Intune で電子メールに署名し、暗号化する S/MIME の概要
電子メール証明書は S/MIME 証明書とも呼ばれ、暗号化と解読を使用することにより、電子メール通信のセキュリティを強化します。 Microsoft Intune は、S/MIME 証明書を使用して、次のプラットフォームを実行しているモバイル デバイスに送信される電子メールの署名および暗号化を行うことができます。
- Android
- iOS/iPadOS
- macOS
- Windows 10 または 11
Intune では、あらゆるプラットフォームに S/MIME 暗号化証明書に自動配信できます。 S/MIME 証明書は、iOS 上でネイティブ メール クライアントを使用するメール プロファイルと、iOS および Android デバイス上の Outlook に自動的に関連付けられます。 Windows および macOS プラットフォームの場合と iOS および Android 上のその他のメール クライアントの場合、Intune から証明書が配信されますが、ユーザーはメール アプリで S/MIME を手動で有効にし、S/MIME 証明書を選択する必要があります。
Exchange を使用した S/MIME メールの署名と暗号化の詳細については、「S/MIME によるメッセージの署名と暗号化」を参照してください。
この記事では、S/MIME 証明書を使用してデバイス上で電子メールに署名および暗号化する方法の概要を説明します。
署名証明書
署名に使われる証明書を使用することで、クライアントのメール アプリはメール サーバーと安全に通信できます。
署名証明書を使うには、証明機関 (CA) で署名用のテンプレートを作成します。 Microsoft Active Directory 証明機関の場合は、「Configure the server certificate template」(サーバー証明書テンプレートを構成する) で証明書テンプレートの作成手順が示されています。
Intune での署名証明書は、PKCS 証明書を使います。 「Intune で PKCS 証明書を構成して使用する」では、Intune 環境に PKCS 証明書を展開して使う方法が説明されています。 手順の概要を次に示します。
- PKCS 証明書要求をサポートするために Certificate Connector for Microsoft Intune をインストールして構成します。 このコネクタのネットワーク要件は、マネージド デバイスと同じです。
- お使いのデバイス用の信頼されたルート証明書プロファイルを作成します。 このステップには、お使いの証明機関に対する信頼されたルート証明書と中間証明書の使用と、デバイスへのプロファイルの展開が含まれます。
- 作成した証明書テンプレートを使って、PKCS 証明書プロファイルを作成します。 このプロファイルは、署名証明書をデバイスに発行し、PKCS 証明書プロファイルをデバイスに展開します。
特定のユーザーに対する署名証明書をインポートすることもできます。 署名証明書は、ユーザーが登録するすべてのデバイスに展開されます。 証明書を Intune にインポートするには、GitHub にある PowerShell コマンドレットを使います。 メール署名に使用する Intune にインポートされた PKCS 証明書を展開するには、「 Intune で PKCS 証明書を構成して使用する」の手順に従います。 手順の概要を次に示します。
- Certificate Connector for Microsoft Intune をダウンロード、インストール、および構成します。 このコネクタは、インポートされた PKCS 証明書をデバイスに提供します。
- S/MIME メール署名証明書を Intune にインポートします。
- PKCS インポート済み証明書プロファイルを作成します。 このプロファイルは、インポートされた PKCS 証明書を適切なユーザーのデバイスに提供します。
暗号化証明書
暗号化に使われる証明書により、意図された受信者のみが暗号化されたメールを解読できることが保証されます。 S/MIME 暗号化は、メール通信で使うことができる追加セキュリティ レイヤーです。
暗号化されたメールを別のユーザーに送信するときは、そのユーザーの暗号化証明書の公開キーが取得されて、送信されるメールが暗号化されます。 受信者は、自分のデバイスの秘密キーを使ってメールを解読します。 ユーザーは、電子メールの暗号化に使用される証明書の履歴を持つことができます。 メールが正常に解読されるためには、これらの各証明書を特定のユーザーのすべてのデバイスに展開する必要があります。
Intune ではメール暗号化証明書を作成しないことをお勧めします。 Intune は暗号化をサポートする PKCS 証明書の発行をサポートしますが、Intune はデバイスごとに一意証明書を作成します。 S/MIME 暗号化のシナリオでは、暗号化証明書をユーザーのすべてのデバイスで共有する必要があるため、デバイスごとの一意証明書は適していません。
Intune を使って S/MIME 証明書を展開するには、ユーザーのすべての暗号化証明書を Intune にインポートする必要があります。 その後、Intune はユーザーが登録する各デバイスにすべての証明書を展開します。 証明書を Intune にインポートするには、GitHub にある PowerShell コマンドレットを使います。
Intune にインポートされた、メールの暗号化に使われる PKCS 証明書を展開するには、「Intune で PKCS 証明書を構成して使用する」の手順に従います。 手順の概要を次に示します。
- Certificate Connector for Microsoft Intune をインストールおよび構成します。 このコネクタは、インポートされた PKCS 証明書をデバイスに提供します。
- S/MIME メール暗号化証明書を Intune にインポートします。
- PKCS インポート済み証明書プロファイルを作成します。 このプロファイルは、インポートされた PKCS 証明書を適切なユーザーのデバイスに提供します。
注:
会社のデータが削除されると、またはユーザーが管理から登録解除されると、インポートされた S/MIME 暗号化証明書は Intune によって削除されます。 ただし、証明書は証明機関では取り消されません。
S/MIME メール プロファイル
S/MIME の署名証明書と暗号化証明書のプロファイルを作成した後は、iOS/iPadOS のネイティブ メールに対して S/MIME を有効にすることができます。