Datenschutz, Berechtigungen und Sicherheit für Outlook-Add-InsPrivacy, permissions, and security for Outlook add-ins

Endbenutzer, Entwickler und Administratoren können die mehrstufigen Berechtigungsstufen des Sicherheitsmodells für Outlook-Add-Ins verwenden, um den Datenschutz und die Leistung zu steuern.End users, developers, and administrators can use the tiered permission levels of the security model for Outlook add-ins to control privacy and performance.

In diesem Artikel werden die Berechtigungen beschrieben, die Outlook-Add-Ins anfordern können, und anschließend das Sicherheitsmodell aus den folgenden Blickwinkeln betrachtet:This article describes the possible permissions that Outlook add-ins can request, and examines the security model from the following perspectives:

  • Office Store: Add-In-IntegritätOffice Store: add-in integrity

  • Endbenutzer: Überlegungen zu Datenschutz und LeistungEnd-users: privacy and performance concerns

  • Entwickler: Einschränkungen bei der Auswahl von Berechtigungen und der RessourcennutzungDevelopers: permissions choices and resource usage limits

  • Administratoren: Berechtigungen zum Festlegen von LeistungsschwellenwertenAdministrators: privileges to set performance thresholds

BerechtigungsmodellPermissions model

Ein mehrstufiges Berechtigungsmodell liefert die Grundlage für Datenschutz und Sicherheit für Benutzer von Outlook-Add-Ins. Ein Mail-Add-in würde die erforderliche Berechtigungsstufe offenlegen und dadurch den möglichen Zugriff und Aktionen identifizieren, die von dem Outlook-Add-In mit den Postfachdaten des Benutzers ausgeführt werden können.Because customers' perception of add-in security can affect add-in adoption, Outlook add-in security relies on a tiered permissions model. An Outlook add-in would disclose the level of permissions it needs, identifying the possible access and actions that the add-in can make on the customer's mailbox data.

Die Manifest-Schemaversion 1.1 enthält vier Stufen von Berechtigungen.Manifest schema version 1.1 includes four levels of permissions.

Tabelle 1. Add-In-BerechtigungsstufenTable 1. Add-in permission levels

BerechtigungsstufePermission level Wert in der Manifestdatei des Outlook-Add-InsValue in Outlook add-in manifest
EingeschränktRestricted EingeschränktRestricted
Element lesenRead item ReadItemReadItem
Element lesen/schreibenRead/write item ReadWriteItemReadWriteItem
Postfach lesen/schreibenRead/write mailbox ReadWriteMailboxReadWriteMailbox

Die vier Berechtigungsstufen sind kumulativ: Die Berechtigung Postfach lesen/schreiben schließt die Berechtigungen Element lesen/schreiben, Element lesen und Eingeschränkt ein, Element lesen/schreiben schließt Element lesen und Eingeschränkt ein, und die Berechtigung Element lesen schließt Eingeschränkt ein.The four levels of permissions are cumulative: the read/write mailbox permission includes the permissions of read/write item, read item and restricted, read/write item includes read item and restricted, and the read item permission includes restricted.

Die folgende Abbildung zeigt die vier Berechtigungsstufen und gibt einen Überblick darüber, was Endbenutzer, Entwickler und Administratoren auf den einzelnen Stufen jeweils tun können.The following figure shows the four levels of permissions and describes the capabilities offered to the end user, developer, and administrator by each tier. Weitere Informationen zu diesen Berechtigungen finden Sie unter Endbenutzer: Überlegungen zu Datenschutz und Leistung, Entwickler: Einschränkungen bei der Auswahl von Berechtigungen und der Ressourcennutzung und Grundlegendes zu Berechtigungen bei Outlook-Add-Ins.For more information about these permissions, see End users: privacy and performance concerns, Developers: permission choices and resource usage limits, and Understanding Outlook Add-in permissions.

