S/MIME mit der Outlook App für Apple IOS und Android nur mit über InTune verwalteten Geräten möglich

Möchte man S/MIME Zertifikate seinen Benutzern auch auf dem Smartphone zur Verfügung stellen, wird man vielleicht mit Erstaunen feststellen, dass dies nicht mit der Outlook App möglich ist, wenn man nicht auch Microsoft InTune als Verwaltungslösung für die Geräte einsetzt.

Microsoft hat in einem Artikel "Sensitivity labeling and protection in Outlook for iOS and Android" nun klargestellt, dass dies auf die jeweilige Systemarchitektur zurückzuführen ist.

For Outlook for iOS, this is due to the iOS keychain architecture. iOS offers a system keychain and publisher keychains. iOS prevents third-party apps from accessing the system keychain (only first-party apps and the Safari webview controller can access the system keychain). In order to deliver certificates that can be accessed by Outlook for iOS, the certificates must reside in the Microsoft publisher keychain to which Outlook for iOS has access. Only Microsoft published apps, like the Company Portal, can place certificates into the Microsoft publisher keychain.

Für iOS bedeutet dies, dass Apps (in diesem Fall das Mobile Device Management sowie die Outlook App) nur dann einen gemeinsamen Schlüsselspeicher verwenden können, wenn sie vom gleichen Veröffentlicher (Publisher) kommen. Es ist also keine von Microsoft erfundene Einschränkung, sondern eine des iOS Betriebssystems bzw. dessen Sicherheitsmodell.

Outlook for Android relies on Endpoint Manager to deliver and approve the S/MIME certificates. Automatic certificate delivery is supported with Android enrollment scenarios: device administrator, Android Enterprise work profile, and Android Enterprise fully managed.