Konfigurieren von S/MIME für Windows 10 und Windows 10 Mobile

S/MIME steht für „Secure/Multipurpose Internet Mail Extensions“ und stellt eine zusätzliche Sicherheitsschicht für E-Mails bereit, die an ein Exchange ActiveSync-Konto (EAS) bzw. von diesem Konto gesendet werden. In Windows 10 können Benutzer mit S/MIME ausgehende Nachrichten und Anlagen verschlüsseln, damit diese nur von den gewünschten Empfängern mit einer digitalen ID (auch als Zertifikat bezeichnet) gelesen werden können. Benutzer können eine Nachricht digital signieren. So haben Empfänger eine Möglichkeit, die Identität des Absenders zu überprüfen und sicherzustellen, dass die Nachricht nicht manipuliert wurde.

Informationen zur Verschlüsselung von Nachrichten

Benutzer können verschlüsselte Nachrichten an Personen in ihrem Unternehmen und Personen außerhalb des Unternehmens senden, wenn diese über die richtigen Verschlüsselungszertifikate verfügen. Benutzer mit der Mail-App von Windows 10 können verschlüsselte Nachrichten aber nur lesen, wenn sie die Nachricht über ihr Exchange-Konto empfangen und im Besitz der entsprechenden Entschlüsselungsschlüssel sind.

Verschlüsselte Nachrichten können nur von Empfängern gelesen werden, die über ein Zertifikat verfügen. Wenn Sie versuchen, eine verschlüsselte Nachricht an Empfänger zu senden, deren Verschlüsselungszertifikate nicht verfügbar sind, werden Sie von der App aufgefordert, diese Empfänger vor dem Senden der E-Mail zu entfernen.

Informationen zu digitalen Signaturen

Bei einer digital signierten Nachricht kann der Empfänger sicher sein, dass die Nachricht nicht manipuliert wurde, und er kann die Identität des Absenders überprüfen. Empfänger können die digitale Signatur nur überprüfen, wenn sie einen E-Mail-Client verwenden, der S/MIME unterstützt.

Voraussetzungen

• S/MIME ist für Exchange-Konten aktiviert (lokal und Office 365). Benutzer können die S/MIME-Signierung und -Verschlüsselung nicht mit einem persönlichen Konto verwenden, z. B. Outlook.com.

• Gültige Zertifikate vom Typ „Privater Informationsaustausch (PFX)“ sind auf dem Gerät installiert.

  • Erstellen von PFX-Zertifikatprofilen in Configuration Manager
  • Aktivieren des Zugriffs auf Unternehmensressourcen per Zertifikatprofil mit Microsoft Intune
  • Installieren digitaler Zertifikate unter Windows 10 Mobile

Auswählen von S/MIME-Einstellungen

Führen Sie auf dem Gerät die folgenden Schritte aus: (Ausgewähltes Zertifikat hinzufügen)

1. Öffnen Sie die Mail-App. (Unter Windows 10 Mobile ist dies die Outlook-Mail-App.)

2. Öffnen Sie Einstellungen, indem Sie auf einem PC auf das Zahnradsymbol bzw. auf einem Smartphone auf die Auslassungspunkte (...) und dann auf das Zahnradsymbol tippen.

   

3. Tippen Sie auf E-Mail-Sicherheit.

   

4. Wählen Sie unter Konto auswählen das Konto aus, für das Sie S/MIME-Optionen konfigurieren möchten.

5. Wählen Sie ein Zertifikat für die digitale Signatur und die Verschlüsselung aus.

   • Wählen Sie Automatisch, um das Zertifikat von der App auswählen zu lassen.
   • Wählen Sie Manuell, wenn Sie das Zertifikat selbst aus der Liste mit den gültigen Zertifikaten auf dem Gerät auswählen möchten.

6. (Optional) Wählen Sie Immer mit S/MIME signieren, Immer mit S/MIME verschlüsseln oder beide Optionen aus, wenn alle ausgehenden Nachrichten automatisch digital signiert bzw. verschlüsselt werden sollen. Hinweis  Die Option zum Signieren oder Verschlüsseln kann für einzelne Nachrichten geändert werden, es sei denn, dies wird durch EAS-Richtlinien verhindert.

    

7. Tippen Sie auf den Zurück-Pfeil.

Verschlüsseln oder Signieren einzelner Nachrichten

1. Wählen Sie beim Verfassen einer Nachricht im Menüband Optionen. Auf dem Smartphone können Sie auf Optionen zugreifen, indem Sie auf die Auslassungspunkte (...) tippen.

2. Verwenden Sie die Symbole Signieren und Verschlüsseln, um die digitale Signatur und die Verschlüsselung für diese Nachricht zu aktivieren.

   

Lesen signierter oder verschlüsselter Nachrichten

Wenn Sie eine verschlüsselte Nachricht erhalten, wird von der Mail-App überprüft, ob auf dem Computer ein Zertifikat verfügbar ist. Wenn ein Zertifikat verfügbar ist, wird die Nachricht beim Öffnen entschlüsselt. Wenn Ihr Zertifikat auf einer Smartcard gespeichert ist, werden Sie aufgefordert, zum Lesen der Nachricht die Smartcard einzulegen. Für die Smartcard kann auch eine PIN erforderlich sein, um auf das Zertifikat zuzugreifen.

Installieren von Zertifikaten aus einer empfangenen Nachricht

Wenn Sie eine signierte E-Mail erhalten, können Sie die App-Features verwenden, um das entsprechende Verschlüsselungszertifikat auf Ihrem Gerät zu installieren, sofern das Zertifikat verfügbar ist. Dieses Zertifikat kann dann verwendet werden, um verschlüsselte E-Mails an die jeweilige Person zu senden.

1. Öffnen Sie eine signierte E-Mail.

2. Tippen oder klicken Sie im Lesebereich auf das Symbol für die digitale Signatur.

3. Tippen Sie auf Installieren.