Freigeben über

S/MIME für Outlook für iOS und Android in Exchange Online

  • Artikel

S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein weit verbreitetes Protokoll zum Senden digital signierter und verschlüsselter Nachrichten. Weitere Informationen finden Sie unter S/MIME für die Nachrichtensignatur und -verschlüsselung in Exchange Online.

Um S/MIME in Outlook für iOS und Android nutzen zu können, müssen Sie bestimmte S/MIME-Voraussetzungen in Exchange Online konfigurieren. Nachdem Sie diese Schritte ausgeführt haben, können Sie S/MIME-Zertifikate in Outlook für iOS und Android mit den folgenden Methoden bereitstellen:

  • Manuelle Zertifikatübermittlung
  • Automatisierte Zertifikatübermittlung

In diesem Artikel wird beschrieben, wie Sie Exchange Online für S/MIME mithilfe von Outlook für iOS und Android konfigurieren und S/MIME in Outlook für iOS und Android verwenden.

S/MIME-Voraussetzungen

Stellen Sie sicher, dass S/MIME in Exchange Online ordnungsgemäß konfiguriert wurde, indem Sie die unter Konfigurieren von S/MIME in Exchange Online beschriebenen Schritte ausführen. Dies umfasst insbesondere Folgendes:

  1. Einrichten der Sammlung virtueller Zertifikate.
  2. Veröffentlichen der Zertifikatsperrliste im Internet.

Bei manuellen und automatisierten Zertifikatübermittlungslösungen wird erwartet, dass die vertrauenswürdige Stammkette des Zertifikats in der virtuellen Zertifikatsammlung Ihres Exchange Online Mandanten verfügbar und auffindbar ist. Die Vertrauensüberprüfung wird für alle digitalen Zertifikate durchgeführt. Exchange Online überprüft das Zertifikat, indem jedes Zertifikat in der Zertifikatkette überprüft wird, bis es ein vertrauenswürdiges Stammzertifikat erreicht. Diese Überprüfung erfolgt durch Abrufen der Zwischenzertifikate über das Zugriffssattribut für Autoritätsinformationen im Zertifikat, bis ein vertrauenswürdiges Stammzertifikat gefunden wird. Zwischenzertifikate können auch in digital signierte E-Mail-Nachrichten eingeschlossen werden. Wenn Exchange Online ein vertrauenswürdiges Stammzertifikat findet und die Zertifikatsperrliste für die Zertifizierungsstelle abfragen kann, gilt die Kette des digitalen Zertifikats für dieses digitale Zertifikat als gültig und vertrauenswürdig und kann verwendet werden. Wenn Exchange Online kein vertrauenswürdiges Stammzertifikat findet oder die Zertifikatsperrliste für die Zertifizierungsstelle nicht kontaktieren kann, wird dieses Zertifikat als ungültig und nicht vertrauenswürdig angesehen.

Outlook für iOS und Android nutzt die primäre SMTP-Adresse des Benutzers für Nachrichtenflussaktivitäten, die während der Einrichtung des Kontoprofils konfiguriert wird. Das von Outlook für iOS und Android verwendete S/MIME-Zertifikat wird berechnet, indem die primäre SMTP-Adresse des Benutzers, wie im Kontoprofil definiert, mit dem Antragstellerwert des Zertifikats oder dem Wert des alternativen Antragstellernamens verglichen wird. Wenn diese nicht übereinstimmen, meldet Outlook für iOS und Android, dass kein Zertifikat verfügbar ist (siehe Abbildung 7) und lässt dem Benutzer nicht zu, Nachrichten zu signieren und/oder zu verschlüsseln.

Manuelle Zertifikatübermittlung

Outlook für iOS und Outlook für Android unterstützen beide die manuelle Zertifikatübermittlung. Dies ist der Fall, wenn das Zertifikat per E-Mail an den Benutzer gesendet wird und der Benutzer in der App auf die Zertifikatanlage tippt, um die Installation des Zertifikats zu initiieren. Die folgende Abbildung zeigt, wie die manuelle Zertifikatübermittlung unter iOS funktioniert.

