Datenschutz, Berechtigungen und Sicherheit für Outlook-Add-InsPrivacy, permissions, and security for Outlook add-ins

Endbenutzer, Entwickler und Administratoren können die mehrstufigen Berechtigungsstufen des Sicherheitsmodells für Outlook-Add-Ins verwenden, um den Datenschutz und die Leistung zu steuern.End users, developers, and administrators can use the tiered permission levels of the security model for Outlook add-ins to control privacy and performance.

In diesem Artikel werden die Berechtigungen beschrieben, die Outlook-Add-Ins anfordern können, und anschließend das Sicherheitsmodell aus den folgenden Blickwinkeln betrachtet:This article describes the possible permissions that Outlook add-ins can request, and examines the security model from the following perspectives:

  • Office Store: Add-In-IntegritätOffice Store: add-in integrity

  • Endbenutzer: Überlegungen hinsichtlich Datenschutz und LeistungEnd-users: privacy and performance concerns

  • Entwickler: Einschränkungen bei der Auswahl von Berechtigungen und der RessourcennutzungDevelopers: permissions choices and resource usage limits

  • Administratoren: Berechtigungen zum Festlegen von LeistungsschwellenwertenAdministrators: privileges to set performance thresholds

BerechtigungsmodellPermissions model

Da die Wahrnehmung von Add-In-Sicherheit durch Kunden die Add-In-Implementierung beeinträchtigen kann, basiert die Outlook-Add-In-Sicherheit auf einem abgestuften Berechtigungsmodell. Ein Outlook-Add-In würde die erforderliche Berechtigungsstufe offen legen und den möglichen Zugriff und die Aktionen angeben, die das Add-In für die Mailboxdaten des Kunden vornehmen kann.Because customers' perception of add-in security can affect add-in adoption, Outlook add-in security relies on a tiered permissions model. An Outlook add-in would disclose the level of permissions it needs, identifying the possible access and actions that the add-in can make on the customer's mailbox data.

Die Manifest-Schemaversion 1.1 enthält vier Stufen von Berechtigungen.Manifest schema version 1.1 includes four levels of permissions.

Tabelle 1. Add-In-BerechtigungsstufenTable 1. Add-in permission levels

BerechtigungsstufePermission level Wert in der Manifestdatei des Outlook-Add-InsValue in Outlook add-in manifest
EingeschränktRestricted EingeschränktRestricted
Element lesenRead item ReadItemReadItem
Element lesen/schreibenRead/write item ReadWriteItemReadWriteItem
Mailbox lesen/schreibenRead/write mailbox ReadWriteMailboxReadWriteMailbox

Die vier Berechtigungsstufen sind kumulativ: Die Berechtigung Mailbox lesen/schreiben schließt die Berechtigungen Element lesen/schreiben, Element lesen und Eingeschränkt ein, Element lesen/schreiben schließt Element lesen und Eingeschränkt ein, und die Berechtigung Element lesen schließt Eingeschränkt ein.The four levels of permissions are cumulative: the read/write mailbox permission includes the permissions of read/write item, read item and restricted, read/write item includes read item and restricted, and the read item permission includes restricted.

Die folgende Abbildung zeigt die vier Ebenen der Berechtigungen und beschreibt die einzelnen Ebenen der Endbenutzer, Entwickler und Administrator angebotenen Funktionen. Weitere Informationen zu diesen Berechtigungen finden Sie unter Endbenutzer: Überlegungen zu Datenschutz und Leistung, Entwickler: Berechtigungsoptionen und Einschränkungen beim Ressourceneinsatz, und Grundlegendes zu Outlook-add-in-Berechtigungen.The following figure shows the four levels of permissions and describes the capabilities offered to the end user, developer, and administrator by each tier. For more information about these permissions, see End users: privacy and performance concerns, Developers: permission choices and resource usage limits, and Understanding Outlook add-in permissions.

