S/MIME Installation für Outlook Android und iOS

Voraussetzungen für die S/MIME Einrichtung

Um optimale Sicherheit in Exchange Online zu gewährleisten, ist die Konfiguration von entscheidender Bedeutung S/MIME gemäß den in der 'Einrichtung S/MIME in Exchange Online' Handbuch. Dabei wird eine virtuelle Zertifikatssammlung eingerichtet und die Zertifikatssperrliste im Internet öffentlich zugänglich gemacht. 

Sowohl bei manuellen als auch bei automatisierten Zertifikatverteilungsmethoden ist es für eine effektive Vertrauensüberprüfung von entscheidender Bedeutung, dass die vertrauenswürdigen Stammketten der Zertifikate in der virtuellen Sammlung Ihres Exchange Online zugänglich sind. Exchange Online bestätigt die Gültigkeit eines Zertifikats durch die Überprüfung jedes Glieds in der Zertifikatskette, wobei der Schwerpunkt auf der Suche nach einem vertrauenswürdigen Stammzertifikat und der Bestätigung seines Status anhand der Sperrliste liegt. Für Outlook-Benutzer auf iOS und Android vergleicht die App die primäre SMTP-Adresse im Kontoprofil des Benutzers mit dem Betreff oder alternativen Namen des Zertifikats, um das zu validieren S/MIME Zertifikat; Nichtübereinstimmungen führen dazu, dass Zertifikatsoptionen zum Signieren oder Verschlüsseln von Nachrichten nicht verfügbar sind.

Manuelle Zertifikatsverteilung

Outlook für iOS und Android bietet eine Funktion zur manuellen Zertifikatsinstallation, bei der Benutzer ihre Zertifikate per E-Mail erhalten. Zur Installation tippen Benutzer einfach auf den Anhang in der App und starten so den Einrichtungsvorgang.  Ein Benutzer hat die Möglichkeit, sein persönliches Zertifikat zu exportieren und es über Outlook an seine eigene E-Mail-Adresse zu senden.  Weitere Einzelheiten finden Sie in diesem Artikel: Exportieren eines digitalen Zertifikats.

Automatisierte Zertifikatsverteilung

Outlook für iOS und Android integriert die automatisierte Zertifikatszustellung ausschließlich über Microsoft Endpoint Manager als Registrierungsanbieter.  Die einzigartige Architektur des iOS-Schlüsselbunds, die zwischen System- und Herausgeber-Schlüsselbund unterscheidet und den Zugriff von Drittanbieter-Apps auf den System-Schlüsselbund einschränkt, erfordert, dass Zertifikate für Outlook für iOS im Microsoft-Herausgeber-Schlüsselbund gespeichert werden. Dadurch kann Outlook für iOS auf diese Zertifikate zugreifen, wobei nur Microsoft-eigene Apps, wie z. B. das Unternehmensportal, berechtigt sind, Zertifikate in diesem Schlüsselbund abzulegen.  Umgekehrt ermöglicht Outlook für Android die automatisierte Zustellung und Genehmigung von S/MIME Zertifikate werden vom Endpoint Manager in verschiedenen Android-Registrierungsframeworks unterstützt, darunter Geräteadministratoren, Android Enterprise-Arbeitsprofile und vollständig verwaltete Android Enterprise-Szenarien. Um Zertifikate erfolgreich an Outlook für iOS und Android zu übermitteln, müssen bestimmte wichtige Anforderungen erfüllt sein:

• Vertrauenswürdige Stammzertifikate müssen mit Endpoint Manager bereitgestellt werden. Anleitungen zum Erstellen vertrauenswürdiger Zertifikatsprofile finden Sie in dieser relevanten Dokumentation: Erstellen Sie vertrauenswürdige Zertifikatsprofile. 
• Es ist notwendig, Verschlüsselungszertifikate in Endpoint Manager zu importieren. Anleitungen finden Sie hier: Konfigurieren und verwenden Sie importierte PKCS-Zertifikate mit Intune.
• Der PFX Connector für Microsoft Intune sollte installiert und konfiguriert sein. Schritte finden Sie hier: Laden Sie den PFX Certificate Connector für Microsoft Intune herunter, installieren Sie ihn und konfigurieren Sie ihn.
• Schließlich müssen Geräte registriert werden, um automatisch vertrauenswürdige Root- und Root-Zugriffe zu erhalten S/MIME Zertifikate vom Endpoint Manager.