Screenshots der manuellen Zertifikatinstallation unter iOS.

Ein Benutzer kann sein eigenes Zertifikat exportieren und es mithilfe von Outlook per E-Mail an sich selbst senden. Weitere Informationen finden Sie unter Exportieren eines digitalen Zertifikats.

Wichtig

Stellen Sie beim Exportieren des Zertifikats sicher, dass das exportierte Zertifikat durch ein sicheres Kennwort geschützt ist.

Automatisierte Zertifikatübermittlung

Wichtig

  • Outlook für iOS und Android unterstützt nur die automatisierte Zertifikatübermittlung, wenn Microsoft Endpoint Manager der Registrierungsanbieter ist.

  • Für Outlook für iOS ist dies auf die Architektur der iOS-Keychain zurückzuführen. iOS bietet eine System-Keychain und Herausgeber-Keychains. iOS verhindert, dass Drittanbieter-Apps auf das System zugreifen Keychain (nur Erstanbieter-Apps und der Safari-Webansichtscontroller können auf das System zugreifen Keychain). Um Zertifikate bereitzustellen, auf die Outlook für iOS zugreifen kann, müssen sich die Zertifikate in der Microsoft-Herausgeber-Keychain befinden, auf die Outlook für iOS Zugriff hat. Nur von Microsoft veröffentlichte Apps wie die Unternehmensportal können Zertifikate im Microsoft-Herausgeber-Keychain platzieren.

  • Outlook für Android basiert auf Endpoint Manager, um die S/MIME-Zertifikate bereitzustellen und zu genehmigen. Die automatische Zertifikatübermittlung wird in Android-Registrierungsszenarien unterstützt: Geräteadministrator, Android Enterprise-Arbeitsprofil und vollständig verwaltete Android Enterprise-Instanzen.

Mit Endpoint Manager können Organisationen Verschlüsselungszertifikatverläufe von jeder Zertifizierungsstelle importieren. Endpoint Manager übermittelt diese Zertifikate dann automatisch an jedes Gerät, das der Benutzer registriert. Im Allgemeinen wird das Simple Certificate Enrollment-Protokoll (SCEP) zum Signieren von Zertifikaten verwendet. Mit SCEP wird der private Schlüssel generiert und auf dem registrierten Gerät gespeichert, und jedem Gerät, das ein Benutzer registriert, wird ein eindeutiges Zertifikat übermittelt, das für die Nichtabstreitbarkeit verwendet werden kann. Schließlich unterstützt Endpoint Manager abgeleitete Anmeldeinformationen für Kunden, die Unterstützung für den NIST 800-157-Standard benötigen. Die Unternehmensportal wird verwendet, um Signatur- und Verschlüsselungszertifikate aus Intune abzurufen.

Um Zertifikate an Outlook für iOS und Android zu übermitteln, müssen Sie die folgenden Voraussetzungen erfüllen:

Automatisierte Zertifikatübermittlung in Outlook für iOS

Führen Sie die folgenden Schritte aus, um die S/MIME-Richtlinie von Outlook für iOS in Endpoint Manager zu erstellen und zu konfigurieren. Diese Einstellungen ermöglichen die automatisierte Übermittlung der Signatur- und Verschlüsselungszertifikate.

  1. Melden Sie sich bei Microsoft Endpoint Manager an.

  2. Wählen Sie Apps und dann App-Konfigurationsrichtlinien aus.

  3. Wählen Sie auf dem Blatt App Configuration Richtliniendie Option Hinzufügen und dann Verwaltete Geräte aus, um den Erstellungsflow für die App-Konfigurationsrichtlinie zu starten.

  4. Geben Sie im Abschnitt Grundlagen einen Namen und optional eine Beschreibung für die App-Konfigurationseinstellungen ein.

  5. Wählen Sie unter Plattformdie Option iOS/iPadOS aus.

  6. Wählen Sie für Ziel-App die Option App auswählen und dann auf dem Blatt Zugeordnete Appdie Option Microsoft Outlook aus. Klicken Sie auf OK.

