Konfigurieren von S/MIME in Exchange Online

S/MIME (Secure/Multipurpose Internet Mail Extensions) stellt ein weitgehend akzeptiertes Protokoll zum Senden digital signierter und verschlüsselter Nachrichten dar. Weitere Informationen finden Sie unter S/MIME zum Signieren und Verschlüsseln von Nachrichten in Exchange Online.

S/MIME ist in Exchange Online mit den folgenden Typen von E-Mail-Clients verfügbar:

• Unterstützte Versionen von Outlook.

• Outlook im Web (ehemals Outlook Web App) auf Windows-Clients. Weitere Informationen finden Sie unter Verschlüsseln von Nachrichten mit S/MIME in Outlook im Web.

  Hinweis

  Vertrauliche Richtlinienaktionen werden auf dem Server-Backend angewendet, während die S/MIME-Signierung und/oder -Verschlüsselung im Outlook für das Web-Client erfolgt. Aufgrund dieser Architektureinschränkung ist S/MIME in Outlook im Web in Nachrichten deaktiviert, in denen Vertraulichkeitsbezeichnungen mit Schutzaktionen vorhanden sind.

• Mobile Geräte (z. B. Outlook für iOS und Android, Exchange ActiveSync-Apps oder native E-Mail-Apps).

Als ein Exchange Online-Administrator können Sie die S/MIME-basierte Sicherheit für die Postfächer in Ihrer Organisation aktivieren. Die wichtigsten Schritte sind in der folgenden Liste beschrieben und werden in diesem Artikel näher erläutert:

1. Einrichten und Veröffentlichen von S/MIME-Zertifikaten.
2. Richten Sie eine virtuelle Zertifikatsammlung in Exchange Online ein.
3. Synchronisieren Sie Benutzerzertifikate für S/MIME in Microsoft 365.
4. Konfigurieren Sie Richtlinien zum Installieren von S/MIME-Erweiterungen in Webbrowsern für Outlook im Web.
5. Konfigurieren Sie E-Mail-Clients für die Verwendung von S/MIME.

Eine Anleitung zur End-to-End-S/MIME-Konfiguration für Outlook für iOS und Android finden Sie unter S/MIME für Outlook für iOS und Android.

Schritt 1: Einrichten und Veröffentlichen von S/MIME-Zertifikaten

Jeder Benutzer in Ihrer Organisation benötigt ein eigenes Zertifikat, das zum Signieren und Verschlüsseln ausgestellt wurde. Sie veröffentlichen diese Zertifikate in Ihrem lokalen Active Directory zur Verteilung. Ihr Active Directory muss sich auf Computern an einem von Ihnen gesteuerten physischen Ort befinden, und nicht an einem Remote-Standort oder in einem cloudbasierten Dienst im Internet.

Weitere Informationen zu Active Directory finden Sie unter Übersicht über Active Directory Domain Services.

1. Installieren Sie eine Windows-basierte Zertifizierungsstelle (Certificate Authority, CA), und richten Sie eine öffentliche Schlüsselinfrastruktur (Public Key Infrastructure, PKI) zum Ausstellen von S/MIME-Zertifikaten ein. Zertifikate, die von Drittanbietern ausgestellt wurden, werden ebenfalls unterstützt. Details finden Sie unter Active Directory-Zertifikatdienste: Übersicht.

   Hinweise:

   • Zertifikate, die durch eine Drittanbieter-CA ausgestellt werden, haben den Vorteil, dass sie von allen Clients und Geräten automatisch als vertrauenswürdig eingestuft werden. Von einer internen, privaten CA ausgestellte Zertifikate werden von Clients und Geräten nicht automatisch als vertrauenswürdig eingestuft, und nicht alle Geräte (Smartphones beispielsweise) können so konfiguriert werden, dass sie privaten Zertifikaten vertrauen.
   • Erwägen Sie die Verwendung eines Zwischenzertifikats anstelle des Stammzertifikats, um Zertifikate für Benutzer auszustellen. Auf diese Weise bleibt das Stammzertifikat intakt, falls Sie jemals Zertifikate widerrufen und neu ausstellen müssen.
   • Das Zertifikat muss über einen privaten Schlüssel verfügen, und die X509-Erweiterung „Antragstellerschlüsselbezeichner“ muss aufgefüllt werden.

2. Veröffentlichen Sie das Zertifikat des Benutzers in dessen lokalem Active Directory-Konto in den Attributen UserSMIMECertificate und/oder UserCertificate.

Schritt 2: Einrichten einer virtuellen Zertifikatsammlung in Exchange Online

Die Sammlung des virtuellen Zertifikats ist für die Überprüfung von S/MIME-Zertifikaten zuständig. Richten Sie die Sammlung des virtuellen Zertifikats mithilfe der folgenden Schritte ein:

1. Exportieren Sie die Stamm- und Zwischenzertifikate, die zum Überprüfen von Benutzer-S/MIME-Zertifikaten von einem vertrauenswürdigen Computer erforderlich sind, in eine serialisierte Zertifikatspeicherdatei (SST) in Windows PowerShell. Zum Beispiel:

   Get-ChildItem -Path cert:\<StoreCertPath> | Export-Certificate -FilePath "C:\My Documents\Exported Certificate Store.sst" -Type SST
   

   Detaillierte Informationen zur Syntax und den Parametern finden Sie unter Export-Certificate.

