Intune で電子メールに署名し、暗号化する S/MIME の概要

  • [アーティクル]

電子メール証明書は S/MIME 証明書とも呼ばれ、暗号化と解読を使用することにより、電子メール通信のセキュリティを強化します。 Microsoft Intune は、S/MIME 証明書を使用して、次のプラットフォームを実行しているモバイル デバイスに送信される電子メールの署名および暗号化を行うことができます。

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10 または 11

Intune では、あらゆるプラットフォームに S/MIME 暗号化証明書に自動配信できます。 S/MIME 証明書は、iOS 上でネイティブ メール クライアントを使用するメール プロファイルと、iOS および Android デバイス上の Outlook に自動的に関連付けられます。 Windows および macOS プラットフォームの場合と iOS および Android 上のその他のメール クライアントの場合、Intune から証明書が配信されますが、ユーザーはメール アプリで S/MIME を手動で有効にし、S/MIME 証明書を選択する必要があります。

Exchange を使用した S/MIME メールの署名と暗号化の詳細については、「S/MIME によるメッセージの署名と暗号化」を参照してください。

この記事では、S/MIME 証明書を使用してデバイス上で電子メールに署名および暗号化する方法の概要を説明します。

署名証明書

署名に使われる証明書を使用することで、クライアントのメール アプリはメール サーバーと安全に通信できます。

署名証明書を使うには、証明機関 (CA) で署名用のテンプレートを作成します。 Microsoft Active Directory 証明機関の場合は、「Configure the server certificate template」(サーバー証明書テンプレートを構成する) で証明書テンプレートの作成手順が示されています。

Intune での署名証明書は、PKCS 証明書を使います。 「Intune で PKCS 証明書を構成して使用する」では、Intune 環境に PKCS 証明書を展開して使う方法が説明されています。 手順の概要を次に示します。

  • PKCS 証明書要求をサポートするために Certificate Connector for Microsoft Intune をインストールして構成します。 このコネクタのネットワーク要件は、マネージド デバイスと同じです。
  • お使いのデバイス用の信頼されたルート証明書プロファイルを作成します。 このステップには、お使いの証明機関に対する信頼されたルート証明書と中間証明書の使用と、デバイスへのプロファイルの展開が含まれます。
  • 作成した証明書テンプレートを使って、PKCS 証明書プロファイルを作成します。 このプロファイルは、署名証明書をデバイスに発行し、PKCS 証明書プロファイルをデバイスに展開します。

特定のユーザーに対する署名証明書をインポートすることもできます。 署名証明書は、ユーザーが登録するすべてのデバイスに展開されます。 証明書を Intune にインポートするには、GitHub にある PowerShell コマンドレットを使います。 電子メール署名に使用するIntuneにインポートされた PKCS 証明書をデプロイするには、「Intuneで PKCS 証明書を構成して使用する」の手順に従います。 手順の概要を次に示します。

  • Certificate Connector for Microsoft Intune をダウンロード、インストール、および構成します。 このコネクタは、インポートされた PKCS 証明書をデバイスに提供します。
  • S/MIME メール署名証明書を Intune にインポートします。
  • PKCS インポート済み証明書プロファイルを作成します。 このプロファイルは、インポートされた PKCS 証明書を適切なユーザーのデバイスに提供します。

暗号化証明書

暗号化に使われる証明書により、意図された受信者のみが暗号化されたメールを解読できることが保証されます。 S/MIME 暗号化は、メール通信で使うことができる追加セキュリティ レイヤーです。

暗号化されたメールを別のユーザーに送信するときは、そのユーザーの暗号化証明書の公開キーが取得されて、送信されるメールが暗号化されます。 受信者は、自分のデバイスの秘密キーを使ってメールを解読します。 ユーザーは、電子メールの暗号化に使用される証明書の履歴を持つことができます。 メールが正常に解読されるためには、これらの各証明書を特定のユーザーのすべてのデバイスに展開する必要があります。

Intune ではメール暗号化証明書を作成しないことをお勧めします。 Intune は暗号化をサポートする PKCS 証明書の発行をサポートしますが、Intune はデバイスごとに一意証明書を作成します。 S/MIME 暗号化のシナリオでは、暗号化証明書をユーザーのすべてのデバイスで共有する必要があるため、デバイスごとの一意証明書は適していません。

Intune を使って S/MIME 証明書を展開するには、ユーザーのすべての暗号化証明書を Intune にインポートする必要があります。 その後、Intune はユーザーが登録する各デバイスにすべての証明書を展開します。 証明書を Intune にインポートするには、GitHub にある PowerShell コマンドレットを使います。

Intune にインポートされた、メールの暗号化に使われる PKCS 証明書を展開するには、「Intune で PKCS 証明書を構成して使用する」の手順に従います。 手順の概要を次に示します。

  • Certificate Connector for Microsoft Intune をインストールおよび構成します。 このコネクタは、インポートされた PKCS 証明書をデバイスに提供します。
  • S/MIME メール暗号化証明書を Intune にインポートします。
  • PKCS インポート済み証明書プロファイルを作成します。 このプロファイルは、インポートされた PKCS 証明書を適切なユーザーのデバイスに提供します。

注:

会社のデータが削除されると、またはユーザーが管理から登録解除されると、インポートされた S/MIME 暗号化証明書は Intune によって削除されます。 ただし、証明書は証明機関では取り消されません。

S/MIME メール プロファイル

S/MIME の署名証明書と暗号化証明書のプロファイルを作成した後は、iOS/iPadOS のネイティブ メールに対して S/MIME を有効にすることができます。

次の手順