Omówienie protokołu S/MIME dotyczące podpisywania i szyfrowania poczty e-mail w usłudze Intune
Certyfikaty poczty e-mail, znane również jako certyfikat S/MIME, zapewniają dodatkowe zabezpieczenia komunikacji e-mail przy użyciu szyfrowania i odszyfrowywania. Usługa Microsoft Intune może używać certyfikatów S/MIME do podpisywania i szyfrowania wiadomości e-mail na urządzeniach przenośnych z następującymi platformami:
- Android
- iOS/iPadOS
- macOS
- Windows 10/11
Usługa Intune może automatycznie dostarczać certyfikaty szyfrowania S/MIME na wszystkie platformy. Certyfikaty S/MIME są automatycznie kojarzone z profilami poczty, które używają natywnego klienta poczty w systemie iOS oraz z programem Outlook na urządzeniach z systemami iOS i Android. W przypadku platform Windows i macOS oraz innych klientów poczty w systemach iOS i Android usługa Intune dostarcza certyfikaty, ale użytkownicy muszą ręcznie włączyć protokół S/MIME w aplikacji poczty i wybrać certyfikaty S/MIME.
Aby uzyskać więcej informacji na temat podpisywania i szyfrowania wiadomości e-mail za pomocą protokołu S/MIME w programie Exchange, zobacz S/MIME for message signing and encryption (Podpisywanie i szyfrowanie wiadomości za pomocą protokołu S/MIME).
Ten artykuł zawiera omówienie używania certyfikatów S/MIME do podpisywania i szyfrowania wiadomości e-mail na urządzeniach.
Podpisywanie certyfikatów
Certyfikaty używane do podpisywania umożliwiają aplikacji poczty e-mail klienta bezpieczną komunikację z serwerem poczty e-mail.
Aby użyć certyfikatów podpisywania, utwórz szablon w urzędzie certyfikacji (CA), który koncentruje się na podpisywania. W usłudze Microsoft Active Directory Certification Authority polecenie Configure the server certificate template (Konfigurowanie szablonu certyfikatu serwera ) zawiera listę kroków tworzenia szablonów certyfikatów.
Certyfikaty podpisywania w usłudze Intune używają certyfikatów PKCS. Konfigurowanie i używanie certyfikatów PKCS opisuje sposób wdrażania i używania certyfikatu PKCS w środowisku usługi Intune. Do tych czynności należą:
- Zainstaluj i skonfiguruj łącznik certyfikatów dla usługi Microsoft Intune , aby obsługiwać żądania certyfikatów PKCS. Łącznik ma takie same wymagania sieciowe jak urządzenia zarządzane.
- Utwórz profil zaufanego certyfikatu głównego dla urządzeń. Ten krok obejmuje używanie zaufanych certyfikatów głównych i pośrednich dla urzędu certyfikacji, a następnie wdrażanie profilu na urządzeniach.
- Utwórz profil certyfikatu PKCS przy użyciu utworzonego szablonu certyfikatu. Ten profil powoduje problemy z podpisywaniem certyfikatów na urządzeniach i wdrażaniem profilu certyfikatu PKCS na urządzeniach.
Możesz również zaimportować certyfikat podpisywania dla określonego użytkownika. Certyfikat podpisywania jest wdrażany na dowolnym urządzeniu zarejestrowanym przez użytkownika. Aby zaimportować certyfikaty do usługi Intune, użyj poleceń cmdlet programu PowerShell w usłudze GitHub. Aby wdrożyć certyfikat PKCS zaimportowany w usłudze Intune, który ma być używany do podpisywania wiadomości e-mail, wykonaj kroki opisane w temacie Konfigurowanie i używanie certyfikatów PKCS w usłudze Intune. Do tych czynności należą:
- Pobierz, zainstaluj i skonfiguruj łącznik certyfikatów dla usługi Microsoft Intune. Ten łącznik dostarcza zaimportowane certyfikaty PKCS do urządzeń.
- Importowanie certyfikatów podpisywania wiadomości e-mail S/MIME do usługi Intune.
- Utwórz profil zaimportowanego certyfikatu PKCS. Ten profil dostarcza zaimportowane certyfikaty PKCS do urządzeń odpowiedniego użytkownika.
Certyfikaty szyfrowania
Certyfikaty używane do szyfrowania potwierdzają, że zaszyfrowana wiadomość e-mail może zostać odszyfrowana tylko przez zamierzonego adresata. Szyfrowanie S/MIME to dodatkowa warstwa zabezpieczeń, która może być używana w wiadomościach e-mail.
Podczas wysyłania zaszyfrowanej wiadomości e-mail do innego użytkownika uzyskuje się klucz publiczny certyfikatu szyfrowania tego użytkownika i szyfruje wysyłaną wiadomość e-mail. Adresat odszyfrowuje wiadomość e-mail przy użyciu klucza prywatnego na swoim urządzeniu. Użytkownicy mogą mieć historię certyfikatów używanych do szyfrowania poczty e-mail. Każdy z tych certyfikatów musi zostać wdrożony na wszystkich urządzeniach określonego użytkownika, aby jego adres e-mail został pomyślnie odszyfrowany.
Zaleca się, aby certyfikaty szyfrowania poczty e-mail nie były tworzone w usłudze Intune. Usługa Intune obsługuje wystawianie certyfikatów PKCS obsługujących szyfrowanie, ale usługa Intune tworzy unikatowy certyfikat na urządzenie. Unikatowy certyfikat na urządzenie nie jest idealny w przypadku scenariusza szyfrowania S/MIME, w którym certyfikat szyfrowania powinien być współużytkowany na wszystkich urządzeniach użytkownika.
Aby wdrożyć certyfikaty S/MIME przy użyciu usługi Intune, należy zaimportować wszystkie certyfikaty szyfrowania użytkownika do usługi Intune. Następnie usługa Intune wdraża wszystkie te certyfikaty na każdym urządzeniu zarejestrowanym przez użytkownika. Aby zaimportować certyfikaty do usługi Intune, użyj poleceń cmdlet programu PowerShell w usłudze GitHub.
Aby wdrożyć certyfikat PKCS zaimportowany w usłudze Intune używany do szyfrowania poczty e-mail, wykonaj kroki opisane w temacie Konfigurowanie i używanie certyfikatów PKCS w usłudze Intune. Do tych czynności należą:
- Zainstaluj i skonfiguruj łącznik certyfikatów dla usługi Microsoft Intune. Ten łącznik dostarcza zaimportowane certyfikaty PKCS do urządzeń.
- Importuj certyfikaty szyfrowania wiadomości e-mail S/MIME do usługi Intune.
- Utwórz profil zaimportowanego certyfikatu PKCS. Ten profil dostarcza zaimportowane certyfikaty PKCS do urządzeń odpowiedniego użytkownika.
Uwaga
Zaimportowane certyfikaty szyfrowania S/MIME są usuwane przez usługę Intune po usunięciu danych firmowych lub wyrejestrowaniu użytkowników z zarządzania. Jednak certyfikaty nie są odwoływane w urzędzie certyfikacji.
Profile poczty e-mail S/MIME
Po utworzeniu profilów certyfikatów podpisywania i szyfrowania S/MIME można włączyć protokół S/MIME dla poczty natywnej dla systemu iOS/iPadOS.