Digitale Signatur Exchange Online mit Option der Verschlüsselung

Hallo Mitstreiter,

ich brauche mal Input...

Ziel: digitale Signatur von emails, später auch eine Verschlüsselung. Allerdings nicht Unternehmensweit, es beschränkt sich auf eine "handvoll" User die das benötigen.
Bedingung: rechtssichere Archivierung und Virenschutz darf trotz Verschlüsselung nicht beeinträchtigt werden und die Zertifikate müssen zentral verwaltet sein, individuelle lokale Zertifikate würden vermutlich zu einem Problem wenn der Rechner abraucht oder es sonstwie abhanden kommt.
Umgebung: lokales AD und private interne CA, Synchronisierung per AzureAD, alle Postfächer sind im Exchange Online

Beim DGN habe ich mir eins Zertifikat erstellen lassen was aber bei uns intern nirgends als vertrauenswürdig gemarkt wird.. das ist sicher zentral zu steuern aber perspektivisch möchte und darf ich diese Zertifikate nicht einsetzen.
Was ich bisher erreicht habe, ist die Ausstellung von Benutzerzertifikaten die als Signierung innerhalb der Firma auch klappt, weil ja alle unserer CA intern vertrauen. Sobald jedoch nach extern gesendet
wird, müsste der Empfänger unsere CA als vertrauenswürdig einstufen.

Nachdem ich bei msxfaq die Vorbereitungs- und Planungsempfehlungen durch habe, sehe ich einen enormen Planungsaufwand für eine eigene CA vs. einige wenige User.
- Die Microsoft Nachrichtenverschlüsselung (Office Message Encryption ) habe ich bereits getestet, ist sicher etwas umständlich aber immerhin onboard.
- S/Mime müsste ich ja so einrichten dass irgendwo auch mal ein Virenscanner in spiel kommen kann, also irgendwo unterwegs "aufbrechen"? Wie kann das bei Exchange Online aussehen? Externe Mail-Gateways?

Ich bin für jeden Fingerzeig dankbar, für mich ist die Thematik als Admin einer Online-Umgebung noch #neuland ;)