    Hinweis

    Wenn Outlook nicht als verfügbare App aufgeführt ist, müssen Sie es hinzufügen, indem Sie die Anweisungen unter Zuweisen von Apps zu Android-Arbeitsprofilgeräten mit Intune und Hinzufügen von iOS Store-Apps zu Microsoft Intune befolgen.

  7. Klicken Sie auf Konfigurationseinstellungen , um Konfigurationseinstellungen hinzuzufügen.

    Wählen Sie neben Konfigurationseinstellungsformat die Option Konfigurations-Designer verwenden aus, und übernehmen oder ändern Sie die Standardeinstellungen. Weitere Informationen finden Sie unter Bereitstellen von App-Konfigurationseinstellungen für Outlook für iOS und Android.

  8. Klicken Sie auf S/MIME , um die Outlook S/MIME-Einstellungen anzuzeigen. Screenshot: Outlook-S/MIME-Einstellungen.

  9. Legen Sie S/MIME aktivieren auf Ja fest. Wenn Sie Ja oder Nein auswählen, können Administratoren dem Benutzer erlauben, den Wert der App-Einstellung zu ändern. Wählen Sie Ja (App-Standard) aus, um dem Benutzer das Ändern der Einstellung zu ermöglichen, oder wählen Sie Nein aus, wenn Sie verhindern möchten, dass der Benutzer den Wert der Einstellung ändert.

  10. Wählen Sie aus , ob Alle E-Mails verschlüsselt werden sollen, indem Sie Ja oder Nein auswählen. Wenn Sie Ja oder Nein auswählen, können Administratoren dem Benutzer erlauben, den Wert der App-Einstellung zu ändern. Wählen Sie Ja (App-Standard) aus, um dem Benutzer das Ändern der Einstellung zu ermöglichen, oder wählen Sie Nein aus, wenn Sie verhindern möchten, dass der Benutzer den Wert der Einstellung ändert.

  11. Wählen Sie aus, ob Sie alle E-Mails signieren möchten, indem Sie Ja oder Nein auswählen. Wenn Sie Ja oder Nein auswählen, können Administratoren dem Benutzer erlauben, den Wert der App-Einstellung zu ändern. Wählen Sie Ja (App-Standard) aus, um dem Benutzer das Ändern der Einstellung zu ermöglichen, oder wählen Sie Nein aus, wenn Sie verhindern möchten, dass der Benutzer den Wert der Einstellung ändert.

  12. Stellen Sie bei Bedarf eine LDAP-URL für die Suche nach Empfängerzertifikaten bereit. Weitere Informationen zum URL-Format finden Sie unter LDAP-Unterstützung für die Zertifikatsuche.

  13. Legen Sie Deploy S/MIME certificates from Intune (S/MIME-Zertifikate aus Intune bereitstellen) auf Ja fest.

  14. Wählen Sie unter Signaturzertifikate neben Zertifikatprofiltyp eine der folgenden Optionen aus:

    • SCEP: Erstellt ein Zertifikat, das für das Gerät und den Benutzer eindeutig ist und von Microsoft Outlook zum Signieren verwendet werden kann. Informationen dazu, was für die Verwendung von SCEP-Zertifikatprofilen erforderlich ist, finden Sie unter Konfigurieren der Infrastruktur zur Unterstützung von SCEP mit Intune.
    • Importierte PKCS-Zertifikate: Verwendet ein Zertifikat, das für den Benutzer eindeutig ist, aber geräteübergreifend freigegeben werden kann und vom Administrator im Namen des Benutzers in Endpoint Manager importiert wurde. Das Zertifikat wird an jedes Gerät übermittelt, das ein Benutzer registriert. Endpoint Manager wählt automatisch das importierte Zertifikat aus, das signieren unterstützt, um es an das Gerät zu übermitteln, das dem registrierten Benutzer entspricht. Informationen dazu, was für die Verwendung importierter PKCS-Zertifikate erforderlich ist, finden Sie unter Konfigurieren und Verwenden von PKCS-Zertifikaten mit Intune.
    • Abgeleitete Anmeldeinformationen: Verwendet ein Zertifikat, das sich bereits auf dem Gerät befindet und zum Signieren verwendet werden kann. Das Zertifikat muss auf dem Gerät mithilfe der abgeleiteten Anmeldeinformationen in Intune abgerufen werden.