Das vierstufige Berechtigungsmodell und seine Bedeutung für Endbenutzer, Entwickler und AdministratorenRelating the four-tier permission model to the end user, developer, and administrator

4-Stufen-Berechtigungsmodell für Mail-Apps-Schema v1.1

Office Store: Add-in-IntegritätOffice Store: add-in integrity

Im Office Store werden Add-Ins gehostet, die von Endbenutzern und Administratoren installiert werden können. Der Office Store setzt die folgenden Maßnahmen zur Erhaltung der Integrität dieser Outlook-Add-Ins durch:The Office Store hosts add-ins that can be installed by end users and administrators. The Office Store enforces the following measures to maintain the integrity of these Outlook add-ins:

  • Der Hostserver eines Add-ins muss für die Kommunikation immer Secure Socket Layer (SSL) verwenden.Requires the host server of an add-in to always use Secure Socket Layer (SSL) to communicate.

  • Erfordert, dass Entwickler einen Identitätsnachweis, eine vertragliche Vereinbarung und eine entsprechende Datenschutzrichtlinie vorlegen, um Add-ins einreichen zu können.Requires a developer to provide proof of identity, a contractual agreement, and a compliant privacy policy to submit add-ins.

  • Add-ins müssen im schreibgeschützten Modus archiviert werden.Archives add-ins in read-only mode.

  • Unterstützt ein Benutzerüberprüfungssystem für verfügbare Add-ins zum Fördern einer Community mit eigenen Richtlinien.Supports a user-review system for available add-ins to promote a self-policing community.

Endbenutzer: Überlegungen zu Datenschutz und LeistungEnd users: privacy and performance concerns

Das Sicherheitsmodell geht auf folgende Weise auf die Sicherheits-, Datenschutz- und Leistungsbedenken von Endbenutzern ein:The security model addresses security, privacy, and performance concerns of end users in the following ways:

  • Durch das Information Rights Management (IRM) von Outlook geschützte Nachrichten von Endbenutzern interagieren nicht mit Outlook-Add-Ins.End user's messages that are protected by Outlook's Information Rights Management (IRM) do not interact with Outlook add-ins.

  • Bevor sie ein Add-In aus dem Office Store installieren, werden Endbenutzern die Zugriffsmöglichkeiten und Aktionen des Add-Ins zu ihren Daten angezeigt, die explizit bestätigt werden müssen, damit die Installation fortgesetzt werden kann. Es wird kein Outlook-Add-In automatisch ohne manuelle Überprüfung durch den Benutzer oder Administrator per Push auf den Clientcomputer übertragen.Before installing an add-in from the Office Store, end users can see the access and actions that the add-in can make on their data and must explicitly confirm to proceed. No Outlook add-in is automatically pushed onto a client computer without manual validation by the user or administrator.

  • Mit einer „eingeschränkten“ Berechtigung hat das Outlook-Add-In eingeschränkten Zugriff ausschließlich für das aktuelle Element.Granting the restricted permission allows the Outlook add-in to have limited access on only the current item. Mit einer Element lesen-Berechtigung hat das Outlook-Add-In Zugriff auf personenbezogene Informationen, wie etwa die Namen und Email-Adressen des Absenders und des Empfängers, jedoch ausschließlich für das aktuelle Element.Granting the restricted permission allows the Outlook add-in to have limited access on only the current item. Granting the read item permission allows the Outlook add-in to access personal identifiable information, such as sender and recipient names and email addresses, on only the current item,.

  • Ein Endbenutzer kann Outlook-Add-Ins mit niedriger Vertrauenswürdigkeit nur für sich selbst installieren. Outlook-Add-Ins für ein Unternehmen werden von einem Administrator installiert.An end user can install an Outlook add-in for only himself or herself. Outlook add-ins that affect an organization are installed by an administrator.

  • Endbenutzer können Outlook-Add-Ins installieren, die überzeugende kontextabhängige Szenarien aktivieren und dennoch die Sicherheitsrisiken des Benutzers minimieren.End users can install Outlook add-ins that enable context-sensitive scenarios that are compelling to users while minimizing the users' security risks.

  • Manifestdateien von installierten Outlook-Add-Ins werden im E-Mail-Konto des Benutzers gesichert.Manifest files of installed Outlook add-ins are secured in the user's email account.

