S/MIME für Outlook für iOS und Android in Exchange Online

S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein allgemein akzeptiertes Protokoll zum Senden digital signierter und verschlüsselter Nachrichten. Weitere Informationen finden Sie unter S/MIME für die Signierung und Verschlüsselung von Nachrichten in Exchange Online.

Um S/MIME in Outlook für iOS und Android zu nutzen, müssen Sie bestimmte S/MIME-Voraussetzungen in Exchange Online konfigurieren. Nachdem Sie diese Schritte abgeschlossen haben, können Sie S/MIME-Zertifikate mithilfe der folgenden Methoden für Outlook für iOS und Android bereitstellen:

  • Manuelle Zertifikatübermittlung
  • Automatisierte Zertifikatübermittlung

In diesem Artikel wird beschrieben, wie Sie Exchange Online für S/MIME mit Outlook für iOS und Android konfigurieren und S/MIME in Outlook für iOS und Android verwenden.

S/MIME-Voraussetzungen

Stellen Sie sicher, dass S/MIME in Exchange Online ordnungsgemäß konfiguriert wurde, indem Sie die unter Konfigurieren von S/MIME in Exchange Onlinebeschriebenen Schritte ausführen. Dies umfasst insbesondere Folgendes:

  1. Einrichten der virtuellen Zertifikatsammlung.
  2. Veröffentlichen der Zertifikatsperrliste im Internet.

In manuellen und automatisierten Zertifikatbereitstellungslösungen wird erwartet, dass die vertrauenswürdige Stammkette des Zertifikats in der virtuellen Zertifikatsammlung Ihres Exchange Online Mandanten verfügbar und auffindbar ist. Die Vertrauensüberprüfung wird für alle digitalen Zertifikate durchgeführt. Exchange Online überprüft das Zertifikat, indem jedes Zertifikat in der Zertifikatkette überprüft wird, bis es ein vertrauenswürdiges Stammzertifikat erreicht. Diese Überprüfung erfolgt durch Abrufen der Zwischenzertifikate über das Autoritätsinformationszugriffsattribut im Zertifikat, bis ein vertrauenswürdiges Stammzertifikat gefunden wird. Zwischenzertifikate können auch in digital signierte E-Mail-Nachrichten eingeschlossen werden. Wenn Exchange Online ein vertrauenswürdiges Stammzertifikat findet und die Zertifikatsperrliste für die Zertifizierungsstelle abfragen kann, gilt die Kette des digitalen Zertifikats für dieses digitale Zertifikat als gültig und vertrauenswürdig und kann verwendet werden. Wenn Exchange Online ein vertrauenswürdiges Stammzertifikat nicht findet oder die Zertifikatsperrliste für die Zertifizierungsstelle nicht kontaktiert, gilt dieses Zertifikat als ungültig und ist nicht vertrauenswürdig.

Outlook für iOS und Android nutzt die primäre SMTP-Adresse des Benutzers für Nachrichtenflussaktivitäten, die während der Kontoprofileinrichtung konfiguriert wird. Das von Outlook für iOS und Android verwendete S/MIME-Zertifikat wird berechnet, indem die primäre SMTP-Adresse des Benutzers, wie im Kontoprofil definiert, mit dem Antragstellerwert des Zertifikats oder dem alternativen Antragstellernamenswert verglichen wird. Wenn diese nicht übereinstimmen, melden Outlook für iOS und Android, dass ein Zertifikat nicht verfügbar ist (siehe Abbildung 7), und der Benutzer kann Nachrichten nicht signieren und/oder verschlüsseln.

Manuelle Zertifikatübermittlung

Outlook für iOS und Outlook für Android unterstützen die manuelle Zertifikatübermittlung, d. h., wenn das Zertifikat per E-Mail an den Benutzer gesendet wird und der Benutzer in der App auf die Zertifikatanlage tippt, um die Installation des Zertifikats zu initiieren. Die folgende Abbildung zeigt, wie die manuelle Zertifikatübermittlung in iOS funktioniert.

Screenshots der manuellen Zertifikatinstallation unter iOS.

