at the Azure Trust Center. Wie bereits erwähnt, migrieren wir derzeit von Azure zu Office 365.As noted previously, we're moving from Azure to Office 365. Die Sicherheit dieser Dienste wird im Microsoft Trust Centerbehandelt.The security of these services is covered at the Microsoft Trust Center.

Gibt es eine Möglichkeit, die Verwendung der Standardauthentifizierung für lokale Postfächer mit Outlook für IOS und Android zu verhindern?Is there a way to prevent the use of Basic authentication for on-premises mailboxes with Outlook for iOS and Android?

Ja, Sie können eine moderne Hybrid Authentifizierung bereitstellen.Yes, you can deploy hybrid Modern Authentication. Weitere Informationen finden Sie unter Using hybrid Modern Authentication with Outlook for iOS and Android.For more information, see Using hybrid Modern Authentication with Outlook for iOS and Android.