Omówienie protokołu S/MIME dotyczące podpisywania i szyfrowania wiadomości e-mail w Intune

  • Artykuł

Email certyfikaty, znane również jako certyfikat S/MIME, zapewniają dodatkowe zabezpieczenia komunikacji e-mail przy użyciu szyfrowania i odszyfrowywania. Microsoft Intune może używać certyfikatów S/MIME do podpisywania i szyfrowania wiadomości e-mail na urządzeniach przenośnych z następującymi platformami:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10/11

Intune może automatycznie dostarczać certyfikaty szyfrowania S/MIME na wszystkie platformy. Certyfikaty S/MIME są automatycznie kojarzone z profilami poczty, które używają natywnego klienta poczty w systemie iOS oraz z programem Outlook na urządzeniach z systemami iOS i Android. W przypadku platform Windows i macOS oraz innych klientów poczty w systemach iOS i Android Intune dostarcza certyfikaty, ale użytkownicy muszą ręcznie włączyć protokół S/MIME w aplikacji poczty i wybrać certyfikaty S/MIME.

Aby uzyskać więcej informacji na temat podpisywania i szyfrowania wiadomości e-mail za pomocą protokołu S/MIME w programie Exchange, zobacz S/MIME for message signing and encryption (Podpisywanie i szyfrowanie wiadomości za pomocą protokołu S/MIME).

Ten artykuł zawiera omówienie używania certyfikatów S/MIME do podpisywania i szyfrowania wiadomości e-mail na urządzeniach.

Podpisywanie certyfikatów

Certyfikaty używane do podpisywania umożliwiają aplikacji poczty e-mail klienta bezpieczną komunikację z serwerem poczty e-mail.

Aby użyć certyfikatów podpisywania, utwórz szablon w urzędzie certyfikacji (CA), który koncentruje się na podpisywania. W Microsoft urzędu certyfikacji usługi Active Directory polecenie Skonfiguruj szablon certyfikatu serwera zawiera listę kroków tworzenia szablonów certyfikatów.

Certyfikaty podpisywania w Intune używają certyfikatów PKCS. Konfigurowanie i używanie certyfikatów PKCS opisuje sposób wdrażania i używania certyfikatu PKCS w środowisku Intune. Do tych czynności należą:

  • Zainstaluj i skonfiguruj łącznik certyfikatów dla Microsoft Intune do obsługi żądań certyfikatów PKCS. Łącznik ma takie same wymagania sieciowe jak urządzenia zarządzane.
  • Utwórz profil zaufanego certyfikatu głównego dla urządzeń. Ten krok obejmuje używanie zaufanych certyfikatów głównych i pośrednich dla urzędu certyfikacji, a następnie wdrażanie profilu na urządzeniach.
  • Utwórz profil certyfikatu PKCS przy użyciu utworzonego szablonu certyfikatu. Ten profil powoduje problemy z podpisywaniem certyfikatów na urządzeniach i wdrażaniem profilu certyfikatu PKCS na urządzeniach.

Możesz również zaimportować certyfikat podpisywania dla określonego użytkownika. Certyfikat podpisywania jest wdrażany na dowolnym urządzeniu zarejestrowanym przez użytkownika. Aby zaimportować certyfikaty do Intune, użyj poleceń cmdlet programu PowerShell w usłudze GitHub. Aby wdrożyć certyfikat PKCS zaimportowany w Intune, który ma być używany do podpisywania wiadomości e-mail, wykonaj kroki opisane w temacie Konfigurowanie i używanie certyfikatów PKCS z Intune. Do tych czynności należą:

  • Pobierz, zainstaluj i skonfiguruj łącznik certyfikatów dla Microsoft Intune. Ten łącznik dostarcza zaimportowane certyfikaty PKCS do urządzeń.
  • Importuj certyfikaty podpisywania wiadomości e-mail S/MIME do Intune.
  • Utwórz profil zaimportowanego certyfikatu PKCS. Ten profil dostarcza zaimportowane certyfikaty PKCS do urządzeń odpowiedniego użytkownika.

Certyfikaty szyfrowania

Certyfikaty używane do szyfrowania potwierdzają, że zaszyfrowana wiadomość e-mail może zostać odszyfrowana tylko przez zamierzonego adresata. Szyfrowanie S/MIME to dodatkowa warstwa zabezpieczeń, która może być używana w wiadomościach e-mail.

Podczas wysyłania zaszyfrowanej wiadomości e-mail do innego użytkownika uzyskuje się klucz publiczny certyfikatu szyfrowania tego użytkownika i szyfruje wysyłaną wiadomość e-mail. Adresat odszyfrowuje wiadomość e-mail przy użyciu klucza prywatnego na swoim urządzeniu. Użytkownicy mogą mieć historię certyfikatów używanych do szyfrowania poczty e-mail. Każdy z tych certyfikatów musi zostać wdrożony na wszystkich urządzeniach określonego użytkownika, aby jego adres e-mail został pomyślnie odszyfrowany.

Zaleca się, aby certyfikaty szyfrowania poczty e-mail nie były tworzone w Intune. Chociaż Intune obsługuje wystawianie certyfikatów PKCS obsługujących szyfrowanie, Intune tworzy unikatowy certyfikat na urządzenie. Unikatowy certyfikat na urządzenie nie jest idealny w przypadku scenariusza szyfrowania S/MIME, w którym certyfikat szyfrowania powinien być współużytkowany na wszystkich urządzeniach użytkownika.

Aby wdrożyć certyfikaty S/MIME przy użyciu Intune, należy zaimportować wszystkie certyfikaty szyfrowania użytkownika do Intune. Intune następnie wdraża wszystkie te certyfikaty na każdym urządzeniu zarejestrowanym przez użytkownika. Aby zaimportować certyfikaty do Intune, użyj poleceń cmdlet programu PowerShell w usłudze GitHub.

Aby wdrożyć certyfikat PKCS zaimportowany w Intune używany do szyfrowania poczty e-mail, wykonaj kroki opisane w temacie Konfigurowanie i używanie certyfikatów PKCS z Intune. Do tych czynności należą:

  • Zainstaluj i skonfiguruj łącznik certyfikatów dla Microsoft Intune. Ten łącznik dostarcza zaimportowane certyfikaty PKCS do urządzeń.
  • Importuj certyfikaty szyfrowania wiadomości e-mail S/MIME do Intune.
  • Utwórz profil zaimportowanego certyfikatu PKCS. Ten profil dostarcza zaimportowane certyfikaty PKCS do urządzeń odpowiedniego użytkownika.

Uwaga

Zaimportowane certyfikaty szyfrowania S/MIME są usuwane przez Intune po usunięciu danych firmowych lub wyrejestrowaniu użytkowników z zarządzania. Jednak certyfikaty nie są odwoływane w urzędzie certyfikacji.

Profile poczty e-mail S/MIME

Po utworzeniu profilów certyfikatów podpisywania i szyfrowania S/MIME można włączyć protokół S/MIME dla poczty natywnej dla systemu iOS/iPadOS.

Następne kroki