  15. Wählen Sie unter Verschlüsselungszertifikate neben Zertifikatprofiltyp eine der folgenden Optionen aus:

    • Importierte PKCS-Zertifikate: Stellt alle Verschlüsselungszertifikate bereit, die vom Administrator auf allen Geräten, die ein Benutzer registriert, in Endpoint Manager importiert wurden. Endpoint Manager wählt automatisch die importierten Zertifikate aus, die die Verschlüsselung unterstützen und an die Geräte des registrierten Benutzers übermittelt werden.
    • Abgeleitete Anmeldeinformationen: Verwendet ein Zertifikat, das sich bereits auf dem Gerät befindet und zum Signieren verwendet werden kann. Das Zertifikat muss auf dem Gerät mithilfe der abgeleiteten Anmeldeinformationen in Intune abgerufen werden.

  16. Wählen Sie neben Endbenutzerbenachrichtigungen aus, wie Endbenutzer benachrichtigt werden sollen, um die Zertifikate abzurufen, indem Sie Unternehmensportal oder Email auswählen.

    Unter iOS müssen Benutzer die Unternehmensportal-App verwenden, um ihre S/MIME-Zertifikate abzurufen. Endpoint Manager informiert den Benutzer darüber, dass er die Unternehmensportal zum Abrufen seiner S/MIME-Zertifikate über den Abschnitt Benachrichtigungen von Unternehmensportal, einer Pushbenachrichtigung und/oder einer E-Mail starten muss. Wenn Sie auf eine der Benachrichtigungen klicken, gelangen Sie zu einer Landing Page, die sie über den Fortschritt beim Abrufen der Zertifikate informiert. Nachdem die Zertifikate abgerufen wurden, kann der Benutzer S/MIME aus Microsoft Outlook für iOS verwenden, um E-Mails zu signieren und zu verschlüsseln.

    Die Endbenutzerbenachrichtigungen umfassen die folgenden Optionen:

    • Unternehmensportal: Wenn diese Option ausgewählt ist, erhalten Benutzer eine Pushbenachrichtigung auf ihrem Gerät, die sie zur Startseite in Unternehmensportal führt, auf der S/MIME-Zertifikate abgerufen werden.
    • Email: Sendet eine E-Mail an den Endbenutzer, in der er darüber informiert wird, dass er Unternehmensportal starten muss, um seine S/MIME-Zertifikate abzurufen. Wenn sich der Benutzer auf dem registrierten iOS-Gerät befindet, wenn er auf den Link in der E-Mail klickt, wird er zum Unternehmensportal umgeleitet, um seine Zertifikate abzurufen.

    Endbenutzern wird eine Erfahrung ähnlich der folgenden für die automatisierte Zertifikatübermittlung angezeigt: Screenshot der automatisierten Zertifikatübermittlung.

  17. Wählen Sie Zuweisungen aus, um die App-Konfigurationsrichtlinie den Microsoft Entra Gruppen zuzuweisen. Weitere Informationen finden Sie unter Zuweisen von Apps zu Gruppen mit Microsoft Intune.

Automatisierte Zertifikatübermittlung in Outlook für Android

Führen Sie die folgenden Schritte aus, um die S/MIME-Richtlinie für Outlook für iOS und Android in Endpoint Manager zu erstellen und zu konfigurieren. Diese Einstellungen ermöglichen die automatisierte Übermittlung der Signatur- und Verschlüsselungszertifikate.

  1. Melden Sie sich bei Microsoft Endpoint Manager an.

  2. Erstellen Sie ein SCEP-Zertifikatprofil oder ein PKCS-Zertifikatprofil , und weisen Sie es Ihren mobilen Benutzern zu.

  3. Wählen Sie Apps und dann App-Konfigurationsrichtlinien aus.

  4. Wählen Sie auf dem Blatt App Configuration Richtliniendie Option Hinzufügen und dann Verwaltete Geräte aus, um den Erstellungsflow für die App-Konfigurationsrichtlinie zu starten.