Beziehung zwischen dem vierstufigen Berechtigungsmodell und dem Endbenutzer, Entwickler und AdministratorRelating the four-tier permission model to the end user, developer, and administrator

4-Stufen-Berechtigungsmodell für Mail-Apps-Schema v1.1

Office Store: Add-in-IntegritätOffice Store: add-in integrity

Der Office Store hostet Add-Ins, die von Endbenutzern und Administratoren installiert werden können. Der Office Store erzwingt die folgenden Maßnahmen, um die Integrität dieser Outlook-Add-Ins zu erhalten:The Office Store hosts add-ins that can be installed by end users and administrators. The Office Store enforces the following measures to maintain the integrity of these Outlook add-ins:

  • Der Hostserver eines Add-ins muss für die Kommunikation immer Secure Socket Layer (SSL) verwenden.Requires the host server of an add-in to always use Secure Socket Layer (SSL) to communicate.

  • Erfordert, dass Entwickler einen Identitätsnachweis, eine vertragliche Vereinbarung und eine entsprechende Datenschutzrichtlinie vorlegen, um Add-ins einreichen zu können.Requires a developer to provide proof of identity, a contractual agreement, and a compliant privacy policy to submit add-ins.

  • Archiviert Add-Ins im schreibgeschützten Modus.Archives add-ins in read-only mode.

  • Unterstützt ein User-Review-System für verfügbare Add-Ins, um eine selbstüberwachende Community zu fördern.Supports a user-review system for available add-ins to promote a self-policing community.

Endbenutzer: Überlegungen zu Datenschutz und LeistungEnd users: privacy and performance concerns

Das Sicherheitsmodell berücksichtigt die Sicherheits-, Datenschutz- und Leistungsanforderungen von Endbenutzern auf folgende Weise:The security model addresses security, privacy, and performance concerns of end users in the following ways:

  • Die Nachrichten des Endbenutzers, die durch das Information Rights Management (IRM) von Outlook geschützt werden, interagieren nicht mit Outlook-Add-Ins.End user's messages that are protected by Outlook's Information Rights Management (IRM) do not interact with Outlook add-ins.

  • Vor der Installation eines Add-Ins aus dem Office Store können Endbenutzer den Zugriff und die Aktionen anzeigen, die das Add-In für ihre Daten vornehmen kann, und müssen explizit bestätigen, dass der Vorgang fortgesetzt werden soll. Kein Outlook-Add-In wird automatisch auf einen Clientcomputer ohne manuelle Überprüfung durch den Benutzer oder Administrator verschoben.Before installing an add-in from the Office Store, end users can see the access and actions that the add-in can make on their data and must explicitly confirm to proceed. No Outlook add-in is automatically pushed onto a client computer without manual validation by the user or administrator.

  • Durch das Erteilen der eingeschränkten Berechtigung kann das Outlook-Add-In nur auf das aktuelle Element zugreifen. Wenn Sie die Berechtigung zum Lesen von Elementen erteilen, kann das Outlook-Add-In nur auf den aktuellen Artikel zugreifen, um auf persönlich identifizierbare Informationen wie Absender- und Empfängernamen und E-Mail-Adressen zuzugreifen.Granting the restricted permission allows the Outlook add-in to have limited access on only the current item. Granting the read item permission allows the Outlook add-in to access personal identifiable information, such as sender and recipient names and email addresses, on only the current item,.

  • Ein Endbenutzer kann ein Outlook-Add-In nur für sich selbst installieren. Outlook-Add-Ins, die eine Organisation betreffen, werden von einem Administrator installiert.An end user can install an Outlook add-in for only himself or herself. Outlook add-ins that affect an organization are installed by an administrator.

  • Endbenutzer können Outlook-Add-Ins installieren, die kontextbezogene Szenarien ermöglichen, die für die Benutzer attraktiv sind und gleichzeitig die Sicherheitsrisiken der Benutzer minimieren.End users can install Outlook add-ins that enable context-sensitive scenarios that are compelling to users while minimizing the users' security risks.

