S/MIME-Übersicht zum Signieren und Verschlüsseln von E-Mails in IntuneS/MIME overview to sign and encrypt email in Intune

E-Mail-Zertifikate, auch bekannt als S/MIME-Zertifikate, bieten zusätzliche Sicherheit für Ihre E-Mail-Kommunikation durch Ver- und Entschlüsselung.Email certificates, also known as S/MIME certificate, provide extra security to your email communications by using encryption and decryption. Microsoft Intune kann S/MIME-Zertifikate verwenden, um E-Mails auf mobilen Geräten mit den folgenden Plattformen zu signieren und zu verschlüsseln:Microsoft Intune can use S/MIME certificates to sign and encrypt emails to mobile devices running the following platforms:

  • AndroidAndroid
  • iOSiOS
  • macOSmacOS
  • Windows 10 und höherWindows 10 and later
  • Windows PhoneWindows Phone

Auf iOS-Geräten können Sie ein von Intune verwaltetes E-Mail-Profil erstellen, das S/MIME und Zertifikate zum Signieren und Verschlüsseln eingehender und ausgehender E-Mails verwendet.On iOS devices, you can create an Intune-managed email profile that uses S/MIME and certificates to sign and encrypt incoming and outgoing emails. Für andere Plattformen wird S/MIME möglicherweise nicht unterstützt.For other platforms, S/MIME may or may not be supported. Wenn S/MIME unterstützt wird, installieren Sie Zertifikate, welche die S/MIME-Signatur und -Verschlüsselung verwenden.If it's supported, install certificates that use S/MIME signing and encryption. Anschließend aktiviert ein Endbenutzer S/MIME in seiner E-Mail-Anwendung.Then, an end user enables S/MIME in their email application.

Weitere Informationen zur S/MIME-E-Mail-Signatur und -Verschlüsselung finden Sie unter S/MIME for message signing and encryption (S/MIME für die Nachrichtensignatur und -verschlüsselung).For more information about S/MIME email signing and encryption with Exchange, see S/MIME for message signing and encryption.

In diesem Artikel erhalten Sie eine Übersicht über die Verwendung von S/MIME-Zertifikaten zum Signieren und Verschlüsseln von E-Mails auf Ihren Geräten.This article provides an overview of using S/MIME certificates to sign and encrypt emails on your devices.

SignaturzertifikateSigning certificates

Mithilfe von Signaturzertifikaten kann die E-Mail-App des Clients sicher mit dem E-Mail-Server kommunizieren.Certificates used for signing allow the client email app to communicate securely with the email server.

Für die Verwendung von Signaturzertifikaten müssen Sie eine Vorlage in Ihrer Zertifizierungsstelle erstellen, deren Schwerpunkt auf dem Signieren liegt.To use signing certificates, create a template on your certificate authority (CA) that focuses on signing. In der Zertifizierungsstelle von Microsoft Active Directory werden unter Konfigurieren der Zertifikatvorlage des Servers die Schritte für die Erstellung der Zertifikatvorlagen aufgeführt.On Microsoft Active Directory Certification Authority, Configure the server certificate template lists the steps to create certificate templates.

Signaturzertifikate in Intune verwenden PKCS-Zertifikate.Signing certificates in Intune use PKCS certificates. Unter Konfigurieren und Verwenden von PKCS-Zertifikate wird beschrieben, wie PKCS-Zertifikate in Ihrer Intune-Umgebung bereitgestellt und verwendet werden.Configure and use PKCS certificates describes how to deploy and use PKCS certificate in your Intune environment. Diese Schritte umfassen:These steps include:

  • Das Herunterladen und Installieren von Microsoft Intune Certificate Connector zur Unterstützung von PKCS-Zertifikatanforderungen.Download and install the Microsoft Intune Certificate Connector to support PKCS certificate requests.
  • Das Erstellen eines vertrauenswürdigen Stammzertifikatprofil für Ihre Geräte.Create a trusted root certificate profile for your devices. Dieser Schritt beinhaltet die Verwendung von vertrauenswürdigen Stamm- und Zwischenzertifikaten für Ihre Zertifizierungsstelle und die Bereitstellung des Profils für Geräte.This step includes using trusted root and intermediate certificates for your certification authority, and then deploying the profile to devices.
  • Erstellen Sie mit der von Ihnen erstellten Zertifikatvorlage ein PKCS-Zertifikatprofil.Create a PKCS certificate profile using the certificate template you created. Dieses Profil stellt Signaturzertifikate für Geräte aus und stellt das PKCS-Zertifikatprofil für Geräte bereit.This profile issues signing certificates to devices, and deploys the PKCS certificate profile to devices.

Sie können ein Signaturzertifikat auch für einen bestimmten Benutzer importieren.You can also import a signing certificate for a specific user. Das Signaturzertifikat wird auf allen Geräten bereitgestellt, die von einem Benutzer registriert werden.The signing certificate is deployed across any device that a user enrolls. Verwenden Sie zum Importieren von Zertifikaten in Intune die PowerShell-Cmdlets in GitHub.To import certificates into Intune, use the PowerShell cmdlets in GitHub. Wenn Sie ein PKCS-Zertifikat bereitstellen möchten, das in Intune für die E-Mail-Signierung importiert wurde, müssen Sie die Schritte unter Konfigurieren und Verwenden von PKCS-Zertifikaten mit Intune ausführen.To deploy a PKCS certificate imported in Intune to be used for email signing, follow the steps in Configure and use PKCS certificates with Intune. Diese Schritte umfassen:These steps include:

  • Das Herunterladen und Installieren von PFX Certificate Connector für Microsoft Intune.Download and install the PFX Certificate Connector for Microsoft Intune. Dieser Connector stellt importierte PKCS-Zertifikate für Geräte bereit.This connector delivers imported PKCS certificates to devices.
  • Das Importieren von S/MIME-E-Mail-Signaturzertifikaten in Intune.Import S/MIME email signing certificates to Intune.
  • Das Erstellen eines importierten PKCS-Zertifikatprofils.Create a PKCS imported certificate profile. Dieses Profil stellt importierte PKCS-Zertifikate für die entsprechenden Geräte des Benutzers bereit.This profile delivers imported PKCS certificates to the appropriate user's devices.