  5. Geben Sie im Abschnitt Grundlagen einen Namen und optional eine Beschreibung für die App-Konfigurationseinstellungen ein.

  6. Wählen Sie unter Plattformdie Option Android Enterprise und unter Profiltyp die Option Alle Profiltypen aus.

  7. Wählen Sie für Ziel-App die Option App auswählen und dann auf dem Blatt Zugeordnete Appdie Option Microsoft Outlook aus. Klicken Sie auf OK.

    Hinweis

    Wenn Outlook nicht als verfügbare App aufgeführt ist, müssen Sie es hinzufügen, indem Sie die Anweisungen unter Zuweisen von Apps zu Android-Arbeitsprofilgeräten mit Intune und Hinzufügen von iOS Store-Apps zu Microsoft Intune befolgen.

  8. Klicken Sie auf Konfigurationseinstellungen , um Konfigurationseinstellungen hinzuzufügen.

    Wählen Sie neben Konfigurationseinstellungsformat die Option Konfigurations-Designer verwenden aus, und übernehmen oder ändern Sie die Standardeinstellungen. Weitere Informationen finden Sie unter Bereitstellen von App-Konfigurationseinstellungen für Outlook für iOS und Android.

  9. Klicken Sie auf S/MIME , um die Outlook S/MIME-Einstellungen anzuzeigen.

  10. Legen Sie S/MIME aktivieren auf Ja fest. Wenn Sie Ja oder Nein auswählen, können Administratoren dem Benutzer erlauben, den Wert der App-Einstellung zu ändern. Wählen Sie Ja (App-Standard) aus, um dem Benutzer das Ändern der Einstellung zu ermöglichen, oder wählen Sie Nein aus, wenn Sie verhindern möchten, dass der Benutzer den Wert der Einstellung ändert.

  11. Wählen Sie aus , ob Alle E-Mails verschlüsselt werden sollen, indem Sie Ja oder Nein auswählen. Wenn Sie Ja oder Nein auswählen, können Administratoren dem Benutzer erlauben, den Wert der App-Einstellung zu ändern. Wählen Sie Ja (App-Standard) aus, um dem Benutzer das Ändern der Einstellung zu ermöglichen, oder wählen Sie Nein aus, wenn Sie verhindern möchten, dass der Benutzer den Wert der Einstellung ändert.

  12. Wählen Sie aus, ob Sie alle E-Mails signieren möchten, indem Sie Ja oder Nein auswählen. Wenn Sie Ja oder Nein auswählen, können Administratoren dem Benutzer erlauben, den Wert der App-Einstellung zu ändern. Wählen Sie Ja (App-Standard) aus, um dem Benutzer das Ändern der Einstellung zu ermöglichen, oder wählen Sie Nein aus, wenn Sie verhindern möchten, dass der Benutzer den Wert der Einstellung ändert.

  13. Wählen Sie Zuweisungen aus, um die App-Konfigurationsrichtlinie den Microsoft Entra Gruppen zuzuweisen. Weitere Informationen finden Sie unter Zuweisen von Apps zu Gruppen mit Microsoft Intune.

Aktivieren von S/MIME im Client

S/MIME muss aktiviert sein, damit Outlook für iOS und Android S/MIME-bezogene Inhalte anzeigen oder erstellen kann.

Endbenutzer müssen die S/MIME-Funktionalität manuell aktivieren, indem sie auf ihre Kontoeinstellungen zugreifen, auf Sicherheit tippen und auf das S/MIME-Steuerelement tippen, das standardmäßig deaktiviert ist. Die S/MIME-Sicherheitseinstellung von Outlook für iOS sieht wie folgt aus:

Screenshots mit S/MIME-Sicherheitseinstellungen für Outlook für iOS.

