Konfigurieren von S/MIME in Exchange Online

S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein weit verbreitetes Protokoll zum Senden digital signierter und verschlüsselter Nachrichten. Weitere Informationen finden Sie unter S/MIME für die Nachrichtensignatur und -verschlüsselung in Exchange Online.

S/MIME ist in Exchange Online mit den folgenden Typen von E-Mail-Clients verfügbar:

Als Exchange Online-Administrator können Sie die S/MIME-basierte Sicherheit für die Postfächer in Ihrer Organisation aktivieren. Die allgemeinen Schritte werden in der folgenden Liste beschrieben und in diesem Artikel erweitert:

  1. Einrichten und Veröffentlichen von S/MIME-Zertifikaten
  2. Richten Sie eine sammlung virtueller Zertifikate in Exchange Online ein.
  3. Synchronisieren Sie Benutzerzertifikate für S/MIME in Microsoft 365.
  4. Konfigurieren Sie Richtlinien zum Installieren von S/MIME-Erweiterungen in Webbrowsern für Outlook im Web.
  5. Konfigurieren Sie E-Mail-Clients für die Verwendung von S/MIME.

Anweisungen zur End-to-End-S/MIME-Konfiguration für Outlook für iOS und Android finden Sie unter S/MIME für Outlook für iOS und Android.

Schritt 1: Einrichten und Veröffentlichen von S/MIME-Zertifikaten

Jeder Benutzer in Ihrer Organisation benötigt ein eigenes Zertifikat, das zum Signieren und Verschlüsseln ausgestellt wurde. Sie veröffentlichen diese Zertifikate zur Verteilung in Ihrem lokales Active Directory. Ihr Active Directory muss sich auf Computern an einem physischen Standort befinden, den Sie steuern, und nicht an einer Remoteeinrichtung oder einem cloudbasierten Dienst im Internet.

Weitere Informationen zu Active Directory finden Sie unter Active Directory Domain Services Übersicht.

  1. Installieren Sie eine Windows-basierte Zertifizierungsstelle (Certification Authority, CA), und richten Sie eine Public Key-Infrastruktur ein, um S/MIME-Zertifikate auszustellen. Zertifikate, die von Zertifikatanbietern von Drittanbietern ausgestellt wurden, werden ebenfalls unterstützt. Details finden Sie unter Active Directory-Zertifikatdienste: Übersicht.

    Hinweise:

    • Zertifikate, die von einer Drittanbieterzertifizierungsstelle ausgestellt werden, haben den Vorteil, dass sie automatisch von allen Clients und Geräten vertrauenswürdig sind. Zertifikate, die von einer internen, privaten Zertifizierungsstelle ausgestellt werden, werden nicht automatisch von Clients und Geräten als vertrauenswürdig eingestuft, und nicht alle Geräte (z. B. Telefone) können so konfiguriert werden, dass sie privaten Zertifikaten vertrauen.
    • Erwägen Sie die Verwendung eines Zwischenzertifikats anstelle des Stammzertifikats, um Zertifikate für Benutzer auszustellen. Auf diese Weise ist das Stammzertifikat weiterhin intakt, wenn Sie Zertifikate widerrufen und erneut ausstellen müssen.
    • Das Zertifikat muss über einen privaten Schlüssel verfügen, und die X509-Erweiterung "Antragstellerschlüsselbezeichner" muss aufgefüllt werden.
  2. Veröffentlichen Sie das Zertifikat des Benutzers in seinem lokales Active Directory-Konto in den Attributen UserSMIMECertificate und/oder UserCertificate.

Schritt 2: Einrichten einer sammlung virtueller Zertifikate in Exchange Online

Die Sammlung des virtuellen Zertifikats ist für die Überprüfung von S/MIME-Zertifikaten zuständig. Richten Sie die Sammlung des virtuellen Zertifikats mithilfe der folgenden Schritte ein:

  1. Exportieren Sie die Stamm- und Zwischenzertifikate, die zum Überprüfen von Benutzer-S/MIME-Zertifikaten von einem vertrauenswürdigen Computer erforderlich sind, in eine serialisierte Zertifikatspeicherdatei (SST) in Windows PowerShell. Zum Beispiel:

    Get-ChildItem -Path cert:\<StoreCertPath> | Export-Certificate -FilePath "C:\My Documents\Exported Certificate Store.sst" -Type SST
    

    Ausführliche Informationen zu Syntax und Parametern finden Sie unter Export-Certificate.

  2. Importieren Sie die Zertifikate aus der SST-Datei in Exchange Online, indem Sie den folgenden Befehl in Exchange Online PowerShell ausführen:

    Set-SmimeConfig -SMIMECertificateIssuingCA ([System.IO.File]::ReadAllBytes('C:\My Documents\Exported Certificate Store.sst'))
    

    Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-SmimeConfig.

Schritt 3: Synchronisieren von Benutzerzertifikaten für S/MIME in Microsoft 365

Bevor jemand S/MIME-geschützte Nachrichten in Exchange Online senden kann, müssen Sie die entsprechenden Zertifikate für jeden Benutzer einrichten und konfigurieren und seine öffentlichen X.509-Zertifikate in Microsoft 365 veröffentlichen. Der E-Mail-Client des Absenders verwendet das öffentliche Zertifikat des Empfängers, um die Nachricht zu verschlüsseln.

  1. Stellen Sie Zertifikate aus, und veröffentlichen Sie sie in Ihrem lokalen Active Directory. Weitere Informationen finden Sie unter Active Directory-Zertifikatdienste: Übersicht.

  2. Nachdem Ihre Zertifikate veröffentlicht wurden, verwenden Sie Azure AD Connect, um Benutzerdaten aus Ihrer lokalen Exchange-Umgebung mit Microsoft 365 zu synchronisieren. Weitere Informationen zu diesem Prozess finden Sie unter Azure AD Connect-Synchronisierung: Verstehen und Anpassen der Synchronisierung.

Neben der Synchronisierung anderer Verzeichnisdaten synchronisiert Azure AD Connect die Attribute userCertificate und userSMIMECertificate für jedes Benutzerobjekt für die S/MIME-Signierung und Verschlüsselung von E-Mail-Nachrichten. Weitere Informationen zu Azure AD Connect finden Sie unter Was ist Azure AD Connect?.

Schritt 4: Konfigurieren von Richtlinien zum Installieren der S/MIME-Erweiterungen in Webbrowsern

Hinweis

Dieser Schritt ist nur für Outlook im Web-Clients erforderlich.

S/MIME in Outlook im Web im Chromium-basierten Microsoft Edge oder in Google Chrome erfordert bestimmte Richtlinieneinstellungen, die von einem Administrator konfiguriert werden.

Insbesondere müssen Sie die Richtlinie extensionInstallForcelist festlegen und konfigurieren, um die S/MIME-Erweiterung im Browser zu installieren. Der Richtlinienwert ist maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx. Für die Anwendung dieser Richtlinie sind geräte erforderlich, die in die Domäne oder in Azure AD eingebunden sind, sodass die Verwendung von S/MIME in Edge oder Chrome effektiv in die Domäne oder in Azure AD eingebundene Geräte erforderlich ist.

Ausführliche Informationen zu den Richtlinien finden Sie in den folgenden Themen:

Die Richtlinie ist eine Voraussetzung für die Verwendung von S/MIME in Outlook im Web. Es ersetzt nicht das S/MIME-Steuerelement, das von Benutzern installiert wird. Benutzer werden bei der ersten Verwendung von S/MIME aufgefordert, das S/MIME-Steuerelement in Outlook im Web herunterzuladen und zu installieren. Alternativ können Benutzer in ihren Outlook im Web Einstellungen proaktiv zu S/MIME wechseln, um den Downloadlink für das Steuerelement abzurufen.

Schritt 5: Konfigurieren von E-Mail-Clients für die Verwendung von S/MIME

Wenn ein E-Mail-Client S/MIME unterstützt, ist die nächste Überlegung der Zugriff auf das S/MIME-Zertifikat des Benutzers durch diesen E-Mail-Client. Das S/MIME-Zertifikat muss auf dem Computer oder Gerät des Benutzers installiert werden. Sie können S/MIME-Zertifikate automatisch (z. B. mit Microsoft Endpoint Manager) oder manuell verteilen (z. B. kann der Benutzer das Zertifikat von seinem Computer exportieren und es auf seinem mobilen Gerät importieren). Nachdem das Zertifikat lokal verfügbar ist, können Sie S/MIME in den Einstellungen des E-Mail-Clients aktivieren und konfigurieren.

Weitere Informationen zu S/MIME in E-Mail-Clients finden Sie in den folgenden Themen:

Sie können auch die folgenden Parameter für die Cmdlets New-MobileDeviceMailboxPolicy und Set-MobileDeviceMailboxPolicy in Exchange Online PowerShell verwenden, um S/MIME-Einstellungen für mobile Geräte zu konfigurieren:

  • AllowSMIMEEncryptionAlgorithmNegotiation
  • AllowSMIMESoftCerts
  • RequireEncryptedSMIMEMessages
  • RequireEncryptionSMIMEAlgorithm
  • RequireSignedSMIMEAlgorithm
  • RequireSignedSMIMEMessages