VerschlüsselungszertifikateEncryption certificates

Mit für die Verschlüsselung verwendeten Zertifikaten wird bestätigt, dass eine verschlüsselte E-Mail nur von dem beabsichtigten Empfänger entschlüsselt werden kann.Certificates used for encryption confirm that an encrypted email can only be decrypted by the intended recipient. Die S/MIME-Verschlüsselung stellt eine zusätzliche Sicherheitsstufe dar, die in der E-Mail-Kommunikation verwendet werden kann.S/MIME encryption is an extra layer of security that can be used in email communications.

Beim Senden einer verschlüsselten E-Mail an einen anderen Benutzer wird der öffentliche Schlüssel des Verschlüsselungszertifikats dieses Benutzers abgerufen und die von Ihnen gesendete E-Mail verschlüsselt.When sending an encrypted email to another user, the public key of that user's encryption certificate is obtained, and encrypts the email you send. Der Empfänger entschlüsselt die E-Mail mithilfe des privaten Schlüssels auf seinem Gerät.The recipient decrypts the email using the private key on their device. Benutzer können über einen Verlauf der Zertifikate verfügen, die zum Verschlüssen von E-Mails verwendet wurden.Users can have a history of certificates used to encrypt email. Jedes dieser Zertifikate muss für alle Geräte eines bestimmten Benutzers bereitgestellt werden, damit dessen E-Mails erfolgreich entschlüsselt werden können.Each of those certificates must be deployed to all of a specific user's devices so their email is successfully decrypted.

Es wird empfohlen, E-Mail-Verschlüsselungszertifikate nicht in Intune zu erstellen.It's recommended that email encryption certificates aren't created in Intune. Intune unterstützt die Ausstellung von PKCS-Zertifikaten, die Verschlüsselungen unterstützen, und erstellt ein eindeutiges Zertifikat pro Gerät.While Intune supports issuing PKCS certificates that support encryption, Intune creates a unique certificate per device. Bei einem S/MIME-Verschlüsselungsszenario, in dem das Verschlüsselungszertifikat von allen Geräten des Benutzers gemeinsam genutzt werden sollte, ist die Erstellung eines eindeutigen Zertifikats pro Gerät nicht ideal.A unique certificate per device isn't ideal for an S/MIME encryption scenario where the encryption certificate should be shared across all the user's devices.

Zum Bereitstellen von S/MIME-Zertifikate mit Intune müssen Sie sämtliche Verschlüsselungszertifikate eines Benutzers in Intune importieren.To deploy S/MIME certificates using Intune, you must import all of a user's encryption certificates to Intune. Anschließend stellt Intune alle diese Zertifikate für die einzelnen Geräte bereit, die vom Benutzer registriert werden.Intune then deploys all of those certificates to each device that a user enrolls. Verwenden Sie zum Importieren von Zertifikaten in Intune die PowerShell-Cmdlets in GitHub.To import certificates into Intune, use the PowerShell cmdlets in GitHub.

Wenn Sie ein PKCS-Zertifikat bereitstellen möchten, das in Intune für die E-Mail-Verschlüsselung importiert wurde, müssen Sie die Schritte unter Konfigurieren und Verwenden von PKCS-Zertifikaten mit Intune ausführen.To deploy a PKCS certificate imported in Intune used for email encryption, follow the steps in Configure and use PKCS certificates with Intune. Diese Schritte umfassen:These steps include:

  • Das Herunterladen und Installieren von PFX Certificate Connector für Microsoft Intune.Download and install the PFX Certificate Connector for Microsoft Intune. Dieser Connector stellt importierte PKCS-Zertifikate für Geräte bereit.This connector delivers imported PKCS certificates to devices.
  • Das Importieren von S/MIME-E-Mail-Verschlüsselungszertifikaten in Intune.Import S/MIME email encryption certificates to Intune.
  • Das Erstellen eines importierten PKCS-Zertifikatprofils.Create a PKCS imported certificate profile. Dieses Profil stellt importierte PKCS-Zertifikate für die entsprechenden Geräte des Benutzers bereit.This profile delivers imported PKCS certificates to the appropriate user's devices.

Hinweis

Importierte S/MIME-Verschlüsselungszertifikate werden von Intune entfernt, wenn Unternehmensdaten entfernt werden oder wenn die Registrierung von Benutzern über die Verwaltung aufgehoben wird.Imported S/MIME encryption certificates are removed by Intune when company data is removed, or when users are unenrolled from management. Zertifikate werden jedoch nicht von der Zertifizierungsstelle gesperrt.But, certificates aren't revoked on the certification authority.

S/MIME-E-Mail-ProfileS/MIME email profiles

Nachdem Sie S/MIME-Zertifikatprofile für die Signierung und Verschlüsselung erstellt haben, können Sie S/MIME für native iOS-E-Mails aktivieren.Once you have created S/MIME signing and encryption certificate profiles, you can enable S/MIME for iOS native mail.

Nächste SchritteNext steps