  • Manifestdateien von installierten Outlook-Add-Ins werden im E-Mail-Konto des Benutzers gesichert.Manifest files of installed Outlook add-ins are secured in the user's email account.

  • Daten, die mit Servern kommuniziert werden, auf denen Office-Add-Ins gehostet werden, werden immer gemäß dem SSL-Protokoll (Secure Socket Layer) verschlüsselt.Data communicated with servers hosting Office Add-ins is always encrypted according to the Secure Socket Layer (SSL) protocol.

  • Nur für die Outlook-Rich-Clients anwendbar: Die Rich-Clients von Outlook überwachen die Leistung installierter Outlook-Add-Ins, üben Governance-Kontrolle aus und deaktivieren die Outlook-Add-Ins, die die Grenzwerte in den folgenden Bereichen überschreiten:Applicable to only the Outlook rich clients: The Outlook rich clients monitor the performance of installed Outlook add-ins, exercise governance control, and disable those Outlook add-ins that exceed limits in the following areas:

    • Reaktionszeit für die AktivierungResponse time to activate

    • Anzahl der Fehler bei der Aktivierung oder erneuten AktivierungNumber of failures to activate or reactivate

    • SpeicherauslastungMemory usage

    • CPU-AuslastungCPU usage

    Governance verhindert Denial-of-Service-Attacken und hält die Add-In-Leistung auf einem vernünftigen Niveau. Die Business-Leiste benachrichtigt Endbenutzer über Outlook-Add-Ins, die der Rich-Client von Outlook basierend auf einer solchen Governance-Kontrolle deaktiviert hat.Governance deters denial-of-service attacks and maintains add-in performance at a reasonable level. The Business Bar alerts end users about Outlook add-ins that the Outlook rich client has disabled based on such governance control.

  • Endbenutzer können die von installierten Outlook-Add-Ins angeforderten Berechtigungen jederzeit überprüfen und anschließend jedes Outlook-Add-In im Exchange-Verwaltungscenter deaktivieren oder nachträglich aktivieren.At any time, end users can verify the permissions requested by installed Outlook add-ins, and disable or subsequently enable any Outlook add-in in the Exchange Admin Center.

Entwickler: Berechtigungsauswahl und Beschränkung der RessourcennutzungDevelopers: permission choices and resource usage limits

Das Sicherheitsmodell bietet Entwicklern granulare Berechtigungsstufen und strenge Leistungsrichtlinien.The security model provides developers granular levels of permissions to choose from, and strict performance guidelines to observe.

Mehrstufige Berechtigungen erhöhen die TransparenzTiered permissions increases transparency

Entwickler sollten dem gestaffelten Berechtigungsmodell folgen, um Transparenz zu schaffen und die Bedenken der Benutzer hinsichtlich der Möglichkeiten von Add-Ins für ihre Daten und das Postfach zu mindern und indirekt die Adoption zu fördern:Developers should follow the tiered permissions model to provide transparency and alleviate users' concern about what add-ins can do to their data and mailbox, indirectly promoting add-in adoption:

  • Entwickler fordern eine angemessene Berechtigungsstufe für ein Outlook-Add-In an, abhängig davon, wie das Outlook-Add-In aktiviert werden soll und ob bestimmte Eigenschaften eines Elements gelesen oder geschrieben werden müssen oder ob ein Element erstellt und gesendet werden soll.Developers request an appropriate level of permission for an Outlook add-in, based on how the Outlook add-in should be activated, and its need to read or write certain properties of an item, or to create and send an item.

  • Entwickler fordern Berechtigungen über das Element Permissions in der Manifestdatei des Outlook-Add-Ins an, indem sie entsprechend den Wert Restricted, ReadItem, ReadWriteItem oder ReadWriteMailbox zuweisen.Developers request permission by using the Permissions element in the manifest of the Outlook Add-in, by assigning a value of Restricted, ReadItem, ReadWriteItem or ReadWriteMailbox, as appropriate.

