Outlook pour iOS et Android dans Exchange Online : FAQ

Exchange Online
 

Sapplique à :Exchange Online, Office 365

Dernière rubrique modifiée :2017-06-16

Résumé : Cet article répond aux questions les plus fréquemment posées par les clients et les administrateurs concernant Outlook pour iOS et Android utilisé avec Exchange Online et Office 365.

L’application Outlook pour iOS et Android regroupe la messagerie, le calendrier, les contacts et d’autres fichiers des utilisateurs de votre organisation pour les aider à réaliser différentes tâches depuis leur appareil mobile. Les sections suivantes illustrent les questions les plus courantes que nous recevons dans trois grands domaines :

  • Architecture et sécurité d’Outlook pour iOS et Android

  • Gestion et maintenance d’Outlook pour iOS et Android dans votre organisation Exchange après son déploiement

  • Questions courantes posées par des utilisateurs finaux qui ont accès aux informations de votre organisation Exchange avec l’application Outlook pour iOS et Android sur leurs appareils mobiles

Les questions suivantes portent sur l’architecture globale d’Outlook pour iOS et Android dans Exchange Online, mais aussi sur l’authentification des utilisateurs et d’autres problèmes de sécurité.

L’application Outlook pour iOS et Android est entièrement optimisée par Microsoft Cloud. Tous les comptes Office 365 Entreprise, Business et Éducation sont pris en charge de manière native. En d’autres termes, aucune donnée de boîte aux lettres n’est mise en cache en dehors d’Office 365. Les données restent simplement dans leur boîte aux lettres Exchange Online actuelle. Par ailleurs, elles sont protégées par des connexions TLS sécurisées de bout en bout entre Office 365 et l’application. Outlook pour iOS et Android est désormais entièrement accessible via les services Microsoft dont l’engagement repose sur la sécurité, la protection des données personnelles et la conformité.

Architecture d’Outlook pour iOS et Android

Outlook pour iOS et Android utilise un composant de convertisseur de protocole sans état qui est conçu et exécuté dans Azure. Ce composant achemine les données et convertit les commandes, mais il ne met pas en cache les données utilisateur. L’application est codée avec l’API de périphérique Outlook, une API propriétaire qui synchronise des commandes et des données vers l’application et à partir de celle-ci. Les données Exchange Online sont accessibles par le biais des API REST disponibles publiquement. Le convertisseur de protocole facilite la communication entre Outlook et Exchange Online.

Lors de la création d’un compte dans Outlook pour iOS et Android pour Office 365, l’application tente, la première fois, de se connecter à l’architecture basée sur Office 365, qui utilise REST. Toutefois, si cette première tentative échoue, l’application revient à l’ancienne infrastructure basée sur AWS (EAS). À partir de juin 2017, les comptes Office 365 ne pourront plus basculer sur l’architecture AWS.

Si cette connexion échoue, c’est parce que REST est activement bloqué par le client, qui utilise l’un des trois contrôles répertoriés ci-dessous. Notez que les clients qui utilisent l’un de ces contrôles pour bloquer REST devront modifier leurs paramètres en juin 2017 s’ils souhaitent continuer à accéder à leur messagerie via Outlook pour iOS et Android.

  1. Des règles d’accès client sont mises en place pour bloquer ou limiter le protocole REST.

  2. Des stratégies d’application EWS (EWS contrôle l’accès à l’API REST) sont mises en place pour limiter le nombre d’applications pouvant se connecter.

  3. Le client a désactivé EWS pour l’organisation ou pour certaines boîtes aux lettres.

Pour plus d’informations, consultez la rubrique Activation d’Outlook pour iOS et Android dans Exchange Online.

Oui. Toutefois, il se peut que les clients dotés du plan Office 365 Secteur Public ne disposent que de comptes connectés à Outlook pour iOS et Android, à partir d’une seule région Office 365. Cela signifie que les clients Office 365 Secteur Public ne peuvent pas avoir à la fois une boîte aux lettres située dans des centres de données Office 365 européens et une boîte aux lettres de plan Office 365 Secteur Public au sein de la même application Outlook pour iOS et Android sur le même appareil.