Wenn die S/MIME-Einstellung aktiviert ist, deaktiviert Outlook für iOS und Android automatisch die Einstellung Nach Thread organisieren . Dies liegt daran, dass die S/MIME-Verschlüsselung komplexer wird, wenn ein Konversationsthread wächst. Durch das Entfernen der Unterhaltungsthreadansicht reduziert Outlook für iOS und Android die Möglichkeit von Problemen mit Zertifikaten über Empfänger hinweg beim Signieren und Verschlüsseln. Da dies eine Einstellung auf App-Ebene ist, wirkt sich diese Änderung auf alle Konten aus, die der App hinzugefügt werden. Dieses Konversationsthreaddialogfeld wird in iOS wie folgt gerendert:

Screenshot des Outlook für iOS-Dialogs mit Unterhaltungsthreads

Sobald S/MIME aktiviert und die S/MIME-Zertifikate installiert sind, können Benutzer die installierten Zertifikate anzeigen, indem sie auf ihre Kontoeinstellungen zugreifen und auf Sicherheit tippen. Darüber hinaus können Benutzer auf jedes einzelne S/MIME-Zertifikat tippen und die Details des Zertifikats anzeigen, einschließlich Informationen wie Schlüsselverwendung und Gültigkeitsdauer.

Screenshot des Bildschirms

Benutzer können Outlook so konfigurieren, dass Nachrichten automatisch signiert oder verschlüsselt werden. Auf diese Weise können Benutzer Zeit beim Senden von E-Mails sparen und gleichzeitig sicher sein, dass ihre E-Mails signiert/verschlüsselt werden.

LDAP-Unterstützung für die Zertifikatsuche

Outlook für iOS und Android unterstützt den Zugriff auf öffentliche Benutzerzertifikatschlüssel von Secure LDAP-Verzeichnisendpunkten während der Empfängerauflösung. Um einen LDAP-Endpunkt verwenden zu können, müssen die folgenden Anforderungen erfüllt sein:

  • Der LDAP-Endpunkt erfordert keine Authentifizierung.
  • Die LDAP-Endpunktkonfiguration wird über eine App-Konfigurationsrichtlinie an Outlook für iOS und ANdroid übermittelt. Weitere Informationen finden Sie unter S/MIME-Einstellungen.
  • Die KONFIGURATION des LDAP-Endpunkts wird in den folgenden Formaten unterstützt:
    • ldaps://contoso.com
    • ldap://contoso.com
    • ldap://contoso.com:389
    • ldaps://contoso.com:636
    • contoso.com
    • contoso.com:389
    • contoso.com:636

Wenn Outlook für iOS und Android eine Zertifikatsuche für einen Empfänger durchführt, durchsucht die App zuerst das lokale Gerät, fragt dann Microsoft Entra ID ab und wertet dann einen beliebigen LDAP-Verzeichnisendpunkt aus. Wenn Outlook für iOS und Android eine Verbindung mit dem LDAP-Verzeichnisendpunkt herstellt, um nach dem öffentlichen Zertifikat eines Empfängers zu suchen, wird die Zertifikatüberprüfung durchgeführt, um sicherzustellen, dass das Zertifikat nicht widerrufen wird. Das Zertifikat gilt von der App nur als gültig, wenn die Zertifikatüberprüfung erfolgreich abgeschlossen wurde.

Verwenden von S/MIME in Outlook für iOS und Android

Nachdem die Zertifikate bereitgestellt und S/MIME in der App aktiviert wurde, können Benutzer S/MIME-bezogene Inhalte nutzen und Inhalte mithilfe von S/MIME-Zertifikaten erstellen. Wenn die S/MIME-Einstellung nicht aktiviert ist, können Benutzer keine S/MIME-Inhalte nutzen.

Anzeigen von S/MIME-Nachrichten

In der Nachrichtenansicht können Benutzer Nachrichten anzeigen, die mit S/MIME signiert oder verschlüsselt sind. Darüber hinaus können Benutzer auf die S/MIME-status leiste tippen, um weitere Informationen zum S/MIME-status der Nachricht anzuzeigen. Die folgenden Screenshots zeigen Beispiele für die Nutzung von S/MIME-Nachrichten in Android.

Wichtig

Um eine verschlüsselte Nachricht lesen zu können, muss der private Zertifikatschlüssel des Empfängers auf dem Gerät verfügbar sein.

Screenshots der S/MIME-Verwendung in iOS.

