Общие сведения об S/MIME для подписывания и шифрования электронной почты в Intune

  • Статья

Сертификаты электронной почты, также известные как сертификаты S/MIME, призваны обеспечивать дополнительную безопасность ваших сообщений электронной почты с помощью шифрования и расшифровки. Microsoft Intune может использовать сертификаты S/MIME для подписывания и шифрования сообщений электронной почты для мобильных устройств под управлением следующих платформ:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10/11

Intune может автоматически доставлять сертификаты шифрования S/MIME на все платформы. Сертификаты S/MIME автоматически связываются с профилями электронной почты, использующими собственный почтовый клиент в iOS, а также с Outlook на устройствах iOS и Android. Для платформ Windows и macOS, а также для других почтовых клиентов на iOS и Android Intune также предоставляет сертификаты, но пользователи должны вручную включить S/MIME в своем почтовом приложении и выбрать сертификаты S/MIME.

Дополнительные сведения о подписывании и шифровании электронной почты S/MIME с Exchange см. в разделе S/MIME для подписывания и шифрования сообщений.

В этой статье описывается использование сертификатов S/MIME для подписывания и шифрования сообщений электронной почты на устройствах.

Сертификаты для подписи

Сертификаты для подписи позволяют приложению электронной почты клиента безопасно обмениваться данными с почтовым сервером.

Чтобы использовать сертификаты подписи, создайте шаблон в центре сертификации для подписи. В центре сертификации Microsoft Active Directory в разделе Настройка шаблона сертификата сервера перечислены шаги по созданию шаблонов сертификатов.

Сертификаты подписи в Intune используют сертификаты PKCS. В разделе Настройка и использование сертификатов PKCS описывается развертывание и использование сертификатов PKCS в среде Intune. К этим действиям относятся:

  • Установите и настройте соединитель сертификатов для Microsoft Intune для поддержки запросов сертификатов PKCS. Соединитель предъявляет такие же требования к сети, что и управляемые устройства.
  • Создайте профиль доверенного корневого сертификата для вашего устройства. Этот этап включает использование доверенных корневых и промежуточных сертификатов центра сертификации и дальнейшее развертывание профиля на устройствах.
  • Создайте профиль сертификата PKCS, используя созданный шаблон сертификата. Этот профиль выдает сертификаты для подписи устройствам и развертывает на них профиль сертификата PKCS.

Можно также импортировать сертификат подписи для конкретного пользователя. Сертификат подписи развертывается на любом устройстве, которое регистрирует пользователь. Чтобы импортировать сертификаты в Intune, используйте командлеты PowerShell в GitHub. Чтобы развернуть сертификат PKCS, импортированный в Intune для подписывания электронной почты, выполните действия, описанные в разделе Настройка и использование сертификатов PKCS с Intune. К этим действиям относятся:

  • Скачайте, установите и настройте соединитель сертификатов для Microsoft Intune. Этот соединитель доставляет импортированные сертификаты PKCS на устройства.
  • Импортируйте сертификаты для подписи электронной почты S/MIME в Intune.
  • Создайте профиль импортированного сертификата PKCS. Этот профиль доставляет импортированные сертификаты PKCS на соответствующие устройства пользователя.

Сертификаты шифрования

Сертификаты для шифрования гарантируют, что зашифрованные электронные письма будут расшифрованы только их предполагаемым получателем. Шифрование S/MIME — дополнительный уровень безопасности, который можно использовать в электронных письмах.

При отправке зашифрованного сообщения другому пользователю извлекается открытый ключ этого сертификата шифрования, который используется для шифрования отправляемого сообщения. Получатель расшифровывает письмо с помощью закрытого ключа на устройстве. Пользователи могут иметь журнал сертификатов, используемых для шифрования электронной почты. Каждый из этих сертификатов должен быть развернут на всех устройствах пользователя для того, чтобы сообщения можно было успешно расшифровать.

Не рекомендуется создавать сертификаты шифрования электронной почты в Intune. Хотя Intune поддерживает выдачу сертификатов PKCS, которые могут использовать шифрование, Intune создает уникальный сертификат на каждом устройстве. Уникальный сертификат на каждом устройстве не является оптимальным для сценария шифрования S/MIME, в котором сертификат шифрования следует использовать сразу на всех устройствах пользователя.

Чтобы развернуть сертификаты S/MIME с помощью Intune, необходимо импортировать все сертификаты шифрования пользователя в Intune. После этого Intune развертывает все эти сертификаты на каждом устройстве, которое регистрирует пользователь. Чтобы импортировать сертификаты в Intune, используйте командлеты PowerShell в GitHub.

Чтобы развернуть сертификат PKCS, импортированный в Intune для шифрования электронной почты, выполните действия, описанные в разделе Настройка и использование сертификатов PKCS с помощью Intune. К этим действиям относятся:

  • Установите и настройте соединитель сертификатов для Microsoft Intune. Этот соединитель доставляет импортированные сертификаты PKCS на устройства.
  • Импортируйте сертификаты для шифрования электронной почты S/MIME в Intune.
  • Создайте профиль импортированного сертификата PKCS. Этот профиль доставляет импортированные сертификаты PKCS на соответствующие устройства пользователя.

Примечание.

Импортированные сертификаты для шифрования S/MIME будут удалены Intune при удалении данных компании или при отмене регистрации пользователей в компоненте управления. При этом сертификаты не отзываются центром сертификации.

Профили электронной почты S/MIME

После создания профилей сертификатов подписывания и шифрования S/MIME вы можете включить S/MIME для собственной почты iOS/iPadOS.

Дальнейшие действия