  • Der Datenaustausch mit Servern, auf denen Office-Add-Ins gehostet werden, ist immer mit dem SSL-Protokoll (Secure Socket Layer) verschlüsselt.Data communicated with servers hosting Office Add-ins is always encrypted according to the Secure Socket Layer (SSL) protocol.

  • Nur für Outlook Rich Clients: Die Outlook Rich Clients überwachen die Leistung von installierten Outlook-Add-Ins, führen die Steuerungsüberwachung aus und deaktivieren Outlook-Add-Ins, die die folgenden Grenzwerte überschreiten:Applicable to only the Outlook rich clients: The Outlook rich clients monitor the performance of installed Outlook add-ins, exercise governance control, and disable those Outlook add-ins that exceed limits in the following areas:

    • Reaktionszeit für die AktivierungResponse time to activate

    • Anzahl der Fehler bei der Aktivierung oder erneuten AktivierungNumber of failures to activate or reactivate

    • SpeicherauslastungMemory usage

    • CPU-AuslastungCPU usage

    Steuerung verhindert Denial of Service-Angriffe und hält die Leistung des Add-Ins auf einem adäquaten Niveau. Die Unternehmensleiste informiert Endbenutzer über Outlook-Add-Ins, die aufgrund der Steuerungsüberwachung von Outlook Rich Client deaktiviert wurden.Governance deters denial-of-service attacks and maintains add-in performance at a reasonable level. The Business Bar alerts end users about Outlook add-ins that the Outlook rich client has disabled based on such governance control.

  • Endbenutzer können in Exchange Admin Center jederzeit von installierten Mails-Add-ins angeforderten Berechtigungen überprüfen und Outlook-Add-Ins deaktivieren oder anschließend neu aktivieren.At any time, end users can verify the permissions requested by installed Outlook add-ins, and disable or subsequently enable any Outlook add-in in the Exchange Admin Center.

Entwickler: Einschränkungen bei der Auswahl von Berechtigungen und der RessourcennutzungDevelopers: permission choices and resource usage limits

Das Sicherheitsmodell bietet Entwicklern detaillierte Berechtigungsstufen zur Auswahl sowie zu beachtende strikte Leistungsrichtlinien.The security model provides developers granular levels of permissions to choose from, and strict performance guidelines to observe.

Mehrstufige Berechtigungen erhöhen die TransparenzTiered permissions increases transparency

Entwickler sollten das mehrstufige Berechtigungsmodell befolgen, damit sie Transparenz bereitstellen können und die Bedenken von Benutzern ausräumen können, welche Add-ins sie für Daten und Ihr Postfach verwenden können, sodass die Add-in-Installation indirekt gefördert wird:Developers should follow the tiered permissions model to provide transparency and alleviate users' concern about what add-ins can do to their data and mailbox, indirectly promoting add-in adoption:

  • Entwickler fordern auf der Grundlage der Anforderungen für das Lesen oder Schreiben bestimmter Eigenschaften eines Elements oder für das Erstellen und Senden eines Elements für ein Outlook-Add-In eine adäquate Berechtigungsstufe an.Developers request an appropriate level of permission for an Outlook add-in, based on how the Outlook add-in should be activated, and its need to read or write certain properties of an item, or to create and send an item.

  • Entwickler fordern Berechtigungen über das Element Permissions in der Manifestdatei des Outlook-Add-Ins an, indem sie entsprechend den Wert Restricted, ReadItem, ReadWriteItem oder ReadWriteMailbox zuweisen.Developers request permission by using the Permissions element in the manifest of the Outlook Add-in, by assigning a value of Restricted, ReadItem, ReadWriteItem or ReadWriteMailbox, as appropriate.

    Hinweis

    Beachten Sie, dass die Berechtigung ReadWriteItem erst ab Version 1.1 des Manifestschemas verfügbar ist.Note that the ReadWriteItem permission is available starting in manifest schema v1.1.

    Im folgenden Beispiel wird die Berechtigung Element lesen angefordert.The following example requests the read item permission.

