Přehled S/MIME pro podepisování a šifrování e-mailů v Intune

E-mailové certifikáty, označované také jako certifikát S/MIME, poskytují dodatečné zabezpečení e-mailové komunikace pomocí šifrování a dešifrování. Microsoft Intune může pomocí certifikátů S/MIME podepisovat a šifrovat e-maily na mobilních zařízeních s následujícími platformami:

• Android
• iOS/iPadOS
• macOS
• Windows 10/11

Intune může automaticky doručovat šifrovací certifikáty S/MIME na všechny platformy. Certifikáty S/MIME se automaticky přidruží k poštovním profilům, které používají nativního poštovního klienta v iOSu a k Outlooku na zařízeních s iOSem a Androidem. Pro platformy Windows a macOS a pro další poštovní klienty v iOSu a Androidu intune doručuje certifikáty, ale uživatelé musí ručně povolit S/MIME ve své poštovní aplikaci a zvolit certifikáty S/MIME.

Další informace o podepisování a šifrování e-mailů S/MIME pomocí Exchange najdete v tématu S/MIME pro podepisování a šifrování zpráv.

Tento článek obsahuje přehled použití certifikátů S/MIME k podepisování a šifrování e-mailů na vašich zařízeních.

Podpisové certifikáty

Certifikáty používané k podepisování umožňují klientské e-mailové aplikaci bezpečně komunikovat s e-mailovým serverem.

Pokud chcete používat podpisové certifikáty, vytvořte u své certifikační autority šablonu, která se zaměřuje na podepisování. V certifikační autoritě Microsoft Active Directory je postup pro vytvoření šablon certifikátů uvedený v části Konfigurace šablony certifikátu serveru .

Podpisové certifikáty v Intune používají certifikáty PKCS. Konfigurace a používání certifikátů PKCS popisuje, jak nasadit a používat certifikát PKCS v prostředí Intune. Postup:

• Nainstalujte a nakonfigurujte Certificate Connector pro Microsoft Intune tak, aby podporoval žádosti o certifikáty PKCS. Konektor má stejné požadavky na síť jako spravovaná zařízení.
• Vytvořte profil důvěryhodného kořenového certifikátu pro vaše zařízení. Tento krok zahrnuje použití důvěryhodných kořenových a zprostředkujících certifikátů pro certifikační autoritu a následné nasazení profilu do zařízení.
• Vytvořte profil certifikátu PKCS pomocí šablony certifikátu, kterou jste vytvořili. Tento profil vydává podpisové certifikáty pro zařízení a nasadí profil certifikátu PKCS do zařízení.

Podpisový certifikát můžete také importovat pro konkrétního uživatele. Podpisový certifikát se nasadí na všechna zařízení, která uživatel zaregistruje. Pokud chcete importovat certifikáty do Intune, použijte rutiny PowerShellu v GitHubu. Pokud chcete nasadit certifikát PKCS importovaný do Intune, který se použije k podepisování e-mailů, postupujte podle kroků v tématu Konfigurace a používání certifikátů PKCS v Intune. Postup:

• Stáhněte, nainstalujte a nakonfigurujte Certificate Connector pro Microsoft Intune. Tento konektor doručuje importované certifikáty PKCS do zařízení.
• Importujte podpisové certifikáty e-mailů S/MIME do Intune.
• Vytvořte profil importovaného certifikátu PKCS. Tento profil doručuje importované certifikáty PKCS příslušným zařízením uživatele.

Šifrovací certifikáty

Certifikáty používané k šifrování potvrzují, že šifrovaný e-mail může dešifrovat jenom zamýšlený příjemce. Šifrování S/MIME je další vrstva zabezpečení, kterou je možné použít při e-mailové komunikaci.

Při odesílání šifrovaného e-mailu jinému uživateli se získá veřejný klíč šifrovacího certifikátu tohoto uživatele a zašifruje odesílaný e-mail. Příjemce dešifruje e-mail pomocí privátního klíče na svém zařízení. Uživatelé můžou mít historii certifikátů, které se používají k šifrování e-mailů. Každý z těchto certifikátů musí být nasazený na všechna zařízení konkrétního uživatele, aby se jejich e-maily úspěšně dešifrovaly.

V Intune se doporučuje, aby se šifrovací certifikáty e-mailu nevytvály. I když Intune podporuje vydávání certifikátů PKCS, které podporují šifrování, Intune vytvoří jedinečný certifikát pro každé zařízení. Jedinečný certifikát na zařízení není ideální pro scénář šifrování S/MIME, kdy by se šifrovací certifikát měl sdílet mezi všemi zařízeními uživatele.

Pokud chcete nasadit certifikáty S/MIME pomocí Intune, musíte do Intune importovat všechny šifrovací certifikáty uživatele. Intune pak nasadí všechny tyto certifikáty na každé zařízení, které uživatel zaregistruje. Pokud chcete importovat certifikáty do Intune, použijte rutiny PowerShellu v GitHubu.

Pokud chcete nasadit certifikát PKCS importovaný v Intune, který se používá k šifrování e-mailů, postupujte podle kroků v tématu Konfigurace a používání certifikátů PKCS v Intune. Postup:

• Nainstalujte a nakonfigurujte Certificate Connector pro Microsoft Intune. Tento konektor doručuje importované certifikáty PKCS do zařízení.
• Importujte certifikáty pro šifrování e-mailů S/MIME do Intune.
• Vytvořte profil importovaného certifikátu PKCS. Tento profil doručuje importované certifikáty PKCS příslušným zařízením uživatele.

Poznámka

Importované šifrovací certifikáty S/MIME intune odebere, když se odeberou firemní data nebo když se zruší registrace uživatelů ve správě. Certifikáty se ale u certifikační autority neodvolá.

E-mailové profily S/MIME

Po vytvoření profilů podpisových a šifrovacích certifikátů S/MIME můžete povolit S/MIME pro nativní poštu pro iOS/iPadOS.

Další kroky

• Použití SCEP pro certifikáty
• Použití certifikátů PKCS
• Použití certifikační autority partnera
• Vystavení certifikátů PKCS z webové služby Správce infrastruktury veřejných klíčů Symantec