Outlook iOS automatisierte Verteilung von Zertifikaten

1. Einloggen in Microsoft Endpoint Manager.
2. Navigieren Apps und dann auswählen App-Konfigurationsrichtlinien.
3. Auf dem App-Konfigurationsrichtlinien, klicken Speichern und wählen Sie Verwaltete Geräte um die Erstellung einer App-Konfigurationsrichtlinie zu initiieren.
4. In dem 'Grundlagen' Abschnitt, geben Sie ein ' einName und Vorname' und, falls gewünscht, ein 'Beschreibung' für Ihre App-Konfigurationseinstellungen.
5. Wählen Sie 'iOS / iPadOS"unter"Plattform'.
6. Zum 'Gezielte App', klicke auf 'App auswählen', dann auf dem 'Zugehörige App'Seite, auswählen'Microsoft Outlook' und bestätigen Sie mit 'OK'.
7. Weiter zu 'Konfigurationseinstellungen', um Ihre Konfigurationsdetails einzugeben.
8. Klicke auf 'S/MIME', um auf die spezifischen Einstellungen für Outlook zuzugreifen S/MIME.
9. Satz 'Ermöglichen S/MIME"zu"Ja'. Sie haben die Möglichkeit, Benutzern das Ändern dieser Einstellung zu erlauben, indem Sie „Ja (App-Standard)“ oder um Änderungen einzuschränken, indem Sie „Nein'.
10. Entscheiden Sie, ob SieVerschlüsseln Sie alle E-Mails' durch Auswählen 'Ja' oder 'Nein' und ermöglichen oder beschränken Sie auf ähnliche Weise die Änderung dieser Einstellung durch den Benutzer.
11. Bestimmen Sie, ob 'Signieren Sie alle E-Mails' durch die Auswahl 'Ja' oder 'Nein', mit den gleichen Optionen zum Zulassen oder Verhindern von Benutzeranpassungen.
12. Implementieren Sie bei Bedarf eine LDAP-URL für die Suche nach Empfängerzertifikaten.
13. Stellen Sie sicher, dass Sie „Deploy S/MIME Zertifikate von Intune"zu"Ja'.
14. Der  Signieren von Zertifikaten neben Typ des Zertifikatprofils, ziehen Sie eine dieser drei Optionen in Betracht:
    • SCEP: Diese Option generiert ein eindeutiges Zertifikat sowohl für das Gerät als auch für den Benutzer, das für die Signaturzwecke von Microsoft Outlook geeignet ist. Informationen zu den Voraussetzungen für SCEP-Zertifikatprofile finden Sie im Guide zum Konfigurieren der Infrastruktur zur Unterstützung von SCEP mit Intune.
    • PKCS-importierte Zertifikate: Wenn Sie sich dafür entscheiden, wird ein benutzerspezifisches Zertifikat verwendet, das auf mehreren Geräten verwendet werden kann und vom Administrator für den Benutzer in Endpoint Manager importiert wurde. Dieses Zertifikat wird automatisch jedem vom Benutzer registrierten Gerät zugewiesen, wobei Endpoint Manager für jeden registrierten Benutzer das entsprechende Signaturzertifikat auswählt. Einzelheiten zur Verwendung von PKCS-importierten Zertifikaten finden Sie im Anleitung zum Konfigurieren und Verwenden von PKCS-Zertifikaten mit Intune.
    • Abgeleitete Anmeldeinformationen: Bei dieser Auswahl wird ein bereits vorhandenes Zertifikat auf dem zum Signieren vorgesehenen Gerät verwendet. Dazu ist es erforderlich, das Zertifikat auf dem Gerät über die abgeleiteten Anmeldeinformationsprozesse von Intune abzurufen.
15. Der Verschlüsselungszertifikate neben Typ des Zertifikatprofils, ziehen Sie eine der folgenden Optionen in Betracht:
    • PKCS-importierte Zertifikate: Diese Auswahl ermöglicht die Bereitstellung von Verschlüsselungszertifikaten, die zuvor von einem Administrator in Endpoint Manager importiert wurden, auf allen von einem Benutzer registrierten Geräten. Endpoint Manager wählt selbstständig das oder die geeigneten importierten Zertifikate aus, die die Verschlüsselung ermöglichen, und verteilt sie an die Geräte des registrierten Benutzers.
    • Abgeleitete Anmeldeinformationen: Diese Option nutzt ein vorhandenes Zertifikat auf dem Gerät für Verschlüsselungszwecke. Das Zertifikat sollte auf dem Gerät über die abgeleiteten Anmeldeinformationsworkflows in Intune beschafft werden.
16. Für Endbenutzerbenachrichtigungen bezüglich des Zertifikatabrufs haben Administratoren die Möglichkeit, entweder Unternehmensportal oder E-Mail als Benachrichtigungsmethode auszuwählen. Unter iOS müssen Benutzer zum Abrufen ihrer Daten die Unternehmensportal-App verwenden S/MIME Zertifikate, wo sie über den Benachrichtigungsbereich der App, eine Push-Benachrichtigung oder eine E-Mail benachrichtigt werden. Diese Benachrichtigungen leiten Benutzer zu einer bestimmten Zielseite weiter, auf der der Fortschritt des Zertifikatabrufs angezeigt wird und die sie dann nutzen können S/MIME in Microsoft Outlook für iOS zum Signieren und Verschlüsseln von E-Mails.
    