Outlook pour iOS et Android utilise l’authentification basée sur la bibliothèque d’authentification Active Directory pour accéder aux boîtes aux lettres Exchange Online dans Office 365. L’authentification basée sur la bibliothèque d’authentification Active Directory, utilisée par les applications Office de bureau et mobile, demande aux utilisateurs de se connecter directement à Azure Active Directory, fournisseur d’identité Office 365, au lieu de fournir des informations d’identification à Outlook.

La connexion basée sur la bibliothèque d’authentification Active Directory permet d’accéder aux comptes OAuth pour Office 365, et offre un mécanisme sécurisé à Outlook pour iOS et Android pour accéder à la messagerie sans informations d’identification utilisateur. Lors de la connexion, l’utilisateur s’authentifie directement auprès d’Office 365 et reçoit un jeton d’accès en retour. Le jeton permet à Outlook pour iOS et Android d’accéder à la boîte aux lettres appropriée. OAuth fournit à Outlook un mécanisme sécurisé pour accéder à Office 365 et au service cloud Outlook sans demander ou stocker les informations d’identification d’un utilisateur.

Pour plus d’informations, voir le billet de blog Office relatif aux nouveaux contrôles d’accès et de sécurité pour Outlook pour iOS et Android.

Toutes les applications Microsoft qui exploitent la Bibliothèque d’authentification Azure Active Directory (ADAL) prennent en charge l’authentification unique. Par ailleurs, l’authentification unique est également prise en charge lorsque les applications sont utilisées avec les applications Microsoft Authenticator ou Portail d’entreprise Microsoft.

Les jetons peuvent être partagés et réutilisés par d’autres applications Microsoft (par exemple, Word Mobile) dans les scénarios suivants :

  1. Lorsque les applications sont signées par le même certificat de signature et utilisent la même URL d’audience ou de point de terminaison (par exemple, l’URL Office 365). Dans ce cas, le jeton est conservé dans le stockage partagé de l’application.

  2. Lorsque les applications exploitent ou prennent en charge l’authentification unique avec une application Broker. Les jetons sont stockés dans l’application Broker. Microsoft Authenticator est un exemple d’application Broker. Dans le scénario de l’application Broker, une fois que vous aurez essayé de vous connecter à Outlook pour iOS et Android, ADAL lancera l’application Microsoft Authenticator, qui se connectera à Azure Active Directory pour obtenir le jeton. Elle conservera ensuite le jeton et le ré-utilisera pour les demandes d’authentification d’autres applications, tant que la durée de vie configurée du jeton le permettra.

Pour plus d’informations, consultez l’article Activation d’une authentification unique entre applications sur iOS à l’aide de la bibliothèque ADAL.

Lorsqu’un utilisateur s’authentifie via les applications compatibles avec ADAL, comme Outlook pour iOS et Android, l’application Authenticator ou l’application Portail d’entreprise, deux jetons sont générés : un jeton d’accès et un jeton d’actualisation. Le jeton d’accès permet d’accéder à la ressource (données du message Exchange), tandis que le jeton d’actualisation sert à obtenir une nouvelle paire de jetons (accès ou actualisation) lors de l’expiration du jeton d’accès en cours.

Par défaut, la durée de vie du jeton d’accès est une heure et celle du jeton d’actualisation est de 14 jours. Ces valeurs peuvent être ajustées. Pour plus d’informations, consultez l’article Durées de vie des jetons configurables dans Azure Active Directory. Notez que si vous choisissez de réduire ces durées de vie, vous pouvez aussi réduire les performances d’Outlook pour iOS et Android, car une durée de vie plus courte augmente le nombre de demandes de remplacement du jeton d’accès.

Un jeton d’accès précédemment accordé est valide jusqu’à son expiration. Ensuite, le client essaiera d’utiliser le jeton d’actualisation pour obtenir un nouveau jeton d’accès, mais, puisque le mot de passe de l’utilisateur a changé, le jeton d’actualisation sera invalidé (à condition que les annuaires locaux et Azure Active Directory aient été synchronisés). Le jeton d’actualisation invalidé obligera l’utilisateur à se ré-authentifier afin d’obtenir une nouvelle paire de jetons (accès et actualisation).

La synchronisation en arrière-plan active les notifications de nouveaux messages, les mises à jour du compteur de badge et la synchronisation en arrière-plan des informations de boîte aux lettres pour Outlook pour iOS et Android. Si la synchronisation en arrière-plan est désactivée par l’utilisateur dans les paramètres iOS ou Android, l’utilisateur doit lancer l’application et la garder au premier plan pour synchroniser les informations de boîte aux lettres.

