S/MIME-overzicht voor het ondertekenen en versleutelen van e-mail in Intune
E-mailcertificaten, ook wel bekend als S/MIME-certificaat, bieden extra beveiliging voor uw e-mailcommunicatie met behulp van versleuteling en ontsleuteling. Microsoft Intune kan S/MIME-certificaten gebruiken om e-mailberichten te ondertekenen en te versleutelen op mobiele apparaten waarop de volgende platforms worden uitgevoerd:
- Android
- iOS/iPadOS
- macOS
- Windows 10/11
Intune kan automatisch S/MIME-versleutelingscertificaten leveren aan alle platforms. S/MIME-certificaten worden automatisch gekoppeld aan e-mailprofielen die gebruikmaken van de systeemeigen e-mailclient op iOS en met Outlook op iOS- en Android-apparaten. Voor de Windows- en macOS-platformen en voor andere e-mailclients op iOS en Android levert Intune de certificaten, maar gebruikers moeten S/MIME handmatig inschakelen in hun e-mail-app en hun S/MIME-certificaten kiezen.
Zie S/MIME voor berichtondertekening en -versleuteling voor meer informatie over S/MIME-e-mailondertekening en -versleuteling met Exchange.
Dit artikel bevat een overzicht van het gebruik van S/MIME-certificaten voor het ondertekenen en versleutelen van e-mailberichten op uw apparaten.
Certificaten ondertekenen
Met certificaten die voor ondertekening worden gebruikt, kan de client-e-mail-app veilig communiceren met de e-mailserver.
Als u handtekeningcertificaten wilt gebruiken, maakt u een sjabloon voor uw certificeringsinstantie (CA) die is gericht op ondertekening. In Microsoft Active Directory-certificeringsinstantie configureert u de servercertificaatsjabloon met de stappen voor het maken van certificaatsjablonen.
Voor het ondertekenen van certificaten in Intune worden PKCS-certificaten gebruikt. Pkcs-certificaten configureren en gebruiken beschrijft hoe u PKCS-certificaat implementeert en gebruikt in uw Intune-omgeving. Deze stappen omvatten:
- Installeer en configureer de certificaatconnector voor Microsoft Intune om PKCS-certificaataanvragen te ondersteunen. De connector heeft dezelfde netwerkvereisten als beheerde apparaten.
- Maak een vertrouwd basiscertificaatprofiel voor uw apparaten. Deze stap omvat het gebruik van vertrouwde basis- en tussenliggende certificaten voor uw certificeringsinstantie en vervolgens het implementeren van het profiel op apparaten.
- Maak een PKCS-certificaatprofiel met behulp van de certificaatsjabloon die u hebt gemaakt. Met dit profiel worden certificaten voor apparaten ondertekend en wordt het PKCS-certificaatprofiel geïmplementeerd op apparaten.
U kunt ook een handtekeningcertificaat voor een specifieke gebruiker importeren. Het handtekeningcertificaat wordt geïmplementeerd op elk apparaat dat een gebruiker inschrijft. Als u certificaten wilt importeren in Intune, gebruikt u de PowerShell-cmdlets in GitHub. Als u een PKCS-certificaat wilt implementeren dat in Intune is geïmporteerd voor e-mailondertekening, volgt u de stappen in PKCS-certificaten configureren en gebruiken met Intune. Deze stappen omvatten:
- Download, installeer en configureer de certificaatconnector voor Microsoft Intune. Deze connector levert geïmporteerde PKCS-certificaten aan apparaten.
- S/MIME-certificaten voor e-mailondertekening importeren in Intune.
- Maak een geïmporteerd PKCS-certificaatprofiel. Dit profiel levert geïmporteerde PKCS-certificaten aan de juiste apparaten van de gebruiker.
Versleutelingscertificaten
Certificaten die worden gebruikt voor versleuteling bevestigen dat een versleutelde e-mail alleen kan worden ontsleuteld door de beoogde ontvanger. S/MIME-versleuteling is een extra beveiligingslaag die kan worden gebruikt in e-mailcommunicatie.
Wanneer u een versleuteld e-mailbericht naar een andere gebruiker verzendt, wordt de openbare sleutel van het versleutelingscertificaat van die gebruiker verkregen en wordt de e-mail die u verzendt versleuteld. De geadresseerde ontsleutelt de e-mail met behulp van de persoonlijke sleutel op het apparaat. Gebruikers kunnen beschikken over een geschiedenis van certificaten die worden gebruikt voor het versleutelen van e-mail. Elk van deze certificaten moet worden geïmplementeerd op alle apparaten van een specifieke gebruiker, zodat hun e-mail kan worden ontsleuteld.
Het wordt aanbevolen dat e-mailversleutelingscertificaten niet worden gemaakt in Intune. Hoewel Intune ondersteuning biedt voor het uitgeven van PKCS-certificaten die ondersteuning bieden voor versleuteling, maakt Intune een uniek certificaat per apparaat. Een uniek certificaat per apparaat is niet ideaal voor een S/MIME-versleutelingsscenario waarbij het versleutelingscertificaat moet worden gedeeld op alle apparaten van de gebruiker.
Als u S/MIME-certificaten wilt implementeren met Intune, moet u alle versleutelingscertificaten van een gebruiker importeren in Intune. Intune implementeert vervolgens al deze certificaten op elk apparaat dat een gebruiker inschrijft. Als u certificaten wilt importeren in Intune, gebruikt u de PowerShell-cmdlets in GitHub.
Als u een PKCS-certificaat wilt implementeren dat is geïmporteerd in Intune dat wordt gebruikt voor e-mailversleuteling, volgt u de stappen in PKCS-certificaten configureren en gebruiken met Intune. Deze stappen omvatten:
- Installeer en configureer de certificaatconnector voor Microsoft Intune. Deze connector levert geïmporteerde PKCS-certificaten aan apparaten.
- S/MIME-e-mailversleutelingscertificaten importeren in Intune.
- Maak een geïmporteerd PKCS-certificaatprofiel. Dit profiel levert geïmporteerde PKCS-certificaten aan de juiste apparaten van de gebruiker.
Opmerking
Geïmporteerde S/MIME-versleutelingscertificaten worden verwijderd door Intune wanneer bedrijfsgegevens worden verwijderd of wanneer gebruikers worden uitgeschreven bij het beheer. Maar certificaten worden niet ingetrokken door de certificeringsinstantie.
S/MIME-e-mailprofielen
Nadat u S/MIME-handtekening- en versleutelingscertificaatprofielen hebt gemaakt, kunt u S/MIME inschakelen voor systeemeigen iOS-/iPadOS-e-mail.