Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

Mots de passe et sécurité dans Outlook pour iOS et Android pour Exchange Server

Exchange 2016
[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Résumé : Cet article explique comment fonctionnent les mots de passe et la sécurité dans Outlook pour iOS et Android avec Exchange Server.

La première fois que vous exécutez l’application Outlook pour iOS et Android dans un environnement local Exchange, Outlook génère une clé AES-128 aléatoire. Cette clé est appelée clé de périphérique et est stockée uniquement sur le périphérique de l’utilisateur.

Lorsqu’un utilisateur se connecte à Exchange, le nom d’utilisateur, mot de passe et une clé de périphérique unique AES-128 sont envoyés à partir du périphérique de l’utilisateur pour le service en nuage Outlook via une connexion TLS, où la clé de périphérique est conservée en mémoire de calcul de runtime. Après avoir vérifié le mot de passe avec le serveur Exchange, le service Outlook utilise la clé de périphérique pour crypter le mot de passe et le mot de passe crypté est ensuite stocké dans le service. La clé de périphérique, quant à lui, est effacée de la mémoire et jamais stockée dans le service d’Outlook (la clé est uniquement stockée sur le périphérique de l’utilisateur).

Ensuite, lorsqu’un utilisateur tente de se connecter à Exchange pour récupérer des données de boîte aux lettres, la clé de périphérique est à nouveau transmise du périphérique au service Outlook via une connexion TLS sécurisée, où elle est utilisée pour déchiffrer le mot de passe dans la mémoire de calcul d’exécution. Une fois déchiffré, le mot de passe n’est jamais stocké dans le service ni écrit sur un disque de stockage local, et la clé de périphérique est à nouveau effacée de la mémoire.

Une fois le service Outlook a décrypté le mot de passe lors de l’exécution, le service peut alors se connecter au serveur Exchange pour synchroniser la messagerie, de calendrier et d’autres données de boîte aux lettres. Tant que l’utilisateur continue ouvrir et utiliser Outlook périodiquement, le service Outlook conservent une copie du mot de passe de l’utilisateur déchiffré en mémoire afin de conserver la connexion au serveur Exchange actif.

Au bout de trois jours d’inactivité, le service Outlook efface le mot de passe déchiffré de la mémoire. Une fois que le mot de passe déchiffré est effacé, le service Outlook ne peut plus accéder à la boîte aux lettres de l’utilisateur. Le mot de passe chiffré reste stocké dans le service Outlook, mais vous ne pouvez pas le déchiffrer à nouveau sans la clé de périphérique, qui est disponible uniquement à partir du périphérique de l’utilisateur.

Un compte d’utilisateur peut devenir inactif pour les trois raisons suivantes :

  • L’utilisateur désinstalle Outlook pour iOS et Android.

  • L’utilisateur désactive l’actualisation de l’application en arrière-plan dans les options de paramètres, puis force à quitter Outlook.

  • Aucune connexion Internet n’est disponible sur le périphérique, empêchant Outlook d’effectuer la synchronisation avec Exchange.

noteRemarque :
Outlook ne devient pas inactif uniquement car l’utilisateur n’ouvre pas l’application pendant une certaine période de temps, comme un week-end ou pendant les vacances. Tant que l’actualisation de l’application en arrière-plan est activée (qui est le paramètre par défaut dans Outlook pour iOS et Android), les fonctions telles que les notifications push et la synchronisation en arrière-plan de la messagerie sont considérées comme activité.

Effacement du mot de passe chiffré et du cache de message à partir du disque dur

Le service Outlook vide ou supprime les comptes inactifs sur une base hebdomadaire. Une fois qu’un compte d’utilisateur est inactif, le service Outlook vide à la fois le mot de passe chiffré et l’ensemble du contenu de la boîte aux lettres mis en cache.

Combinaison de sécurité de service et de périphérique

Les clés de périphérique uniques d’utilisateur ne sont jamais stockées dans le service Outlook et le mot de passe Exchange d’un utilisateur n’est jamais stocké sur le périphérique. Cette architecture signifie que pour pouvoir accéder au mot de passe d’un utilisateur, un groupe malveillant doit disposer d’un accès non autorisé au service Outlook et d’un accès physique au périphérique de cet utilisateur.

