Exchange: Outlook for iOS/Android Deep Dive

Heute schauen wir uns die Outlook for iOS/Android App etwas genauer an und klären, warum man womöglich als Unternehmen darauf verzichten sollte, diese App zu verwenden. Denn Microsoft setzt im Hintergrund auf eine Synchronisierungsmethode, welche die On-Premises Daten in die Microsoft Cloud verschiebt und sogar das Active-Directory Passwort im Klartext kopiert.

Die Qual der Wahl

Als Administrator eines Exchanges veröffentlicht man meist den Service „ActiveSync“ nach außen. Dieser ermöglicht es, dass sich mobile Geräte mit dem Exchange verbinden um das Postfach beispielsweise auf einem Smartphone einzurichten. Somit können Nutzer auch von unterwegs auf ihre E-Mails zugreifen. Jeder namenhafte Smartphone-Hersteller bietet dabei eine eigene Integration einer solchen Mail-App an. Auf Apple-Geräten wird diese zum Beispiel „Apple Mail“ genannt, bei Samsung wiederum „Samsung Email“. Das Problem an der Sache: Jeder Hersteller integriert das ActiveSync-Protokoll etwas anders, das Overlay und das Look&Feel unterscheiden sich ebenfalls.

Microsoft präsentiert dafür eine vermeintlich gute Lösung: Outlook for iOS/Android. Da bereits sehr viele Nutzer Outlook am PC/Mac verwenden, liegt es dem Benutzer nahe, auch am Smartphone auf diese Applikation zu setzen. Das mag auch für den Großteil der Menschen eine gute Option sein, doch gerade Unternehmen sollten die Verwendung vorab prüfen. Denn die App aus dem Hause Microsoft funktioniert im Hintergrund grundsätzlich anders, als jene der Konkurrenten.

Versteckter Sync mit der Cloud

Die Theorie

Betreibt man als Unternehmen seinen eigenen On-Premises Exchange, hat man diesen Schritt wohl mitunter auch deswegen gewählt, weil man seine sensiblen Daten nicht in die Microsoft Cloud verlagern möchte. Doch Nutzer, welche auf die Outlook for iOS/Android App setzen, tun genau das. Denn ohne, dass man darüber informiert wird, werden die Daten des Postfaches in die Microsoft Cloud synchronisiert. Das Smartphone wiederum holt sich die Daten nicht direkt vom On-Premises Exchange, sondern von der Cloud. Die folgende Traffic illustriert den Aufbau noch einmal:

Beim Einrichten der App übergibt das Smartphone die Zugangsdaten an die Microsoft Cloud. Die Cloud meldet sich anschließend am On-Premises Exchange an und holt sich von dort via EAS (Exchange ActiveSync) alle relevanten Elemente ab und liefert sie an das Smartphone weiter. Dieser Prozess findet bei jedem Abruf erneut statt. Ist dir vielleicht auch schon einmal aufgefallen, warum man in der Outlook App nur die Daten der letzten 4 Wochen abrufen kann? Das liegt einfach daran, dass nur die Postfachdaten der letzten 4 Wochen mit der Cloud synchronisiert werden. Ältere Elemente fallen automatisch raus und können deswegen auch nicht mehr am Smartphone dargestellt werden.

Neben der Tatsache, dass somit die Postfachdaten in der Cloud liegen, muss natürlich auch das Active-Directory Passwort des Nutzers mitgeschickt werden. Ansonsten könnte Microsoft nicht auf die On-Premises Umgebung zugreifen. Es wird hierbei allerdings auch betont, dass das Klartext-Passwort niemals irgendwo abgelegt wird, sondern ausschließlich im RAM verbleibt. Es wird lediglich in verschlüsselter Form auf einen Datenträger geschrieben. Wie dieser Prozess genau funktioniert übersteigt allerdings den Scope dieses Artikels. Wär also Näheres zur Verschlüsselung des Passworts erfahren möchte, kann das direkt in den Microsoft Docs tun. Das Speichern des Passwortes kann man übrigens auch verhindern, indem nicht „Basic“, sondern die „Modern Authentication“ Autorisierungsmethode verwendet. Näheres dazu in meinem vorherigen Post: Exchange On-Premise: Modern Authentication

Die Praxis

Dass wirklich Microsoft auf den Exchange zugreift, können wir auch in den IIS-Logs sehr gut nachvollziehen. Ich verwende die Outlook for iOS/Android auf einem On-Premises Exchange und kann folgende Zeilen nachvollziehen.

Anhand des X-Forwarded-For Parameters sehen wir die tatsächliche IP-Adresse des Clients, welcher auf mein Postfach zugreift. Diese ist in den Niederlanden beheimatet und gehört zum Hoheitsbereich von Microsoft.

Vergesst nicht die Lizenzen

Outlook for iOS/Android ist grundsätzlich kostenlos in jedem Appstore herunterladbar. Für Privatanwender ist diese App auch tatsächlich kostenlos, für Unternehmen sieht das allerdings anders aus. Die kommerzielle Nutzung wird nur gestattet, wenn der jeweilige Nutzer ein passendes Office365 und/oder Microsoft365 Abonnement besitzt. Da sich die Lizenzierungen stätig ändern und ich nicht gewährleisten kann, diesen Artikel immer auf den neusten Stand zu halten, könnt ihr euch weitere Informationen dazu wieder direkt von Microsoft holen: Outlook for iOS and Android in Exchange Online: FAQ | Microsoft Docs

Zusammenfassung

Wer seine Postfächer bereits über Exchange Online bezieht, muss sich über das Thema keine Gedanken machen. Alle jene, die sich aber die Arbeit machen, einen eigenen Exchange zu betreiben, tun dies vermutlich auch aus einem bestimmten Grund. Ist einer der Gründe die Datenhoheit zu behalten und sensible Informationen nicht in irgendeine undurchsichtige Cloud zu verlagern, dann sollte auch die Verwendung der Outlook for iOS/Android App überdacht werden. Denn:

• Jegliche Elemente des Postfaches werden für 4 Wochen in der Microsoft Cloud aufbewahrt
• Microsoft behält das Passwort des Postfaches in Klartext im Arbeitsspeicher
• Kommerzielle Nutzung benötigt ein Office365 oder Microsoft365 Abonnement
• Administratoren können ein Gerät, auf dem das Exchange Postfach via Outlook for iOS/Android eingerichtet wurde, nicht vollständig zurücksetzen

Wer diese Punkte kritisch sieht, sollte womöglich auf die Nutzung der App verzichten. Alternativen gibt es jedenfalls. Als Administrator kann der Zugriff via Outlook for iOS/Android auch mittels Exchange-Boardmittel verboten werden. Dazu aber in folgendem Artikel mehr.