    Endbenutzerbenachrichtigungen für den Zertifikatabruf sind in zwei verschiedenen Optionen verfügbar:
    • Unternehmensportal: Wenn Sie diese Option auswählen, wird eine Push-Benachrichtigung an das Gerät des Benutzers gesendet, die ihn zur Zielseite des Unternehmensportals weiterleitet, wo er auf seine zugreifen kann S/MIME Zertifikate.
    • E-Mail: Wenn Sie E-Mail-Benachrichtigung auswählen, wird eine Nachricht an den Endbenutzer gesendet, in der er aufgefordert wird, das Unternehmensportal zu öffnen, um seine E-Mail-Benachrichtigung abzurufen S/MIME Zertifikate. 

Outlook-Android automatisierte Verteilung von Zertifikaten

1. Einloggen in Microsoft Endpoint Manager.
2. Erstellen Sie entweder ein SCEP- oder PKCS-Zertifikatprofil und weisen Sie es Ihren mobilen Benutzern zu.
3. Gehe zu 'Apps', dann wählen Sie 'App-Konfigurationsrichtlinien'.
4. In dem 'App-Konfigurationsrichtlinien' Abschnitt, klicken Sie auf 'Speichern' und wähle 'Verwaltete Geräte', um die Einrichtung der App-Konfigurationsrichtlinie zu starten.
5. In dem 'Grundlagen' Bereich, stellen Sie ein ' bereitName und Vorname' und ein optionales 'Beschreibung' für Ihre App-Konfigurationseinstellungen.
6. Wählen Sie 'Android Enterprise' als die 'Plattform' und 'Alle Profiltypen' als die 'Profil Typ'.
7. Unter 'Gezielte App', wählen 'App auswählen', dann auf dem 'Zugehörige App' Seite, wählen Sie 'Microsoft Outlook' und bestätigen Sie mit 'OK'.
8. Klicke auf 'Konfigurationseinstellungen', um bestimmte Einstellungen einzugeben. Entscheiden Sie sich für „Verwenden Sie den Konfigurationsdesigner' neben an 'Format der Konfigurationseinstellungen' und passen Sie die Standardeinstellungen nach Bedarf an. 
9. Greife auf ... zu 'S/MIME' Abschnitt zum Anpassen von Outlook S/MIME zu üben.
10. Satz 'Ermöglichen S/MIME"zu"Ja', mit der Option für Administratoren, Benutzern das Ändern dieser Einstellung zu erlauben oder einzuschränken.
11. Entscheiden Sie, ob Sie möchten.Verschlüsseln Sie alle E-Mails' und gibt Administratoren die Möglichkeit, Benutzern das Ändern dieser Einstellung zu gestatten.
12. Wählen Sie, ob 'Signieren Sie alle E-Mails', wiederum mit der Möglichkeit für Administratoren, den Benutzerzugriff auf diese Einstellung zu steuern.
13. Zum Schluss verwenden Sie 'Assignments', um die App-Konfigurationsrichtlinie den entsprechenden Microsoft Entra-Gruppen zuzuweisen. 

Aktivierung S/MIME im Client

Damit Benutzer relevante Inhalte anzeigen oder erstellen können S/MIME In Outlook für iOS und Android ist das unbedingt erforderlich S/MIME ist aktiviert. Dies erfordert eine manuelle Aktivierung durch Endbenutzer S/MIME Funktionalität in ihren Kontoeinstellungen, indem Sie zum Abschnitt „Sicherheit“ navigieren und die Option aktivieren S/MIME Steuerung, die zunächst ausgeschaltet ist.

LDAP-Unterstützung

LDAP (Lightweight Directory Access Protocol) ist ein Industriestandardprotokoll für den Zugriff auf und die Verwaltung von Verzeichnisinformationsdiensten. Es wird häufig zum Speichern und Abrufen von Informationen über Benutzer, Gruppen, Organisationsstrukturen und andere Ressourcen in einer Netzwerkumgebung verwendet. LDAP integrieren mit S/MIME Bei der Verwendung von Zertifikaten wird LDAP als Verzeichnisdienst zum Speichern und Verwalten von Benutzerzertifikaten verwendet. Durch die Integration von LDAP mit S/MIME Mithilfe von Zertifikaten können Unternehmen die Zertifikatsverwaltung zentralisieren, die Sicherheit erhöhen und den Prozess des Zertifikatsabrufs und der Authentifizierung in verschiedenen Anwendungen und Diensten optimieren, die LDAP als Verzeichnisdienst nutzen.

Eine Anleitung zur LDAP-Integration mit SSL.com S/MIME Zertifikate finden Sie in diesem Artikel: LDAP-Integration mit S/MIME Zertifikate.