S/MIME für die Nachrichtensignierung und -verschlüsselung in Exchange OnlineS/MIME for message signing and encryption in Exchange Online

Wichtig

Das verbesserte Microsoft 365 Security Center ist jetzt in der öffentlichen Vorschau verfügbar.The improved Microsoft 365 security center is now available in public preview. Diese neue Umgebung integriert Microsoft Defender für Endpunkt, Microsoft Defender für Office, 365 Microsoft 365 Defender und mehr in das Microsoft 365 Security Center.This new experience brings Defender for Endpoint, Defender for Office, 365 Microsoft 365 Defender, and more into the Microsoft 365 security center. Erfahren Sie, was es Neues gibt.Learn what's new. Dieses Thema kann für Microsoft Defender für Office 365 und Microsoft 365 Defender gelten.This topic might apply to both Microsoft Defender for Office 365 and Microsoft 365 Defender. Lesen Sie den Abschnitt Gilt für, und suchen Sie in diesem Artikel nach speziellen Hinweisen auf mögliche Unterschiede.Refer to the Applies To section and look for specific call outs in this article where there might be differences.

S/MIME (Secure/Multipurpose Internet Mail Extensions) ist eine allgemein akzeptierte Methode (oder genauer gesagt ein Protokoll) zum Senden digital signierter und verschlüsselter Nachrichten.S/MIME (Secure/Multipurpose Internet Mail Extensions) is a widely accepted method (or more precisely, a protocol) for sending digitally signed and encrypted messages. S/MIME ermöglicht Ihnen das Verschlüsseln und digitale Signieren von E-Mails.S/MIME allows you to encrypt emails and digitally sign them. Wenn Sie S/MIME mit einer E-Mail-Nachricht verwenden, hilft es den Personen, die diese Nachricht erhalten, sicher zu sein, dass das, was sie in ihrem Posteingang sehen, genau die Nachricht ist, die mit dem Absender begonnen hat.When you use S/MIME with an email message, it helps the people who receive that message to be certain that what they see in their inbox is the exact message that started with the sender. Es hilft auch Personen, die Nachrichten empfangen, sicher zu sein, dass die Nachricht vom bestimmten Absender stammt und nicht von jemandem, der vorgibt, der Absender zu sein.It will also help people who receive messages to be certain that the message came from the specific sender and not from someone pretending to be the sender. Dafür bietet S/MIME kryptografische Sicherheitsdienste, wie Authentifizierung, Nachrichtenintegrität und Ursprungszulassung (anhand von digitalen Signaturen).To do this, S/MIME provides for cryptographic security services such as authentication, message integrity, and non-repudiation of origin (using digital signatures). Es trägt außerdem zur Verbesserung des Datenschutzes und der Datensicherheit (mithilfe der Verschlüsselung) für elektronische Nachrichten bei.It also helps enhance privacy and data security (using encryption) for electronic messaging. Genauere Hintergrundinformationen zur Geschichte und Architektur von S/MIME im Kontext von E-Mails finden Sie unter Informationen zu S/MIME.For a more complete background about the history and architecture of S/MIME in the context of email, see Understanding S/MIME.

Als Exchange Online-Administrator können Sie S/MIME-basierte Sicherheit für die Postfächer in Ihrer Organisation aktivieren.As an Exchange Online admin, you can enable S/MIME-based security for the mailboxes in your organization. Verwenden Sie zum Einrichten von S/MIME die Anleitungen in den hier mit Exchange Online PowerShell verknüpften Themen.Use the guidance in the topics linked here along with Exchange Online PowerShell to set up S/MIME. Um S/MIME in unterstützten E-Mail-Clients verwenden zu können, müssen die Benutzer in Ihrer Organisation über Zertifikate verfügen, die zu Signierungs- und Verschlüsselungszwecken ausgestellt wurden, sowie Daten, die in Ihrem lokalen Active Directory Domain Service (AD DS) veröffentlicht wurden.To use S/MIME in supported email clients, the users in your organization must have certificates issued for signing and encryption purposes and data published to your on-premises Active Directory Domain Service (AD DS). Ihr AD DS muss sich auf Computern an einem physischen Standort befinden, den Sie steuern, und nicht an einer Remoteeinrichtung oder einem cloudbasierten Dienst im Internet.Your AD DS must be located on computers at a physical location that you control and not at a remote facility or cloud-based service somewhere on the internet. Weitere Informationen zu AD DS finden Sie unter Active Directory Domain Services Overview.For more information about AD DS, see Active Directory Domain Services Overview.