Benutzer können den öffentlichen Zertifikatschlüssel eines Absenders installieren, indem sie auf die S/MIME-status-Leiste tippen. Das Zertifikat wird auf dem Gerät des Benutzers installiert, insbesondere in der Microsoft-Herausgeber-Keychain in iOS oder im System-KeyStore in Android. Die Android-Version sieht in etwa wie folgt aus:

Screenshots der Installation des öffentlichen Schlüssels von Outlook für Android.

Wenn Zertifikatfehler auftreten, warnt Outlook für iOS und Android den Benutzer. Der Benutzer kann auf die S/MIME-status leistenbenachrichtigung tippen, um weitere Informationen zum Zertifikatfehler anzuzeigen, z. B. im folgenden Beispiel.

Screenshot: Outlook für iOS-Zertifikatfehler bei empfangener Nachricht.

Erstellen von S/MIME-Nachrichten

Bevor ein Benutzer eine signierte und/oder verschlüsselte Nachricht senden kann, führt Outlook für iOS und Android eine Überprüfung der Gültigkeit des Zertifikats durch, um sicherzustellen, dass es für Signierungs- oder Verschlüsselungsvorgänge gültig ist. Wenn das Zertifikat fast abgelaufen ist, warnt Outlook für iOS und Android den Benutzer, ein neues Zertifikat zu erhalten, wenn der Benutzer versucht, eine Nachricht zu signieren oder zu verschlüsseln, beginnend 30 Tage vor dem Ablauf.

Screenshots mit Warnungen zum Ablauf des Zertifikats.

Beim Verfassen einer E-Mail in Outlook für iOS und Android kann der Absender die Nachricht verschlüsseln und/oder signieren. Durch Tippen auf die Auslassungspunkte und dann Signieren und Verschlüsseln werden die verschiedenen S/MIME-Optionen angezeigt. Wenn Sie eine S/MIME-Option auswählen, wird die entsprechende Codierung der E-Mail aktiviert, sobald die Nachricht gespeichert oder gesendet wird, vorausgesetzt, der Absender verfügt über ein gültiges Zertifikat.

Outlook für iOS und Android kann signierte und verschlüsselte S/MIME-Nachrichten an Verteilergruppen senden. Outlook für iOS und Android listet die Zertifikate für die in der Verteilergruppe definierten Benutzer auf, einschließlich der zertifikate in geschachtelten Verteilergruppen. Es sollte jedoch darauf geachtet werden, die Anzahl geschachtelter Verteilergruppen zu begrenzen, um die Auswirkungen auf die Verarbeitung zu minimieren.

Wichtig

  • Outlook für iOS und Android unterstützt nur das Senden von klar signierten Nachrichten.
  • Um eine verschlüsselte Nachricht erstellen zu können, muss der öffentliche Zertifikatschlüssel des Zielempfängers entweder in der globalen Adressliste verfügbar oder auf dem lokalen Gerät gespeichert sein. Um eine signierte Nachricht verfassen zu können, muss der private Zertifikatschlüssel des Absenders auf dem Gerät verfügbar sein.

So werden S/MIME-Optionen in Outlook für Android angezeigt:

Screenshots der S/MIME-Optionen von Outlook für Android.

Outlook für iOS und Android wertet alle Empfänger vor dem Senden einer verschlüsselten Nachricht aus und bestätigt, dass für jeden Empfänger ein gültiger öffentlicher Zertifikatschlüssel vorhanden ist. Die globale Adressliste (GAL) wird zuerst überprüft. Wenn in der GAL kein Zertifikat für den Empfänger vorhanden ist, fragt Outlook den Microsoft-Herausgeber Keychain in iOS oder den Systemschlüsselspeicher in Android ab, um den öffentlichen Zertifikatschlüssel des Empfängers zu finden. Für Empfänger ohne einen öffentlichen Zertifikatschlüssel (oder einen ungültigen Schlüssel) fordert Outlook zur Entfernung auf. Die Nachricht wird nicht ohne Verschlüsselung an einen Empfänger gesendet, es sei denn, die Verschlüsselungsoption wird vom Absender während der Komposition deaktiviert.

Screenshot: Outlook für iOS-Warnung zu Empfängerzertifikaten.