S/MIME-översikt för att signera och kryptera e-post i Intune
E-postcertifikat, även kallade S/MIME-certifikat, ger extra säkerhet för din e-postkommunikation med hjälp av kryptering och dekryptering. Microsoft Intune kan använda S/MIME-certifikat för att signera och kryptera e-postmeddelanden till mobila enheter som kör följande plattformar:
- Android
- iOS/iPadOS
- macOS
- Windows 10/11
Intune kan automatiskt leverera S/MIME-krypteringscertifikat till alla plattformar. S/MIME-certifikat associeras automatiskt med e-postprofiler som använder den interna e-postklienten i iOS och med Outlook på iOS- och Android-enheter. För Windows- och macOS-plattformarna och för andra e-postklienter på iOS och Android levererar Intune certifikaten, men användarna måste aktivera S/MIME manuellt i e-postappen och välja sina S/MIME-certifikat.
Mer information om S/MIME-signering och kryptering av e-post med Exchange finns i S/MIME för signering och kryptering av meddelanden.
Den här artikeln innehåller en översikt över hur du använder S/MIME-certifikat för att signera och kryptera e-postmeddelanden på dina enheter.
Signeringscertifikat
Med certifikat som används för signering kan klientens e-postapp kommunicera säkert med e-postservern.
Om du vill använda signeringscertifikat skapar du en mall på certifikatutfärdare (CA) som fokuserar på signering. I Microsoft Active Directory-certifikatutfärdare visar Konfigurera servercertifikatmallen stegen för att skapa certifikatmallar.
Signeringscertifikat i Intune använder PKCS-certifikat. Konfigurera och använda PKCS-certifikat beskriver hur du distribuerar och använder PKCS-certifikat i Din Intune-miljö. Dessa steg omfattar:
- Installera och konfigurera certifikatanslutningsappen för Microsoft Intune för att stödja PKCS-certifikatbegäranden. Anslutningsappen har samma nätverkskrav som hanterade enheter.
- Skapa en betrodd rotcertifikatprofil för dina enheter. Det här steget omfattar att använda betrodda rotcertifikat och mellanliggande certifikat för certifikatutfärdare och sedan distribuera profilen till enheter.
- Skapa en PKCS-certifikatprofil med hjälp av certifikatmallen som du skapade. Den här profilen utfärdar signering av certifikat till enheter och distribuerar PKCS-certifikatprofilen till enheter.
Du kan också importera ett signeringscertifikat för en viss användare. Signeringscertifikatet distribueras på alla enheter som en användare registrerar. Om du vill importera certifikat till Intune använder du PowerShell-cmdletarna i GitHub. Om du vill distribuera ett PKCS-certifikat som importerats i Intune för att användas för e-postsignering följer du stegen i Konfigurera och använda PKCS-certifikat med Intune. Dessa steg omfattar:
- Ladda ned, installera och konfigurera certifikatanslutningsappen för Microsoft Intune. Den här anslutningsappen levererar importerade PKCS-certifikat till enheter.
- Importera S/MIME-certifikat för e-postsignering till Intune.
- Skapa en PKCS-importerad certifikatprofil. Den här profilen levererar importerade PKCS-certifikat till rätt användares enheter.
Krypteringscertifikat
Certifikat som används för kryptering bekräftar att ett krypterat e-postmeddelande endast kan dekrypteras av den avsedda mottagaren. S/MIME-kryptering är ett extra säkerhetslager som kan användas i e-postkommunikation.
När du skickar ett krypterat e-postmeddelande till en annan användare hämtas den offentliga nyckeln för användarens krypteringscertifikat och den e-postadress som du skickar krypteras. Mottagaren dekrypterar e-postmeddelandet med hjälp av den privata nyckeln på enheten. Användare kan ha en historik över certifikat som används för att kryptera e-post. Vart och ett av dessa certifikat måste distribueras till alla en specifik användares enheter så att deras e-post dekrypteras.
Vi rekommenderar att du inte skapar e-postkrypteringscertifikat i Intune. Intune stöder utfärdande av PKCS-certifikat som stöder kryptering, men Intune skapar ett unikt certifikat per enhet. Ett unikt certifikat per enhet är inte idealiskt för ett S/MIME-krypteringsscenario där krypteringscertifikatet ska delas mellan alla användarens enheter.
Om du vill distribuera S/MIME-certifikat med Intune måste du importera alla en användares krypteringscertifikat till Intune. Intune distribuerar sedan alla dessa certifikat till varje enhet som en användare registrerar. Om du vill importera certifikat till Intune använder du PowerShell-cmdletarna i GitHub.
Om du vill distribuera ett PKCS-certifikat som importerats i Intune som används för e-postkryptering följer du stegen i Konfigurera och använda PKCS-certifikat med Intune. Dessa steg omfattar:
- Installera och konfigurera certifikatanslutningsappen för Microsoft Intune. Den här anslutningsappen levererar importerade PKCS-certifikat till enheter.
- Importera S/MIME-e-postkrypteringscertifikat till Intune.
- Skapa en PKCS-importerad certifikatprofil. Den här profilen levererar importerade PKCS-certifikat till rätt användares enheter.
Obs!
Importerade S/MIME-krypteringscertifikat tas bort av Intune när företagsdata tas bort eller när användare avregistreras från hanteringen. Certifikat återkallas dock inte på certifikatutfärdare.
S/MIME-e-postprofiler
När du har skapat S/MIME-signerings- och krypteringscertifikatprofiler kan du aktivera S/MIME för intern e-post i iOS/iPadOS.