Ein Benutzer kann sein eigenes Zertifikat exportieren und mit Outlook an sich selbst senden. Weitere Informationen finden Sie unter Exportieren eines digitalen Zertifikats.

Wichtig

Stellen Sie beim Exportieren des Zertifikats sicher, dass das exportierte Zertifikat mit einem sicheren Kennwort kennwortgeschützt ist.

Automatisierte Zertifikatübermittlung

Wichtig

  • Outlook für iOS und Android unterstützt nur die automatisierte Zertifikatübermittlung, wenn Microsoft Endpoint Manager der Registrierungsanbieter ist.

  • Für Outlook für iOS ist dies auf die iOS-Schlüsselbundarchitektur zurückzuführen. iOS bietet eine Systemschlüsselkette und Herausgeber-Schlüsselbunde. iOS verhindert, dass Drittanbieter-Apps auf die Systemschlüsselkette zugreifen (nur Erstanbieter-Apps und der Safari-Webview-Controller können auf die Systemschlüsselkette zugreifen). Um Zertifikate zu übermitteln, auf die Outlook für iOS zugreifen können, müssen sich die Zertifikate in der Microsoft Publisher-Schlüsselkette befinden, auf die Outlook für iOS Zugriff hat. Nur von Microsoft veröffentlichte Apps, wie die Unternehmensportal, können Zertifikate in der Microsoft Publisher-Schlüsselkette platzieren.

  • Outlook für Android basiert auf Endpoint Manager, um die S/MIME-Zertifikate bereitzustellen und zu genehmigen. Die automatische Zertifikatübermittlung wird bei Android-Registrierungsszenarien unterstützt: Geräteadministrator, Android Enterprise Arbeitsprofil und Android Enterprise vollständig verwaltet.

Mit Endpoint Manager können Organisationen Verschlüsselungszertifikatverläufe von einer beliebigen Zertifizierungsstelle importieren. Endpoint Manager übermitteln diese Zertifikate dann automatisch an alle Geräte, die der Benutzer registriert. Im Allgemeinen wird scep (Simple Certificate Enrollment Protocol) zum Signieren von Zertifikaten verwendet. Mit SCEP wird der private Schlüssel generiert und auf dem registrierten Gerät gespeichert, und an jedes Gerät, das ein Benutzer registriert, wird ein eindeutiges Zertifikat übermittelt, das für die Nichtabstreitbarkeit verwendet werden kann. Schließlich unterstützt Endpoint Manager abgeleitete Anmeldeinformationen für Kunden, die Unterstützung für den NIST 800-157-Standard benötigen. Die Unternehmensportal wird verwendet, um Signatur- und Verschlüsselungszertifikate von Intune abzurufen.

Um Zertifikate an Outlook für iOS und Android zu übermitteln, müssen Sie die folgenden Voraussetzungen erfüllen:

Outlook für die automatisierte iOS-Zertifikatübermittlung

Führen Sie die folgenden Schritte aus, um die Outlook für iOS S/MIME-Richtlinie in Endpoint Manager zu erstellen und zu konfigurieren. Diese Einstellungen ermöglichen die automatisierte Übermittlung der Signatur- und Verschlüsselungszertifikate.

  1. Melden Sie sich bei Microsoft Endpoint Manageran.

  2. Wählen Sie "Apps" und dann "App-Konfigurationsrichtlinien" aus.

  3. Wählen Sie auf dem Blatt "App-Konfigurationsrichtlinien" die Option "Hinzufügen" aus, und wählen Sie "Verwaltete Geräte" aus, um den Erstellungsfluss der App-Konfigurationsrichtlinie zu starten.

  4. Geben Sie im Abschnitt "Grundlagen" einen Namen und optional eine Beschreibung für die App-Konfigurationseinstellungen ein.

  5. Wählen Sie für die Plattform iOS/iPadOS aus.

  6. Wählen Sie für eine gezielte App die Option "App auswählen" aus, und wählen Sie dann auf dem Blatt "Zugeordnete App" Microsoft Outlook aus. Klicken Sie auf OK.