    Hinweis

    Beachten Sie, dass die Berechtigung ReadWriteItem erst ab Version 1.1 des Manifestschemas verfügbar ist.Note that the ReadWriteItem permission is available starting in manifest schema v1.1.

    Im folgenden Beispiel wird die Berechtigung Element lesen angefordert.The following example requests the read item permission.

      <Permissions>ReadItem</Permissions>
    
  • Entwickler können die eingeschränkteBerechtigung anfordern, wenn das Outlook-Add-In für einen bestimmten Typ von Outlook-Elementen (Termin oder Nachricht) aktiviert wird oder bestimmte extrahierte Entitäten (Telefonnummer, Adresse, URL) im Betreff oder im Text des Elements vorhanden sind. Die folgende Regel aktiviert beispielsweise das Outlook-Add-In, wenn eine oder mehrere der drei Entitäten - Telefonnummer, Postanschrift oder URL - im Betreff oder Text der aktuellen Nachricht gefunden werden.Developers can request the restricted permission if the Outlook add-in activates on a specific type of Outlook items (appointment or message), or on specific extracted entities (phone number, address, URL) being present in the item's subject or body. For example, the following rule activates the Outlook add-in if one or more of three entities - phone number, postal address, or URL - are found in the subject or body of the current message.

      <Permissions>Restricted</Permissions>
          <Rule xsi:type="RuleCollection" Mode="And">
          <Rule xsi:type="ItemIs" FormType="Read" ItemType="Message" />
          <Rule xsi:type="RuleCollection" Mode="Or">
              <Rule xsi:type="ItemHasKnownEntity" EntityType="PhoneNumber" />
              <Rule xsi:type="ItemHasKnownEntity" EntityType="Address" />
              <Rule xsi:type="ItemHasKnownEntity" EntityType="Url" />
          </Rule>
      </Rule>
    
  • Entwickler sollten die Berechtigung zum Element lesen anfordern, wenn das Outlook-Add-In Eigenschaften des aktuellen Elements als die extrahierten Standardelemente lesen oder benutzerdefinierte Eigenschaften schreiben muss, die vom Add-In für das aktuelle Element festgelegt wurden, aber nicht gelesen oder geschrieben werden müssen zu anderen Elementen oder zum Erstellen oder Senden einer Nachricht im Postfach des Benutzers. Ein Entwickler sollte beispielsweise die Berechtigung für gelesene Elemente anfordern, wenn ein Outlook-Add-In nach einer Entität wie einem Besprechungsvorschlag, einem Aufgabenvorschlag, einer E-Mail-Adresse oder einem Kontaktnamen im Betreff oder im Text des Elements suchen oder einen regulären Ausdruck verwenden muss.** **Developers should request the read item permission if the Outlook add-in needs to read properties of the current item other than the default extracted entities, or write custom properties set by the add-in on the current item, but does not require reading or writing to other items, or creating or sending a message in the user's mailbox. For example, a developer should request read item permission if an Outlook add-in needs to look for an entity like a meeting suggestion, task suggestion, email address, or contact name in the item's subject or body, or uses a regular expression to activate.

  • Entwickler sollten die Berechtigung Element lesen/schreiben anfordern, wenn das Outlook-Add-In in die Eigenschaften des verfassten Elements schreiben muss, z. B. Empfängername, E-Mail-Adresse, Nachrichtentext und Betreff, oder Anlagen an Elemente hinzufügen oder entfernen muss.Developers should request the read/write item permission if the Outlook Add-in needs to write to properties of the composed item, such as recipient names, email addresses, body, and subject, or needs to add or remove item attachments.

  • Entwickler fordern die Berechtigung Lese-/Schreibzugriff für Postfach nur an, wenn das Outlook-Add-In eine oder mehrere der folgenden Aktionen mithilfe der mailbox.makeEWSRequestAsync-Methode ausführen muss:Developers request the read/write mailbox permission only if the Outlook Add-in needs to do one or more of the following actions by using the mailbox.makeEWSRequestAsync method:

    • Lesen oder Schreiben von Eigenschaften von Elementen im PostfachRead or write to properties of items in the mailbox.
    • Erstellen, lesen, schreiben oder senden von Elementen in der Mailbox.Create, read, write, or send items in the mailbox.
    • Erstellen, Lesen oder Schreiben in Ordnern in der Mailbox.Create, read, or write to folders in the mailbox.

Optimierung der RessourcennutzungResource usage tuning

Entwickler sollten sich der Grenzen der Ressourcennutzung für die Aktivierung bewusst sein und Leistungsverbesserungen in ihren Entwicklungsworkflow integrieren, um die Wahrscheinlichkeit eines leistungsschwachen Add-In-Ablehnungsdienstes des Hosts zu reduzieren. Entwickler sollten den Richtlinien beim Erstellen von Aktivierungsregeln folgen, wie unter Einschränkungen für die Aktivierung und JavaScript-API für Outlook-Add-Ins beschrieben. Sie sollten die Richtlinie zur Entwicklung von Aktivierungsregeln in Grenzwerte für Aktivierung und JavaScript-API für Outlook-Add-Ins beachten. Wenn ein Outlook-Add-In in einem Outlook Rich Client ausgeführt werden soll, muss der Entwickler sicherstellen, dass das Add-In die Grenzwerte zur Ressourcennutzung einhält.Developers should be aware of resource usage limits for activation, incorporate performance tuning in their development workflow, so as to reduce the chance of a poorly performing add-in denying service of the host. Developers should follow the guidelines in designing activation rules as described in Limits for activation and JavaScript API for Outlook add-ins. If an Outlook add-in is intended to run on an Outlook rich client, then developers should verify that the add-in performs within the resource usage limits.

Weitere Maßnahmen zur Förderung der BenutzersicherheitOther measures to promote user security

Entwickler sollten auch auf Folgendes vorbereitet sein und entsprechend planen:Developers should be aware of and plan for the following as well:

  • Entwickler können keine ActiveX-Steuerelemente in Add-ins verwenden, da diese nicht unterstützt werden.Developers cannot use ActiveX controls in add-ins because they are not supported.

  • Entwickler sollten folgendermaßen vorgehen, wenn sie ein Outlook-Add-In an den Office Store übermitteln:Developers should do the following when submitting an Outlook Add-in to the Office Store:

    • Erstellen eines SSL-Zertifikats mit erweiterter Überprüfung als IdentitätsnachweisProduce an Extended Validation (EV) SSL certificate as a proof of identity.

    • Hosten des eingereichten Add-ins auf einem Webserver, der SSL unterstütztHost the add-in they are submitting on a web server that supports SSL.

    • Erstellen einer adäquaten DatenschutzrichtlinieProduce a compliant privacy policy.

    • Vorbereitung auf die Unterzeichnung einer vertraglichen Vereinbarung beim Einreichen des Add-ins.Be ready to sign a contractual agreement upon submitting the add-in.

Administratoren: BerechtigungenAdministrators: privileges

Das Sicherheitsmodell gewährt Administratoren die folgenden Rechte und legt ihnen die folgenden Verpflichtungen auf:The security model provides the following rights and responsibilities to administrators:

  • Es muss verhindern können, dass Endbenutzer Outlook-Add-Ins installieren, einschließlich Add-Ins im Office Store.Can prevent end users from installing any Outlook add-in, including add-ins on the Office Store.

  • Es muss jedes Outlook-Add-In im Exchange Admin Center deaktivieren oder aktivieren können.Can disable or enable any Outlook add-in on the Exchange Admin Center.

  • Es darf nur für Outlook für Windows anwendbar sein: Es kann Leistungsschwellenwerteinstellungen durch GPO-Registrierungseinstellungen überschreiben.Applicable to only Outlook for Windows: Can override performance threshold settings by GPO registry settings.

Siehe auchSee also