La synchronisation en arrière-plan dans Outlook pour iOS et Android peut également être désactivée en :

  • forçant la fermeture de l’application (par exemple, en appuyant deux fois sur le bouton Accueil puis en balayant l’application pour la faire disparaître) ;

  • redémarrant l’appareil mobile ;

  • n’ouvrant pas l’application pendant un certain temps. iOS fermera automatiquement Outlook.

RemarqueRemarque :
Apple autorise son application de messagerie native à s’actualiser en arrière-plan sans subir les restrictions ci-dessus. Par conséquent, les utilisateurs peuvent remarquer une différence entre les applications concernant la synchronisation en arrière-plan. Toutefois, cette spécificité entraîne une amélioration de la durée de vie de la batterie et une baisse d’utilisation des données.

Lors de la première connexion au compte, Outlook pour iOS et Android établit une connexion à l’architecture basée sur Office 365. Un ID de périphérique unique est généré. C’est ce même ID qui apparaît dans les enregistrements du périphérique Active Directory (qui peuvent être récupérés avec les cmdlets du type Get-MobileDevice dans Exchange Online Powershell) et qui s’affiche dans les en-têtes de requête HTTP.

Intune utilise un autre ID de périphérique. Pour savoir comment Intune attribue un ID de périphérique, consultez l’article Protéger l’accès à la messagerie, à Office 365 et à d’autres services avec Microsoft Intune. Dans Intune, l’ID de périphérique est attribué lorsque l’environnement de travail du périphérique est le même pour tous les scénarios d’accès conditionnel du périphérique. Il s’agit d’un ID unique généré par AAD pour le périphérique. Intune utilise cet ID unique lorsqu’il envoie des informations de conformité. ADAL, lui, l’utilise lorsqu’il s’authentifie aux services.

Oui. Outlook pour iOS et Android autorise la lecture des messages protégés. Outlook pour iOS et Android fonctionne différemment des versions de bureau d’Outlook en ce qui concerne RMS. Pour les versions de bureau d’Outlook, lors de la réception d’un message protégé et d’une tentative d’accès, Outlook vérifie que l’utilisateur peut lire les messages RM, puis il se connecte à Exchange pour demander une clé de chiffrement. Le client de bureau Outlook utilise cette clé de chiffrement pour déchiffrer le message devant l’utilisateur (côté client). Les clients mobiles fonctionnent différemment. Lorsqu’Outlook pour iOS et Android configure sa relation initiale avec Exchange, il avertit Exchange qu’il prend en charge les services RMS. Exchange déchiffre tous les messages protégés avant de les transmettre au client. En d’autres termes, le déchiffrement est réalisé côté serveur. Outlook pour iOS et Android n’effectue pas le déchiffrement lui-même.

Si Outlook pour iOS et Android reçoit des messages protégés et invite les utilisateurs finaux à utiliser un client RM pour ouvrir le fichier, cela signifie qu’Exchange n’a pas déchiffré le message, en raison d’un problème du côté d’Exchange.

Outlook pour iOS et Android communique via le port TCP 443. L’application accède à plusieurs points de terminaison, selon les activités de l’utilisateur. Pour tout savoir sur le sujet, consultez la rubrique Demandes réseau dans Office 365 ProPlus.

Non. Outlook pour iOS et Android ne fonctionne pas lorsqu’une configuration du proxy est activée dans le système d’exploitation.

Les questions suivantes portent sur la gestion et la surveillance de l’application Outlook pour iOS et Android dans votre organisation après son déploiement.

Oui, si vous souhaitez résoudre le problème ou si vous souhaitez nous informer d’un défaut ou d’une limite du produit, vous devez déposer un ticket de support dans l’application. Nos ingénieurs produit peuvent collecter et analyser les journaux de l’application Outlook uniquement si vous déposez un ticket de support dans l’application.

Exécutez la commande suivante dans Exchange Online PowerShell :

Get-MobileDevice | where {$_.DeviceModel -eq "Outlook for iOS and Android"} | FL FriendlyName,DeviceID,DeviceOS,ClientType

La propriété ClientType indique si le client utilise l’architecture basée sur Office 365 (REST) ou l’architecture AWS (EAS).