    Hinweis

    Wenn Outlook nicht als verfügbare App aufgeführt ist, müssen Sie sie hinzufügen, indem Sie die Anweisungen unter Zuweisen von Apps zu Android-Arbeitsprofilgeräten mit Intune und Hinzufügen von iOS Store-Apps zu Microsoft Intunebefolgen.

  7. Klicken Sie auf "Konfigurationseinstellungen", um Konfigurationseinstellungen hinzuzufügen.

    Wählen Sie Neben dem Konfigurationseinstellungsformat "Konfigurations-Designer verwenden" aus, und akzeptieren oder ändern Sie die Standardeinstellungen. Weitere Informationen finden Sie unter Bereitstellen von Outlook für iOS- und Android-App-Konfigurationseinstellungen.

  8. Klicken Sie auf S/MIME, um die Outlook S/MIME-Einstellungen anzuzeigen. Screenshot mit Outlook S/MIME-Einstellungen.

  9. Set Enable S/MIME to Yes. Wenn Sie "Ja" oder "Nein" auswählen, können Administratoren festlegen, dass der Benutzer den Wert der App-Einstellung ändern kann. Wählen Sie "Ja" (App-Standard) aus, damit der Benutzer die Einstellung ändern kann, oder wählen Sie "Nein", wenn Sie verhindern möchten, dass der Benutzer den Wert der Einstellung ändert.

  10. Wählen Sie aus, ob alle E-Mails verschlüsselt werden sollen, indem Sie "Ja" oder "Nein" auswählen. Wenn Sie "Ja" oder "Nein" auswählen, können Administratoren festlegen, dass der Benutzer den Wert der App-Einstellung ändern kann. Wählen Sie "Ja" (App-Standard) aus, damit der Benutzer die Einstellung ändern kann, oder wählen Sie "Nein", wenn Sie verhindern möchten, dass der Benutzer den Wert der Einstellung ändert.

  11. Wählen Sie aus, ob alle E-Mails signiert werden sollen, indem Sie "Ja" oder "Nein" auswählen. Wenn Sie "Ja" oder "Nein" auswählen, können Administratoren festlegen, dass der Benutzer den Wert der App-Einstellung ändern kann. Wählen Sie "Ja" (App-Standard) aus, damit der Benutzer die Einstellung ändern kann, oder wählen Sie "Nein", wenn Sie verhindern möchten, dass der Benutzer den Wert der Einstellung ändert.

  12. Stellen Sie bei Bedarf eine LDAP-URL für die Empfängerzertifikatsuche bereit. Weitere Informationen zum URL-Format finden Sie unter LDAP-Unterstützung für die Zertifikatsuche.

  13. Set Deploy S/MIME certificates from Intune to Yes.

  14. Wählen Sie unter "Zertifikate neben Zertifikatprofiltyp signieren" eine der folgenden Optionen aus:

    • SCEP: Erstellt ein Zertifikat, das für das Gerät und den Benutzer eindeutig ist und von Microsoft Outlook zum Signieren verwendet werden kann. Informationen dazu, was für die Verwendung von SCEP-Zertifikatprofilen erforderlich ist, finden Sie unter Konfigurieren der Infrastruktur zur Unterstützung von SCEP mit Intune.
    • IMPORTIERTE PKCS-Zertifikate: Verwendet ein Zertifikat, das für den Benutzer eindeutig ist, aber für alle Geräte freigegeben werden kann und vom Administrator im Namen des Benutzers in Endpoint Manager importiert wurde. Das Zertifikat wird an jedes Gerät übermittelt, das ein Benutzer registriert. Endpoint Manager wählt automatisch das importierte Zertifikat aus, das die Signierung unterstützt, um es an das Gerät zu übermitteln, das dem registrierten Benutzer entspricht. Informationen dazu, was für die Verwendung importierter PKCS-Zertifikate erforderlich ist, finden Sie unter Konfigurieren und Verwenden von PKCS-Zertifikaten mit Intune.
    • Abgeleitete Anmeldeinformationen: Verwendet ein Zertifikat, das sich bereits auf dem Gerät befindet und zum Signieren verwendet werden kann. Das Zertifikat muss mithilfe der abgeleiteten Anmeldeinformationenflüsse in Intune auf dem Gerät abgerufen werden.
  15. Wählen Sie unter "Verschlüsselungszertifikate" neben dem Zertifikatprofiltyp eine der folgenden Optionen aus:

    • IMPORTIERTE PKCS-Zertifikate: Stellt alle Verschlüsselungszertifikate bereit, die vom Administrator auf jedem Gerät, das ein Benutzer registriert, in Endpoint Manager importiert wurden. Endpoint Manager wählt automatisch das oder die importierten Zertifikate aus, die die Verschlüsselung unterstützen, und übermittelt es an die Geräte des registrierten Benutzers.
    • Abgeleitete Anmeldeinformationen: Verwendet ein Zertifikat, das sich bereits auf dem Gerät befindet und zum Signieren verwendet werden kann. Das Zertifikat muss mithilfe der abgeleiteten Anmeldeinformationenflüsse in Intune auf dem Gerät abgerufen werden.
  16. Wählen Sie neben Endbenutzerbenachrichtigungen aus, wie Endbenutzer benachrichtigt werden sollen, um die Zertifikate abzurufen, indem Sie Unternehmensportal oder E-Mail auswählen.

    Unter iOS müssen Benutzer die Unternehmensportal-App verwenden, um ihre S/MIME-Zertifikate abzurufen. Endpoint Manager informiert den Benutzer, dass er die Unternehmensportal starten muss, um seine S/MIME-Zertifikate über den Abschnitt "Benachrichtigungen" von Unternehmensportal, eine Pushbenachrichtigung und/oder eine E-Mail abzurufen. Das Klicken auf eine der Benachrichtigungen führt den Benutzer zu einer Zielseite, die den Benutzer über den Fortschritt beim Abrufen der Zertifikate informiert. Nachdem die Zertifikate abgerufen wurden, kann der Benutzer S/MIME aus Microsoft Outlook für iOS verwenden, um E-Mails zu signieren und zu verschlüsseln.

    Die Endbenutzerbenachrichtigungen umfassen die folgenden Optionen:

    • Unternehmensportal: Wenn diese Option ausgewählt ist, erhalten Die Benutzer eine Pushbenachrichtigung auf ihrem Gerät, die sie zur Zielseite in Unternehmensportal führt, auf der S/MIME-Zertifikate abgerufen werden.
    • E-Mail: Sendet eine E-Mail an den Endbenutzer, in der er darüber informiert wird, dass er Unternehmensportal starten muss, um seine S/MIME-Zertifikate abzurufen. Wenn sich der Benutzer auf dem registrierten iOS-Gerät befindet, wenn er auf den Link in der E-Mail klickt, wird er an die Unternehmensportal umgeleitet, um seine Zertifikate abzurufen.

    Endbenutzer sehen eine ähnliche Erfahrung wie bei der automatischen Zertifikatübermittlung:  Screenshot der automatisierten Zertifikatübermittlung.

  17. Wählen Sie "Zuweisungen" aus, um die App-Konfigurationsrichtlinie den Azure AD-Gruppen zuzuweisen. Weitere Informationen finden Sie unter Zuweisen von Apps zu Gruppen mit Microsoft Intune.

Outlook für die automatische Übermittlung von Android-Zertifikaten

Führen Sie die folgenden Schritte aus, um die Outlook für iOS- und Android-S/MIME-Richtlinien in Endpoint Manager zu erstellen und zu konfigurieren. Diese Einstellungen ermöglichen die automatisierte Übermittlung der Signatur- und Verschlüsselungszertifikate.

  1. Melden Sie sich bei Microsoft Endpoint Manageran.

  2. Erstellen Sie ein SCEP-Zertifikatprofil oder PKCS-Zertifikatprofil, und weisen Sie es Ihren mobilen Benutzern zu.

  3. Wählen Sie "Apps" und dann "App-Konfigurationsrichtlinien" aus.

  4. Wählen Sie auf dem Blatt "App-Konfigurationsrichtlinien" die Option "Hinzufügen" aus, und wählen Sie "Verwaltete Geräte" aus, um den Erstellungsfluss der App-Konfigurationsrichtlinie zu starten.

  5. Geben Sie im Abschnitt "Grundlagen" einen Namen und optional eine Beschreibung für die App-Konfigurationseinstellungen ein.

  6. For Platform, choose Android Enterprise and for Profile Type, choose All Profile Types.

  7. Wählen Sie für eine gezielte App die Option "App auswählen" aus, und wählen Sie dann auf dem Blatt "Zugeordnete App" Microsoft Outlook aus. Klicken Sie auf OK.

    Hinweis

    Wenn Outlook nicht als verfügbare App aufgeführt ist, müssen Sie sie hinzufügen, indem Sie die Anweisungen unter Zuweisen von Apps zu Android-Arbeitsprofilgeräten mit Intune und Hinzufügen von iOS Store-Apps zu Microsoft Intunebefolgen.

  8. Klicken Sie auf "Konfigurationseinstellungen", um Konfigurationseinstellungen hinzuzufügen.

    Wählen Sie Neben dem Konfigurationseinstellungsformat "Konfigurations-Designer verwenden" aus, und akzeptieren oder ändern Sie die Standardeinstellungen. Weitere Informationen finden Sie unter Bereitstellen von Outlook für iOS- und Android-App-Konfigurationseinstellungen.

  9. Klicken Sie auf S/MIME, um die Outlook S/MIME-Einstellungen anzuzeigen.

  10. Set Enable S/MIME to Yes. Wenn Sie "Ja" oder "Nein" auswählen, können Administratoren festlegen, dass der Benutzer den Wert der App-Einstellung ändern kann. Wählen Sie "Ja" (App-Standard) aus, damit der Benutzer die Einstellung ändern kann, oder wählen Sie "Nein", wenn Sie verhindern möchten, dass der Benutzer den Wert der Einstellung ändert.

  11. Wählen Sie aus, ob alle E-Mails verschlüsselt werden sollen, indem Sie "Ja" oder "Nein" auswählen. Wenn Sie "Ja" oder "Nein" auswählen, können Administratoren festlegen, dass der Benutzer den Wert der App-Einstellung ändern kann. Wählen Sie "Ja" (App-Standard) aus, damit der Benutzer die Einstellung ändern kann, oder wählen Sie "Nein", wenn Sie verhindern möchten, dass der Benutzer den Wert der Einstellung ändert.

  12. Wählen Sie aus, ob alle E-Mails signiert werden sollen, indem Sie "Ja" oder "Nein" auswählen. Wenn Sie "Ja" oder "Nein" auswählen, können Administratoren festlegen, dass der Benutzer den Wert der App-Einstellung ändern kann. Wählen Sie "Ja" (App-Standard) aus, damit der Benutzer die Einstellung ändern kann, oder wählen Sie "Nein", wenn Sie verhindern möchten, dass der Benutzer den Wert der Einstellung ändert.

  13. Wählen Sie "Zuweisungen" aus, um die App-Konfigurationsrichtlinie den Azure AD-Gruppen zuzuweisen. Weitere Informationen finden Sie unter Zuweisen von Apps zu Gruppen mit Microsoft Intune.

Aktivieren von S/MIME im Client

S/MIME muss für Outlook für iOS und Android aktiviert sein, um S/MIME-bezogene Inhalte anzuzeigen oder zu erstellen.

Endbenutzer müssen die S/MIME-Funktionalität manuell aktivieren, indem sie auf ihre Kontoeinstellungen zugreifen, auf "Sicherheit" tippen und auf das standardmäßig deaktivierte S/MIME-Steuerelement tippen. Die sicherheitseinstellung Outlook für iOS S/MIME sieht wie folgt aus:

Screenshots mit Outlook für iOS S/MIME-Sicherheitseinstellungen.

Wenn die S/MIME-Einstellung aktiviert ist, deaktiviert Outlook für iOS und Android automatisch die Einstellung "Nach Thread organisieren". Dies liegt daran, dass die S/MIME-Verschlüsselung komplexer wird, wenn ein Unterhaltungsthread wächst. Durch Das Entfernen der Threadunterhaltungsansicht reduziert Outlook für iOS und Android die Möglichkeit von Problemen mit Zertifikaten über Empfänger hinweg während der Signierung und Verschlüsselung. Da es sich hierbei um eine Einstellung auf App-Ebene handelt, wirkt sich diese Änderung auf alle Konten aus, die der App hinzugefügt wurden. Dieses Dialogfeld für die Threadunterhaltung wird in iOS wie folgt gerendert:

Screenshot des Dialogfelds "Outlook für iOS-Threadunterhaltung".

Sobald S/MIME aktiviert ist und die S/MIME-Zertifikate installiert sind, können Benutzer die installierten Zertifikate anzeigen, indem sie auf ihre Kontoeinstellungen zugreifen und auf "Sicherheit" tippen. Darüber hinaus können Benutzer auf jedes einzelne S/MIME-Zertifikat tippen und die Details des Zertifikats anzeigen, einschließlich Informationen wie Schlüsselverwendung und Gültigkeitszeitraum.

Screenshot des Bildschirms Outlook für iOS-Zertifikatdetails.

Benutzer können Outlook konfigurieren, um Nachrichten automatisch zu signieren oder zu verschlüsseln. Dadurch können Benutzer Zeit beim Senden von E-Mails sparen, während sie sicher sind, dass ihre E-Mails signiert/verschlüsselt werden.

LDAP-Unterstützung für die Zertifikatsuche

Outlook für iOS und Android unterstützt den Zugriff auf öffentliche Benutzerzertifikatschlüssel von sicheren LDAP-Verzeichnisendpunkten während der Empfängerauflösung. Um einen LDAP-Endpunkt nutzen zu können, müssen die folgenden Anforderungen erfüllt sein:

  • Der LDAP-Endpunkt erfordert keine Authentifizierung.
  • Die LDAP-Endpunktkonfiguration wird über eine App-Konfigurationsrichtlinie an Outlook für iOS und ANdroid übermittelt. Weitere Informationen finden Sie unter S/MIME-Einstellungen.
  • Die LDAP-Endpunktkonfiguration wird mit den folgenden Formaten unterstützt:
    • ldaps://contoso.com
    • ldap://contoso.com
    • ldap://contoso.com:389
    • ldaps://contoso.com:636
    • contoso.com
    • contoso.com:389
    • contoso.com:636

Wenn Outlook für iOS und Android eine Zertifikatsuche für einen Empfänger durchführt, durchsucht die App zuerst das lokale Gerät, fragen dann Azure Active Directory ab, und wertet dann einen LDAP-Verzeichnisendpunkt aus. Wenn Outlook für iOS und Android eine Verbindung mit dem LDAP-Verzeichnisendpunkt herstellt, um nach dem öffentlichen Zertifikat eines Empfängers zu suchen, wird eine Zertifikatüberprüfung durchgeführt, um sicherzustellen, dass das Zertifikat nicht widerrufen wird. Das Zertifikat wird von der App nur dann als gültig betrachtet, wenn die Zertifikatüberprüfung erfolgreich abgeschlossen wurde.

Verwenden von S/MIME in Outlook für iOS und Android

Nachdem die Zertifikate bereitgestellt und S/MIME in der App aktiviert wurde, können Benutzer S/MIME-bezogene Inhalte nutzen und Inhalte mithilfe von S/MIME-Zertifikaten verfassen. Wenn die S/MIME-Einstellung nicht aktiviert ist, können Benutzer keinen S/MIME-Inhalt verwenden.

Anzeigen von S/MIME-Nachrichten

In der Nachrichtenansicht können Benutzer Nachrichten anzeigen, die S/MIME-signiert oder verschlüsselt sind. Darüber hinaus können Benutzer auf die S/MIME-Statusleiste tippen, um weitere Informationen zum S/MIME-Status der Nachricht anzuzeigen. Die folgenden Screenshots zeigen Beispiele dafür, wie S/MIME-Nachrichten in Android verwendet werden.

Wichtig

Um eine verschlüsselte Nachricht zu lesen, muss der private Zertifikatschlüssel des Empfängers auf dem Gerät verfügbar sein.

Screenshots der S/MIME-Verwendung in iOS.

Benutzer können den öffentlichen Zertifikatschlüssel eines Absenders installieren, indem sie auf die S/MIME-Statusleiste tippen. Das Zertifikat wird auf dem Gerät des Benutzers installiert, insbesondere in der Microsoft Publisher-Schlüsselkette in iOS oder im System-KeyStore in Android. Die Android-Version sieht ähnlich wie folgt aus:

Screenshots von Outlook für die Installation öffentlicher Android-Schlüssel.

Wenn Zertifikatfehler auftreten, warnt Outlook für iOS und Android den Benutzer. Der Benutzer kann auf die S/MIME-Statusleistenbenachrichtigung tippen, um weitere Informationen zum Zertifikatfehler anzuzeigen, z. B. im folgenden Beispiel.

Screenshot der Outlook für iOS-Zertifikatfehler bei empfangener Nachricht.

Erstellen von S/MIME-Nachrichten

Bevor ein Benutzer eine signierte und/oder verschlüsselte Nachricht senden kann, führt Outlook für iOS und Android eine Gültigkeitsprüfung für das Zertifikat durch, um sicherzustellen, dass es für Signatur- oder Verschlüsselungsvorgänge gültig ist. Wenn das Zertifikat bald abläuft, warnt Outlook für iOS und Android den Benutzer, ein neues Zertifikat zu erhalten, wenn der Benutzer versucht, eine Nachricht zu signieren oder zu verschlüsseln, beginnend 30 Tage vor dem Ablauf.

Screenshots mit Warnungen zum Ablauf des Zertifikats.

Beim Verfassen einer E-Mail in Outlook für iOS und Android kann der Absender die Nachricht verschlüsseln und/oder signieren. Durch Tippen auf die Ellipsen und anschließendes Signieren und Verschlüsseln werden die verschiedenen S/MIME-Optionen angezeigt. Wenn Sie eine S/MIME-Option auswählen, wird die entsprechende Codierung in der E-Mail aktiviert, sobald die Nachricht gespeichert oder gesendet wird, vorausgesetzt, der Absender verfügt über ein gültiges Zertifikat.

Outlook für iOS und Android können signierte und verschlüsselte S/MIME-Nachrichten an Verteilergruppen senden. Outlook für iOS und Android zählt die Zertifikate für die in der Verteilergruppe definierten Benutzer auf, einschließlich der Zertifikate in geschachtelten Verteilergruppen. Achten Sie jedoch darauf, die Anzahl der geschachtelten Verteilergruppen zu begrenzen, um die Auswirkungen auf die Verarbeitung zu minimieren.

Wichtig

  • Outlook für iOS und Android unterstützt nur das Senden von klar signierten Nachrichten.
  • Um eine verschlüsselte Nachricht zu verfassen, muss der öffentliche Zertifikatschlüssel des Zielempfängers entweder in der globalen Adressliste oder auf dem lokalen Gerät gespeichert sein. Um eine signierte Nachricht zu verfassen, muss der private Zertifikatschlüssel des Absenders auf dem Gerät verfügbar sein.

So werden S/MIME-Optionen in Outlook für Android angezeigt:

Screenshots von Outlook für Android-S/MIME-Optionen.

Outlook für iOS und Android wertet alle Empfänger aus, bevor eine verschlüsselte Nachricht gesendet wird, und bestätigt, dass für jeden Empfänger ein gültiger öffentlicher Zertifikatschlüssel vorhanden ist. Die globale Adressliste (GAL) wird zuerst überprüft. wenn in der GAL kein Zertifikat für den Empfänger vorhanden ist, fragt Outlook die Microsoft Publisher-Schlüsselkette in iOS oder den System-KeyStore in Android ab, um den öffentlichen Zertifikatschlüssel des Empfängers zu finden. Bei Empfängern ohne öffentlichen Zertifikatschlüssel (oder ungültigen Schlüssel) fordert Outlook zur Entfernung auf. Die Nachricht wird nicht ohne Verschlüsselung an einen Empfänger gesendet, es sei denn, die Verschlüsselungsoption wird vom Absender während der Komposition deaktiviert.

Screenshot der Outlook für iOS-Warnung zu Empfängerzertifikaten.