Unterstützte Szenarien und technische ÜberlegungenSupported scenarios and technical considerations

Sie können S/MIME für alle der folgenden Endpunkte einrichten:You can set up S/MIME to work with any of the following end points:

  • Outlook 2010 oder höherOutlook 2010 or later
  • Outlook im Web (früher Outlook Web App)Outlook on the web (formerly known as Outlook Web App)
  • Exchange ActiveSync (EAS)Exchange ActiveSync (EAS)

Die Schritte, die Sie zum Einrichten von S/MIME für jeden dieser Endpunkte ausführen, unterscheiden sich geringfügig.The steps that you follow to set up S/MIME with each of these end points is slightly different. Im Allgemeinen müssen Sie die folgenden Schritte ausführen:Generally, you will need to do the following steps:

  1. Installieren Sie eine Windows-basierte Zertifizierungsstelle ,und richten Sie eine Public Key-Infrastruktur ein, um S/MIME-Zertifikate auszustellen.Install a Windows-based Certification Authority (CA) and set up a public key infrastructure to issue S/MIME certificates. Zertifikate, die von Zertifikatanbietern von Drittanbietern ausgestellt wurden, werden ebenfalls unterstützt.Certificates issued by third-party certificate providers are also supported. Details finden Sie unter Active Directory-Zertifikatdienste: Übersicht.For details, see Active Directory Certificate Services Overview.

    Hinweise:Notes:

    • Zertifikate, die von einer Zertifizierungsstelle eines Drittanbieters ausgestellt wurden, haben den Vorteil, dass sie von allen Clients und Geräten automatisch als vertrauenswürdig eingestuft werden.Certificates issued by a third-party CA have the advantage of being automatically trusted by all clients and devices. Zertifikate, die von einer internen, privaten Zertifizierungsstelle ausgestellt werden, werden nicht automatisch von Clients und Geräten als vertrauenswürdig eingestuft, und nicht alle Geräte (z. B. Telefone) können so konfiguriert werden, dass sie privaten Zertifikaten vertrauen.Certificates that are issued by an internal, private CA aren't automatically trusted by clients and devices, and not all devices (for example, phones) can be configured to trust private certificates.

    • Erwägen Sie die Verwendung eines Zwischenzertifikats anstelle des Stammzertifikats, um Zertifikate für Benutzer auszustellen.Consider using an intermediate certificate instead of the root certificate to issue certificates to users. Auf diese Weise bleibt das Stammzertifikat erhalten, wenn Sie Zertifikate widerrufen und erneut ausstellen müssen.That way, if you ever need to revoke and reissue certificates, the root certificate is still intact.

  2. Veröffentlichen Sie das Benutzerzertifikat in einem lokalen AD DS-Konto in den Attributen "UserSMIMECertificate" und/oder "UserCertificate".Publish the user certificate in an on-premises AD DS account in the UserSMIMECertificate and/or UserCertificate attributes.

  3. Synchronisieren Sie für Exchange Online-Organisationen die Benutzerzertifikate aus AD DS mit Azure Active Directory, indem Sie eine entsprechende Version von Azure AD Connect verwenden.For Exchange Online organizations, synchronize the user certificates from AD DS to Azure Active Directory by using an appropriate version of Azure AD Connect. Diese Zertifikate werden dann aus Azure Active Directory mit dem Exchange Online-Verzeichnis synchronisiert und beim Verschlüsseln einer Nachricht mit einem Empfänger verwendet.These certificates will then get synchronized from Azure Active Directory to Exchange Online directory and will be used when encrypting a message to a recipient.

  4. Richten Sie eine virtuelle Zertifikatauflistung zum Validieren von S/MIME ein. Diese Informationen verwendet Outlook im Web beim Validieren der Signatur einer E-Mail und stellt sicher, dass sie von einem vertrauenswürdigen Zertifikat signiert wurde.Set up a virtual certificate collection in order to validate S/MIME. This information is used by Outlook on the web when validating the signature of an email and ensuring that it was signed by a trusted certificate.

  5. Richten Sie den Outlook- oder EAS-Endpunkt für die Verwendung von S/MIME ein.Set up the Outlook or EAS end point to use S/MIME.

Hinweis

Sie können das S/MIME-Steuerelement in Outlook im Web nicht auf Mac-, iOS-, Android- oder anderen Nicht-Windows-Geräten installieren.You can't install S/MIME control in Outlook on the web on Mac, iOS, Android, or other non-Windows devices. Weitere Informationen finden Sie unter Verschlüsseln von Nachrichten mithilfe von S/MIME in Outlook im Web.For more information, see Encrypt messages by using S/MIME in Outlook on the web.

Einrichten von S/MIME mit Outlook im WebSet up S/MIME with Outlook on the web

Das Einrichten von S/MIME für Exchange Online mit Outlook im Web umfasst die folgenden wichtigen Schritte:Setting up S/MIME for Exchange Online with Outlook on the web involves the following key steps:

  1. Konfigurieren von S/MIME-Einstellungen für Outlook im WebConfigure S/MIME settings for Outlook on the web
  2. Einrichten einer virtuellen Zertifikatauflistung für die Überprüfung von S/MIMESet up virtual certificate collection to validate S/MIME
  3. Synchronisierung von Benutzerzertifikaten nach Office 365 für S/MIMESync user certificates to Office 365 for S/MIME

Mit zunehmender Bedeutung der Nachrichtensicherheit müssen Administratoren die Prinzipien und Konzepte von sicherem Messaging verstehen.As message security becomes more important, admins need to understand the principles and concepts of secure messaging. Dieses Verständnis ist besonders wichtig aufgrund der wachsenden Vielfalt an schutzbezogenen Technologien (einschließlich S/MIME), die verfügbar sind.This understanding is especially important because of the growing variety of protection-related technologies (including S/MIME) that are available. Weitere Informationen zu S/MIME und deren Funktionsweise im Kontext von E-Mails finden Sie unter Understanding S/MIME.To understand more about S/MIME and how it works in context of email, see Understanding S/MIME. Eine Vielzahl von Verschlüsselungstechnologien arbeiten zusammen, um den Schutz von Ruhe- und Übertragungsnachrichten zu gewährleisten.A variety of encryption technologies work together to provide protection for messages at rest and in-transit. S/MIME kann gleichzeitig mit den folgenden Technologien verwendet werden, ist jedoch nicht von ihnen abhängig:S/MIME can work simultaneously with the following technologies but is not dependent on them:

  • TLS (Transport Layer Security) verschlüsselt den Tunnel oder die Route zwischen E-Mail-Servern, um Snooping und Lauschangriffe zu verhindern.Transport Layer Security (TLS) encrypts the tunnel or the route between email servers in order to help prevent snooping and eavesdropping.

  • SSL (Secure Sockets Layer) verschlüsselt die Verbindung zwischen E-Mail-Clients und Microsoft 365-Servern.Secure Sockets Layer (SSL) encrypts the connection between email clients and Microsoft 365 servers.

  • BitLocker verschlüsselt die Daten auf einer Festplatte in einem Datencenter, sodass jemand, der nicht autorisierten Zugriff erhält, diese nicht lesen kann.BitLocker encrypts the data on a hard drive in a datacenter so that if someone gets unauthorized access, they can't read it.

S/MIME im Vergleich zur Office 365-NachrichtenverschlüsselungS/MIME compared with Office 365 Message Encryption

Für S/MIME ist eine Infrastruktur für Zertifikate und Veröffentlichungen erforderlich, die häufig in B2B(Business-to-Business)- und B2C(Business-to-Customer)-Situationen verwendet wird.S/MIME requires a certificate and publishing infrastructure that is often used in business-to-business and business-to-consumer situations. Der Benutzer steuert die kryptografischen Schlüssel in S/MIME und kann wählen, ob sie für jede versendete Nachricht verwendet werden sollen.The user controls the cryptographic keys in S/MIME and can choose whether to use them for each message they send. E-Mail-Programme wie Outlook suchen nach dem Ort einer vertrauenswürdigen Stammzertifizierungsstelle, um eine digitale Signatur vorzunehmen und diese Signatur zu überprüfen.Email programs such as Outlook search a trusted root certificate authority location to perform digital signing and verification of the signature. Die Office 365-Nachrichtenverschlüsselung ist ein richtlinienbasierter Verschlüsselungsdienst, der von einem Administrator und nicht von einem einzelnen Benutzer zum Verschlüsseln von E-Mails konfiguriert werden kann, die an personen innerhalb oder außerhalb der Organisation gesendet werden.Office 365 Message Encryption is a policy-based encryption service that can be configured by an administrator, and not an individual user, to encrypt mail sent to anyone inside or outside of the organization. Es ist ein Onlinedienst, der auf Azure Rights Management (RMS) aufgebaut ist und nicht auf einer Public -Key-Infrastruktur angewiesen ist.It's an online service that's built on Azure Rights Management (RMS) and does not rely on a public key infrastructure. Die Office 365-Nachrichtenverschlüsselung bietet auch zusätzliche Funktionen, z. B. die Möglichkeit, die E-Mails mit der Marke der Organisation anzupassen.Office 365 Message Encryption also provides additional capabilities, such as the capability to customize the mail with organization's brand. Weitere Informationen zur Office 365-Nachrichtenverschlüsselung finden Sie unter "Verschlüsselung in Office 365".For more information about Office 365 Message Encryption, see Encryption in Office 365.

Weitere InformationenMore information

Outlook im WebOutlook on the web

Secure Mail (2000)Secure Mail (2000)