      <Permissions>ReadItem</Permissions>
    
  • Entwickler können die Berechtigung eingeschränkt anfordern, wenn das Outlook-Add-In für einen bestimmten Typ von Outlook-Elementen (Termin oder Nachricht) oder auf bestimmte extrahierten Entitäten (Telefonnummer, Adresse, URL) aktiviert, die in dem Betreff oder Textkörper des Elements vorhanden sind.Developers can request the restricted permission if the Outlook add-in activates on a specific type of Outlook items (appointment or message), or on specific extracted entities (phone number, address, URL) being present in the item's subject or body. For example, the following rule activates the Outlook add-in if one or more of three entities - phone number, postal address, or URL - are found in the subject or body of the current message. Zum Beispiel aktiviert die folgende Regel das Outlook-Add, wenn eine oder mehrere der drei Entitäten - Telefonnummer, Adresse oder URL - im Betreff oder Textkörper der aktuellen Nachricht gefunden werden.Developers can request the restricted permission if the Outlook add-in activates on a specific type of Outlook items (appointment or message), or on specific extracted entities (phone number, address, URL) being present in the item's subject or body. For example, the following rule activates the Outlook add-in if one or more of three entities - phone number, postal address, or URL - are found in the subject or body of the current message.

      <Permissions>Restricted</Permissions>
          <Rule xsi:type="RuleCollection" Mode="And">
          <Rule xsi:type="ItemIs" FormType="Read" ItemType="Message" />
          <Rule xsi:type="RuleCollection" Mode="Or">
              <Rule xsi:type="ItemHasKnownEntity" EntityType="PhoneNumber" />
              <Rule xsi:type="ItemHasKnownEntity" EntityType="Address" />
              <Rule xsi:type="ItemHasKnownEntity" EntityType="Url" />
          </Rule>
      </Rule>
    
  • Entwickler sollten die Berechtigung Element lesen anfordern, wenn das Outlook-Add-In andere Eigenschaften des aktuellen Elements als extrahierte Standardidentitäten benötigt oder benutzerdefinierte Eigenschaften des Add-Ins auf das aktuelle Element anwenden muss, jedoch keine Berechtigung zum Lesen oder Schreiben anderer Elemente oder zum Erstellen oder Senden einer Nachricht im Postfach des Benutzers benötigt.Developers should request the read item permission if the Outlook add-in needs to read properties of the current item other than the default extracted entities, or write custom properties set by the add-in on the current item, but does not require reading or writing to other items, or creating or sending a message in the user's mailbox. For example, a developer should request read item permission if an Outlook add-in needs to look for an entity like a meeting suggestion, task suggestion, email address, or contact name in the item's subject or body, or uses a regular expression to activate. Beispielsweise sollte ein Entwickler die Berechtigung Element lesen anfordern, wenn ein Outlook-Add-In nach einer Entität wie zum Beispiel einer Besprechungsanfrage, Aufgabenanfrage, Email-Adresse oder einem Kontaktname im Betreff oder Textkörper des Elements sucht oder mit einem regulären Ausdruck aktiviert.Developers should request the read item permission if the Outlook add-in needs to read properties of the current item other than the default extracted entities, or write custom properties set by the add-in on the current item, but does not require reading or writing to other items, or creating or sending a message in the user's mailbox. For example, a developer should request read item permission if an Outlook add-in needs to look for an entity like a meeting suggestion, task suggestion, email address, or contact name in the item's subject or body, or uses a regular expression to activate.

  • Entwickler sollten die Berechtigung Element lesen/schreiben anfordern, wenn das Outlook-Add-In in Eigenschaften des verfassten Elements schreiben muss (z. B. Empfängernamen, E-Mail-Adressen, Text oder Betreff) oder Elementanlagen hinzufügen oder entfernen muss.Developers should request the read/write item permission if the Outlook Add-in needs to write to properties of the composed item, such as recipient names, email addresses, body, and subject, or needs to add or remove item attachments.