En mettant en œuvre des stratégies de code PIN et le cryptage sur les périphériques de votre organisation, la partie malveillante serait également doivent d’abord vaincre le cryptage d’un périphérique pour accéder à la clé de périphérique. Ce serait tous devant avoir lieu avant que l’utilisateur remarqué que le périphérique a été compromis et peut demander un un effacement à distance pour le périphérique.

Vous trouverez ci-dessous les questions fréquemment posées concernant la conception et les paramètres de sécurité d’Outlook pour iOS et Android.

Si vous avez choisi de bloquer Outlook pour iOS et Android, d’accéder à des serveurs Exchange sur site, la connexion initiale est rejetée par Exchange. Informations d’identification utilisateur ne seront pas enregistrées par le service de cloud de Outlook et les informations d’identification présentées lors de la tentative de connexion a échoué sont immédiatement purgées de la mémoire.

Toutes les communications entre le service de Outlook et de l’application Outlook sont via une connexion TLS cryptée. L’application Outlook est capable de se connecter avec le service Outlook et rien d’autre.

Il existe trois manières de supprimer les informations du service Outlook, comme indiqué ci-dessous :

  • Option 1 : lancer une réinitialisation à distance pour chaque utilisateur ayant utilisé l’application afin de se connecter à Exchange.

  • Option 2 : tous les utilisateurs doivent supprimer Outlook pour iOS et Android. Toutes les données seront supprimées du service Outlook au bout d’une période de 3 à 7 jours.

  • Option 3 : tous les utilisateurs doivent supprimer leurs comptes de l’application Outlook, puis supprimer l’application de leurs périphériques. Dans l’application, demandez aux utilisateurs d’accéder à Paramètres, d’appuyer sur Paramètres du compte, Sélectionner un compte, puis sur Supprimer le compte.

Le service Outlook déchiffre les mots de passe utilisateur dans la mémoire de calcul d’exécution, puis utilise les mots de passe déchiffrés pour se connecter à Exchange. Étant donné que le service Outlook se connecte à Exchange à la place du périphérique afin d’extraire et de mettre en cache les données de la boîte aux lettres, il reste connecté pendant une courte période, jusqu’à ce que le service détecte qu’Outlook ne demande plus de données.

Si un utilisateur désinstalle l’application à partir de leur appareil sans utiliser d’abord l’option Supprimer le compte, le service Outlook reste connecté à votre serveur Exchange jusqu'à ce que le compte est désactivé, comme décrit ci-dessus dans « compte inactivité et consommation mots de passe à partir de la mémoire. » Pour arrêter cette activité, suivez l’Option 1 ou 3 dans le Forum aux questions ci-dessus, ou bloquer l’application, comme indiqué dans Activation d’Outlook pour iOS et Android dans Exchange Online.

N° Les clients EAS enregistrement généralement les informations d’identification de l’utilisateur localement sur le périphérique de l’utilisateur. Cela signifie que d’un périphérique volé ou compromis pourrait entraîner une partie malveillante, l’accès au mot de passe de l’utilisateur. Avec la sécurité de conception de Outlook pour iOS et Android, une partie malveillante est nécessaire pour le service de Outlook et tout accès non autorisé aurait un accès physique au périphérique d’un utilisateur.

Si un compte d’utilisateur devient inactif (par exemple, si l’actualisation de l’application en arrière-plan est désactivée sur le périphérique ou si le périphérique se déconnecte d’Internet pendant un certain temps), l’application Outlook se reconnecte au service Outlook lors du prochain lancement de l’application, et le processus de chiffrement de mot de passe et de mise en cache des messages redémarre. Ce processus est transparent pour l’utilisateur.

Vous pouvez découvrir comment nos données sont protégées dans le Centre de confiance Azure. Comme mentionné précédemment, nous progressions dans Azure et Office 365. La sécurité de ces services est couvert dans Le centre de confiance Office 365.

 
Afficher: