Konfigurieren von S/MIME für Windows

• Gilt für::

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Secure/Multipurpose Internet Mail Extensions (S/MIME) bietet eine zusätzliche Sicherheitsebene für E-Mails, die an und von einem EAS-Konto (Exchange ActiveSync) gesendet werden. Mit S/MIME können Benutzer ausgehende Nachrichten und Anlagen verschlüsseln, sodass sie nur von beabsichtigten Empfängern gelesen werden können. Um die Nachrichten lesen zu können, müssen Empfänger über eine digitale Identifikation (ID) verfügen, die auch als Zertifikat bezeichnet wird.
Benutzer können eine Nachricht digital signieren. So haben Empfänger eine Möglichkeit, die Identität des Absenders zu überprüfen und sicherzustellen, dass die Nachricht nicht manipuliert wurde.

Nachrichtenverschlüsselung

Benutzer können verschlüsselte Nachrichten an Empfänger senden, die über ein Verschlüsselungszertifikat verfügen.
Benutzer können verschlüsselte Nachrichten nur lesen, wenn die Nachricht in ihrem Exchange-Konto empfangen wird und sie über entsprechende Entschlüsselungsschlüssel verfügen.

Verschlüsselte Nachrichten können nur von Empfängern gelesen werden, die über ein Zertifikat verfügen. Wenn Sie versuchen, eine verschlüsselte Nachricht an Empfänger zu senden, deren Verschlüsselungszertifikat nicht verfügbar ist, werden Sie von der App aufgefordert, diese Empfänger vor dem Senden der E-Mail zu entfernen.

Digitale Signaturen

Eine digital signierte Nachricht versichert dem Empfänger, dass die Nachricht nicht manipuliert wurde, und überprüft die Identität des Absenders. Empfänger können die digitale Signatur nur überprüfen, wenn sie einen E-Mail-Client verwenden, der S/MIME unterstützt.

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Email Encryption (S/MIME) unterstützen:

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
Ja	Ja	Ja	Ja

S/MIME-Lizenzberechtigungen (Email Encryption) werden von den folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
Ja	Ja	Ja	Ja	Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Voraussetzungen

• S/MIME ist für Exchange-Konten (lokal und Exchange Online) aktiviert. Benutzer können keine S/MIME-Signatur und -Verschlüsselung mit einem persönliches Konto wie Outlook.com
• Gültige PFX-Zertifikate (Personal Information Exchange) sind auf dem Gerät installiert.
  • Erstellen von PFX-Zertifikatprofilen in Configuration Manager
  • Verwenden von Zertifikaten für die Authentifizierung in Microsoft Intune

Auswählen von S/MIME-Einstellungen

Führen Sie auf dem Gerät die folgenden Schritte aus: (Ausgewähltes Zertifikat hinzufügen)

1. Öffnen der Mail-App

2. Öffnen Sie Einstellungen > Email Sicherheit

3. Wählen Sie unter Konto auswählen das Konto aus, für das Sie S/MIME-Optionen konfigurieren möchten.

4. Treffen einer Zertifikatauswahl für digitale Signatur und Verschlüsselung

   • Wählen Sie Automatisch aus, damit die App das Zertifikat auswählen kann.
   • Wählen Sie Manuell aus, um das Zertifikat selbst in der Liste der gültigen Zertifikate auf dem Gerät anzugeben.

5. (Optional) Wählen Sie Immer mit S/MIME anmelden, Immer mit S/MIME verschlüsseln oder beides aus, um alle ausgehenden Nachrichten automatisch digital zu signieren oder zu verschlüsseln.

   Hinweis

   Die Option zum Signieren oder Verschlüsseln kann für einzelne Nachrichten geändert werden, es sei denn, EAS-Richtlinien verhindern dies.

6. Wählen Sie den Zurück-Pfeil aus.

Verschlüsseln oder Signieren einzelner Nachrichten

1. Wählen Sie beim Verfassen einer Nachricht im Menüband Optionen aus.

2. Verwenden von Sign - und Encrypt-Symbolen zum Aktivieren der digitalen Signatur und Verschlüsselung für diese Nachricht

   

Lesen signierter oder verschlüsselter Nachrichten

Wenn Sie eine verschlüsselte Nachricht erhalten, überprüft die Mail-App, ob auf Ihrem Computer ein Zertifikat verfügbar ist. Wenn ein Zertifikat verfügbar ist, wird die Nachricht beim Öffnen entschlüsselt. Wenn Ihr Zertifikat auf einer Smartcard gespeichert ist, werden Sie aufgefordert, die Smartcard einzufügen, um die Nachricht zu lesen. Für die Smartcard kann auch eine PIN erforderlich sein, um auf das Zertifikat zuzugreifen.

Installieren von Zertifikaten aus einer empfangenen Nachricht

Wenn Sie eine signierte E-Mail erhalten, bietet die App ein Feature zum Installieren des entsprechenden Verschlüsselungszertifikats auf Ihrem Gerät, sofern das Zertifikat verfügbar ist. Dieses Zertifikat kann dann verwendet werden, um verschlüsselte E-Mails an die jeweilige Person zu senden.

1. Eine signierte E-Mail öffnen

2. Wählen Sie im Lesebereich das Symbol für die digitale Signatur aus.

3. Wählen Sie Installieren aus.