  • Entwickler fordern die Berechtigung Lese-/Schreibzugriff für Postfach nur an, wenn das Outlook-Add-In eine oder mehrere der folgenden Aktionen mithilfe der mailbox.makeEWSRequestAsync-Methode ausführen muss:Developers request the read/write mailbox permission only if the Outlook Add-in needs to do one or more of the following actions by using the mailbox.makeEWSRequestAsync method:

    • Lesen oder Schreiben von Eigenschaften von Elementen im PostfachRead or write to properties of items in the mailbox.
    • Erstellen, Lesen oder Schreiben von Elementen im Postfach oder Senden von Elementen an diesesCreate, read, write, or send items in the mailbox.
    • Erstellen, Lesen oder Schreiben in Ordnern im PostfachCreate, read, or write to folders in the mailbox.

Optimierung der RessourcennutzungResource usage tuning

Entwickler sollten Ressourcenauslastungsgrenzen für die Aktivierung berücksichtigen und Leistungsoptimierung in ihren Entwicklungsworkflow integrieren. Nur so kann die Gefahr reduziert werden, dass der Host aufgrund eines leistungsschwachen Add-ins den Dienst verweigert. Sie sollten die Richtlinie zur Entwicklung von Aktivierungsregeln in Grenzwerte für Aktivierung und JavaScript-API für Outlook-Add-Ins beachten. Wenn ein Outlook-Add-In in einem Outlook Rich Client ausgeführt werden soll, muss der Entwickler sicherstellen, dass das Add-In die Grenzwerte zur Ressourcennutzung einhält.Developers should be aware of resource usage limits for activation, incorporate performance tuning in their development workflow, so as to reduce the chance of a poorly performing add-in denying service of the host. Developers should follow the guidelines in designing activation rules as described in Limits for activation and JavaScript API for Outlook add-ins. If an Outlook add-in is intended to run on an Outlook rich client, then developers should verify that the add-in performs within the resource usage limits.

Weitere Maßnahmen zur Förderung der BenutzersicherheitOther measures to promote user security

Entwickler sollten auch Folgendes vorbereitet sein und entsprechend planen:Developers should be aware of and plan for the following as well:

  • Entwickler können keine ActiveX-Steuerelemente in Add-ins verwenden, da diese nicht unterstützt werden.Developers cannot use ActiveX controls in add-ins because they are not supported.

  • Entwickler sollten folgendermaßen vorgehen, wenn sie ein Outlook-Add-In an den Office Store übermitteln:Developers should do the following when submitting an Outlook Add-in to the Office Store:

    • Erstellen eines SSL-Zertifikats mit erweiterter Überprüfung als IdentitätsnachweisProduce an Extended Validation (EV) SSL certificate as a proof of identity.

    • Hosten des eingereichten Add-ins auf einem Webserver, der SSL unterstütztHost the add-in they are submitting on a web server that supports SSL.

    • Erstellen einer adäquaten DatenschutzrichtlinieProduce a compliant privacy policy.

    • Vorbereitung auf die Unterzeichnung einer vertraglichen Vereinbarung beim Einreichen des Add-insBe ready to sign a contractual agreement upon submitting the add-in.

Administratoren: BerechtigungenAdministrators: privileges

Das Sicherheitsmodell gewährt Administratoren die folgenden Rechte und legt ihnen die folgenden Verpflichtungen auf:The security model provides the following rights and responsibilities to administrators:

  • Sie können verhindern, dass Endbenutzer Outlook-Add-Ins installieren, einschließlich Add-Ins aus dem Office Store.Can prevent end users from installing any Outlook add-in, including add-ins on the Office Store.

  • Sie können mithilfe von Exchange Admin Center alle Outlook-Add-Ins deaktivieren oder aktivieren.Can disable or enable any Outlook add-in on the Exchange Admin Center.

  • Gilt nur für Outlook für Windows: Sie können mithilfe von Registrierungseinstellungen des Gruppenrichtlinienobjekts Leistungsschwellenwerte überschreiben.Applicable to only Outlook for Windows: Can override performance threshold settings by GPO registry settings.

Siehe auchSee also