Sinon, vous pouvez vous connecter à Outlook sur le web et, dans Options, sélectionner Appareils mobiles pour afficher les détails d’un appareil mobile. Voici à quoi cela devrait ressembler :

image de la gestion des appareils mobiles dans Outlook pour iOS et Android

En supposant que l’authentification n’est pas le problème, voici les points que vous pouvez vérifier :

  1. Vérifiez que vous avez mis en place des règles d’accès client pour bloquer le protocole REST.

  2. Vérifiez que vous avez mis en place une stratégie d’application EWS pour restreindre les applications clientes autorisées à se connecter.

  3. Vérifiez qu’EWS est activé pour ce compte.

Pour plus d’informations, consultez la rubrique Activation d’Outlook pour iOS et Android dans Exchange Online. Si, après avoir effectué ces vérifications, le problème n’est toujours pas résolu, ouvrez un ticket de support dans l’application.

Outlook pour iOS et Android prend en charge Intune pour la gestion des périphériques et des applications. Les fournisseurs GPM tiers peuvent déployer l’application Outlook comme s’ils déployaient l’application iOS ou Android, en utilisant leurs propres outils existants. Ils peuvent aussi appliquer des commandes de gestion des périphériques comme un code confidentiel, un chiffrement de périphérique, une réinitialisation et bien plus encore, qui sont essentielles pour garantir une expérience de messagerie sécurisée, même si elles sont toutes indépendantes d’Outlook pour iOS et Android. Pour gérer l’application en elle-même (par exemple, pour limiter les actions impliquant des données d’entreprise, telles que couper, copier, coller et « enregistrer sous »), les clients devront utiliser Microsoft Intune. Pour obtenir des informations techniques détaillées, consultez la documentation d’Intune sur l’accès conditionnel et la gestion des applications mobiles.

Outlook pour iOS et Android peut être téléchargé gratuitement sur l’App Store iOS et Google Play. Toutefois, les utilisateurs commerciaux doivent avoir un abonnement Office 365 qui inclut les applications Office. Il peut s’agir d’un abonnement Entreprise, Business Premium, Entreprise E3, E5, ProPlus, ou des versions correspondantes des plans destinés au secteur public ou à l’éducation. Si vous possédez seulement une licence Exchange Online (sans Office) ou Exchange sur site (Exchange Server), vous ne pouvez pas utiliser l’application.

Les questions suivantes concernent les utilisateurs finaux de votre organisation qui utilisent Outlook pour iOS et Android sur leurs appareils pour accéder à leur boîte aux lettres Exchange.

En raison des restrictions présentes dans iOS, les contacts sont uniquement synchronisés avec l’application native lorsqu’Outlook est au premier plan. De plus, il ne peut synchroniser que cent contacts à la fois. iOS détermine également le moment de la synchronisation des contacts.

Ceci s’explique par les différences existant entre les systèmes d’exploitation de base. iOS affiche le contenu natif pour les types de pièces jointes connus, dont Outlook pour iOS se sert pour afficher la pièce jointe. Android n’offre rien de comparable. Les utilisateurs d’Android doivent installer les applications Office et/ou les applications tierces pour afficher le contenu de la pièce jointe.

Outlook (comme d’autres clients mobiles) ne télécharge pas automatiquement les pièces jointes. Il s’agit d’une spécificité par défaut, afin d’économiser l’espace de stockage de l’appareil. Les pièces jointes sont téléchargées uniquement à la demande de l’utilisateur.

Outlook pour iOS stocke les pièces jointes dans notre propre base de données. Par conséquent, chaque pièce jointe téléchargée sur le client occupe un espace considérable dans notre base de données. Pour que le client puisse offrir des performances élevées et occuper peu d’espace, nous effaçons les données de façon massive en fonction de leur utilisation (les pièces jointes sont mises en cache au bout de sept jours).

Contrairement à iOS, Android utilise un système de fichiers accessibles pour que les pièces jointes téléchargées par Outlook pour Android soient stockées sous forme de fichiers temporaires au lieu d’aller dans la base de données.

Pour le moment, Outlook pour iOS et Android ne permet pas d’accéder aux pièces jointes dans les rendez-vous du calendrier, mais nous envisageons d’y remédier dans une prochaine mise à jour.

Lorsque ces options sont modifiées, Outlook pour iOS et Android procède à une réinitialisation logicielle. Cela permet d’effacer les données qui ont été téléchargées dans l’application et qui nécessitent d’être re-synchronisées.

 
Afficher: