S/MIME-Übersicht zum Signieren und Verschlüsseln von E-Mails in Intune

E-Mail-Zertifikate, auch bekannt als S/MIME-Zertifikate, bieten zusätzliche Sicherheit für Ihre E-Mail-Kommunikation durch Ver- und Entschlüsselung. Microsoft Intune kann S/MIME-Zertifikate verwenden, um E-Mails auf mobilen Geräten mit den folgenden Plattformen zu signieren und zu verschlüsseln:

• Android
• iOS/iPadOS
• macOS
• Windows 10/11

Intune kann S/MIME-Verschlüsselungszertifikate automatisch auf allen Plattformen bereitstellen. S/MIME-Zertifikate werden automatisch mit E-Mail-Profilen verknüpft, die den nativen E-Mail-Client unter iOS und Outlook auf iOS- und Android-Geräten verwenden. Auf Windows- und macOS-Plattformen sowie bei anderen E-Mail-Clients unter iOS und Android übermittelt Intune die Zertifikate, die Benutzer müssen S/MIME jedoch in Ihrer E-Mail-App manuell aktivieren und ihre S/MIME-Zertifikate auswählen.

Weitere Informationen zur S/MIME-E-Mail-Signatur und -Verschlüsselung finden Sie unter S/MIME for message signing and encryption (S/MIME für die Nachrichtensignatur und -verschlüsselung).

In diesem Artikel erhalten Sie eine Übersicht über die Verwendung von S/MIME-Zertifikaten zum Signieren und Verschlüsseln von E-Mails auf Ihren Geräten.

Signaturzertifikate

Mithilfe von Signaturzertifikaten kann die E-Mail-App des Clients sicher mit dem E-Mail-Server kommunizieren.

Für die Verwendung von Signaturzertifikaten müssen Sie eine Vorlage in Ihrer Zertifizierungsstelle erstellen, deren Schwerpunkt auf dem Signieren liegt. In der Zertifizierungsstelle von Microsoft Active Directory werden unter Konfigurieren der Zertifikatvorlage des Servers die Schritte für die Erstellung der Zertifikatvorlagen aufgeführt.

Signaturzertifikate in Intune verwenden PKCS-Zertifikate. Unter Konfigurieren und Verwenden von PKCS-Zertifikate wird beschrieben, wie PKCS-Zertifikate in Ihrer Intune-Umgebung bereitgestellt und verwendet werden. In diesen Schritten erfolgt Folgendes:

• Installieren und konfigurieren Sie den Microsoft Intune Certificate Connector, um PKCS-Zertifikatanforderungen zu unterstützen. Der Connector hat die gleichen Netzwerkanforderungen wie verwaltete Geräte.
• Das Erstellen eines vertrauenswürdigen Stammzertifikatprofil für Ihre Geräte. Dieser Schritt beinhaltet die Verwendung von vertrauenswürdigen Stamm- und Zwischenzertifikaten für Ihre Zertifizierungsstelle und die Bereitstellung des Profils für Geräte.
• Erstellen Sie mit der von Ihnen erstellten Zertifikatvorlage ein PKCS-Zertifikatprofil. Dieses Profil stellt Signaturzertifikate für Geräte aus und stellt das PKCS-Zertifikatprofil für Geräte bereit.

Sie können ein Signaturzertifikat auch für einen bestimmten Benutzer importieren. Das Signaturzertifikat wird auf allen Geräten bereitgestellt, die von einem Benutzer registriert werden. Verwenden Sie zum Importieren von Zertifikaten in Intune die PowerShell-Cmdlets in GitHub. Führen Sie die Schritte unter Konfigurieren und Verwenden von PKCS-Zertifikaten mit Intune aus, um ein in Intune importiertes PKCS-Zertifikat bereitzustellen, das für die E-Mail-Signatur verwendet werden soll. In diesen Schritten erfolgt Folgendes:

• Herunterladen, Installieren und Konfigurieren des Microsoft Intune Certificate Connector. Dieser Connector stellt importierte PKCS-Zertifikate für Geräte bereit.
• Das Importieren von S/MIME-E-Mail-Signaturzertifikaten in Intune.
• Das Erstellen eines importierten PKCS-Zertifikatprofils. Dieses Profil stellt importierte PKCS-Zertifikate für die entsprechenden Geräte des Benutzers bereit.

Verschlüsselungszertifikate

Mit für die Verschlüsselung verwendeten Zertifikaten wird bestätigt, dass eine verschlüsselte E-Mail nur von dem beabsichtigten Empfänger entschlüsselt werden kann. Die S/MIME-Verschlüsselung stellt eine zusätzliche Sicherheitsstufe dar, die in der E-Mail-Kommunikation verwendet werden kann.

Beim Senden einer verschlüsselten E-Mail an einen anderen Benutzer wird der öffentliche Schlüssel des Verschlüsselungszertifikats dieses Benutzers abgerufen und die von Ihnen gesendete E-Mail verschlüsselt. Der Empfänger entschlüsselt die E-Mail mithilfe des privaten Schlüssels auf seinem Gerät. Benutzer können über einen Verlauf der Zertifikate verfügen, die zum Verschlüssen von E-Mails verwendet wurden. Jedes dieser Zertifikate muss für alle Geräte eines bestimmten Benutzers bereitgestellt werden, damit dessen E-Mails erfolgreich entschlüsselt werden können.

Es wird empfohlen, E-Mail-Verschlüsselungszertifikate nicht in Intune zu erstellen. Intune unterstützt die Ausstellung von PKCS-Zertifikaten, die Verschlüsselungen unterstützen, und erstellt ein eindeutiges Zertifikat pro Gerät. Bei einem S/MIME-Verschlüsselungsszenario, in dem das Verschlüsselungszertifikat von allen Geräten des Benutzers gemeinsam genutzt werden sollte, ist die Erstellung eines eindeutigen Zertifikats pro Gerät nicht ideal.

Zum Bereitstellen von S/MIME-Zertifikate mit Intune müssen Sie sämtliche Verschlüsselungszertifikate eines Benutzers in Intune importieren. Anschließend stellt Intune alle diese Zertifikate für die einzelnen Geräte bereit, die vom Benutzer registriert werden. Verwenden Sie zum Importieren von Zertifikaten in Intune die PowerShell-Cmdlets in GitHub.

Wenn Sie ein PKCS-Zertifikat bereitstellen möchten, das in Intune für die E-Mail-Verschlüsselung importiert wurde, müssen Sie die Schritte unter Konfigurieren und Verwenden von PKCS-Zertifikaten mit Intune ausführen. In diesen Schritten erfolgt Folgendes:

• Installieren und Konfigurieren des Microsoft Intune Certificate Connector. Dieser Connector stellt importierte PKCS-Zertifikate für Geräte bereit.
• Das Importieren von S/MIME-E-Mail-Verschlüsselungszertifikaten in Intune.
• Das Erstellen eines importierten PKCS-Zertifikatprofils. Dieses Profil stellt importierte PKCS-Zertifikate für die entsprechenden Geräte des Benutzers bereit.

Hinweis

Importierte S/MIME-Verschlüsselungszertifikate werden von Intune entfernt, wenn Unternehmensdaten entfernt werden oder wenn die Registrierung von Benutzern über die Verwaltung aufgehoben wird. Zertifikate werden jedoch nicht von der Zertifizierungsstelle gesperrt.

S/MIME-E-Mail-Profile

Nachdem Sie S/MIME-Zertifikatprofile für die Signierung und Verschlüsselung erstellt haben, können Sie S/MIME für native iOS/iPadOS-E-Mails aktivieren.

Nächste Schritte

• Konfigurieren der Infrastruktur zur Unterstützung von SCEP in Intune
• Konfigurieren und Verwenden von PKCS-Zertifikaten mit Intune
• Verwenden einer Partnerzertifizierungsstelle
• Einrichten des Intune Certificate Connectors für den Symantec PKI-Manager-Webdienst