2. Importieren Sie die Zertifikate aus der SST-Datei in Exchange Online, indem Sie den folgenden Befehl in Exchange Online PowerShell ausführen:

   Set-SmimeConfig -SMIMECertificateIssuingCA ([System.IO.File]::ReadAllBytes('C:\My Documents\Exported Certificate Store.sst'))
   

   Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-SmimeConfig.

Schritt 3: Synchronisieren von Benutzerzertifikaten für S/MIME in Microsoft 365

Bevor jemand S/MIME-geschützte Nachrichten in Exchange Online senden kann, müssen Sie die entsprechenden Zertifikate für jeden Benutzer einrichten und konfigurieren und seine öffentlichen X.509-Zertifikate in Microsoft 365 veröffentlichen. Der E-Mail-Client des Absenders verwendet das öffentliche Zertifikat des Empfängers, um die Nachricht zu verschlüsseln.

1. Stellen Sie Zertifikate aus, und veröffentlichen Sie sie in Ihrem lokalen Active Directory. Weitere Informationen finden Sie unter Active Directory-Zertifikatdienste: Übersicht.

2. Nachdem Ihre Zertifikate veröffentlicht wurden, verwenden Sie Microsoft Entra Connect, um Benutzerdaten aus Ihrer lokalen Exchange-Umgebung mit Microsoft 365 zu synchronisieren. Weitere Informationen zu diesem Prozess finden Sie unter Microsoft Entra Connect Synchronisierung: Verstehen und Anpassen der Synchronisierung.

Neben der Synchronisierung anderer Verzeichnisdaten synchronisiert Microsoft Entra Connect die Attribute userCertificate und userSMIMECertificate für jedes Benutzerobjekt für die S/MIME-Signierung und Verschlüsselung von E-Mail-Nachrichten. Weitere Informationen zu Microsoft Entra Connect finden Sie unter Was ist Microsoft Entra Connect?.

Schritt 4: Konfigurieren von Richtlinien zum Installieren der S/MIME-Erweiterungen in Webbrowsern

S/MIME in Outlook im Web im Chromium-basierten Microsoft Edge oder in Google Chrome erfordert bestimmte Richtlinieneinstellungen, die von einem Administrator konfiguriert werden.

Insbesondere müssen Sie die Richtlinie ExtensionInstallForcelist festlegen und konfigurieren, um die S/MIME-Erweiterung im Browser zu installieren. Der Richtlinienwert ist maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx. Die Anwendung dieser Richtlinie erfordert in die Domäne eingebundene oder Microsoft Entra eingebundene Geräte, sodass die Verwendung von S/MIME in Edge oder Chrome effektiv in die Domäne eingebundene oder Microsoft Entra eingebundene Geräte erfordert.

Details zu den Richtlinien finden Sie in den folgenden Themen:

• ExtensionInstallForcelist – Edge
• ExtensionInstallForcelist – Chrome

Die Richtlinie ist eine Voraussetzung für die Verwendung von S/MIME in Outlook im Web. Es ersetzt nicht das S/MIME-Steuerelement, das von Benutzern installiert wird. Benutzer werden bei der ersten Verwendung von S/MIME aufgefordert, das S/MIME-Steuerelement in Outlook im Web herunterzuladen und zu installieren. Alternativ können Benutzer proaktiv zu S/MIME in ihren Outlook im Web-Einstellungen wechseln, um den Downloadlink für das Steuerelement abzurufen.

Schritt 5: Konfigurieren von E-Mail-Clients für die Verwendung von S/MIME

Wenn ein E-Mail-Client S/MIME unterstützt, ist die nächste Überlegung der Zugriff auf das S/MIME-Zertifikat des Benutzers durch diesen E-Mail-Client. Das S/MIME-Zertifikat muss auf dem Computer oder Gerät des Benutzers installiert werden. Sie können S/MIME-Zertifikate automatisch (z. B. mit Microsoft Endpoint Manager) oder manuell verteilen (z. B. kann der Benutzer das Zertifikat von seinem Computer exportieren und es auf seinem mobilen Gerät importieren). Nachdem das Zertifikat lokal verfügbar ist, können Sie S/MIME in den Einstellungen des E-Mail-Clients aktivieren und konfigurieren.

Weitere Informationen zu diesen Clients und Diensten finden Sie in den folgenden Themen:

• Outlook: Weitere Informationen finden Sie im Abschnitt „Verschlüsseln mit S/MIME“ unter Verschlüsseln von E-Mail-Nachrichten.
• Outlook für iOS und Android: Aktivieren von S/MIME im Client
• E-Mail in iOS: Verwenden von S/MIME zum Senden verschlüsselter Nachrichten in einer Exchange-Umgebung unter iOS

Sie können auch die folgenden Parameter für die Cmdlets New-MobileDeviceMailboxPolicy und Set-MobileDeviceMailboxPolicy in Exchange Online PowerShell verwenden, um S/MIME-Einstellungen für mobile Geräte zu konfigurieren:

• AllowSMIMEEncryptionAlgorithmNegotiation
• AllowSMIMESoftCerts
• RequireEncryptedSMIMEMessages
• RequireEncryptionSMIMEAlgorithm
• RequireSignedSMIMEAlgorithm
• RequireSignedSMIMEMessages