Exchange Online中适用于 Outlook for iOS 和 Android 的 S/MIME
S/MIME (安全/多用途 Internet 邮件扩展) 是一种广泛接受的协议,用于发送数字签名和加密邮件。 有关详细信息,请参阅 Exchange Online 中用于消息签名和加密的 S/MIME。
若要在 Outlook for iOS 和 Android 中使用 S/MIME,需要在 Exchange Online 中配置特定的 S/MIME 先决条件。 完成这些步骤后,可以使用以下方法将 S/MIME 证书部署到 Outlook for iOS 和 Android:
- 手动证书传递
- 自动证书传递
本文介绍如何使用 Outlook for iOS 和 Android 为 S/MIME 配置Exchange Online,以及如何在 Outlook for iOS 和 Android 中使用 S/MIME。
S/MIME 先决条件
按照在 Exchange Online 中配置 S/MIME 中所述的步骤,确保已在 Exchange Online 中正确配置 S/MIME。 具体而言,这包括:
- 设置 虚拟证书集合。
- 将证书吊销列表发布到 Internet。
在手动和自动证书传送解决方案中,证书的受信任根链应在Exchange Online租户的虚拟证书集合中可用且可发现。 信任验证对所有数字证书执行。 Exchange Online通过验证证书链中的每个证书来验证证书,直到证书到达受信任的根证书。 通过证书中的颁发机构信息访问属性获取中间证书,直到找到受信任的根证书,才能完成此验证。 中间证书还可以包含在数字签名的电子邮件中。 如果Exchange Online找到受信任的根证书,并且可以查询证书颁发机构的证书吊销列表,则该数字证书的数字证书链被视为有效且受信任,并且可以使用。 如果Exchange Online找不到受信任的根证书或无法联系证书颁发机构的证书吊销列表,则该证书被视为无效且不受信任。
Outlook for iOS 和 Android 利用用户在帐户配置文件设置过程中配置的邮件流活动的主要 SMTP 地址。 Outlook for iOS 和 Android 使用的 S/MIME 证书是通过将帐户配置文件中定义的用户主 SMTP 地址与证书的使用者值或使用者可选名称值进行比较来计算的;如果这些不匹配,则 Outlook for iOS 和 Android 将报告证书不可用 (见图 7) ,并且将不允许用户对邮件进行签名和/或加密。
手动证书传递
Outlook for iOS 和 Outlook for Android 都支持手动证书传递,即将证书通过电子邮件发送给用户,并且用户点击应用中的证书附件以启动证书安装。 下图显示了手动证书传递在 iOS 中的工作原理。
用户可以导出自己的证书,并使用 Outlook 将其邮寄给自己。 有关详细信息,请参阅 导出数字证书。
重要
导出证书时,请确保导出的证书使用强密码进行密码保护。
自动证书传递
重要
Outlook for iOS 和 Android 仅在 Microsoft Endpoint Manager 是注册提供程序时支持自动证书传递。
对于 Outlook for iOS,这是由于 iOS 密钥链体系结构造成的。 iOS 提供系统密钥链和发布者密钥链。 iOS 阻止第三方应用访问系统密钥链 (只有第一方应用,Safari Webview 控制器才能访问系统密钥链) 。 为了传递 Outlook for iOS 可以访问的证书,这些证书必须驻留在 Outlook for iOS 有权访问的 Microsoft 发布者密钥链中。 只有 Microsoft 发布的应用(如公司门户)才能将证书放入 Microsoft 发布者密钥链。
Outlook for Android 依赖于 Endpoint Manager 来交付和批准 S/MIME 证书。 Android 注册方案支持自动证书传递:设备管理员、Android Enterprise 工作配置文件和 Android Enterprise 完全托管。
使用 Endpoint Manager,组织可以从任何证书颁发机构导入加密证书历史记录。 然后,Endpoint Manager 会自动将这些证书传送到用户注册的任何设备。 通常,简单证书注册协议 (SCEP) 用于签名证书。 使用 SCEP,私钥将生成并存储在已注册的设备上,并将唯一证书传递到用户注册的每个设备,该证书可用于不可否认性。 最后,Endpoint Manager 支持需要 NIST 800-157 标准支持的客户的派生凭据。 公司门户用于从 Intune 检索签名和加密证书。
若要将证书传递到 Outlook for iOS 和 Android,必须完成以下先决条件:
- 通过 Endpoint Manager 部署受信任的根证书。 有关详细信息,请参阅 创建受信任的证书配置文件。
- 必须将加密证书导入 Endpoint Manager。 有关详细信息,请参阅 在 Intune 中配置和使用导入的 PKCS 证书。
- 安装和配置用于Microsoft Intune的 PFX 连接器。 有关详细信息,请参阅下载、安装和配置用于Microsoft Intune的 PFX 证书连接器。
- 必须注册设备才能自动从 Endpoint Manager 接收受信任的根证书和 S/MIME 证书。
Outlook for iOS 自动证书传递
使用以下步骤在 Endpoint Manager 中创建和配置 Outlook for iOS S/MIME 策略。 这些设置提供签名和加密证书的自动传递。
选择“应用”,然后选择“应用配置策略”。
在“应用程序配置策略”边栏选项卡上,选择“添加”,然后选择“托管设备”以启动应用配置策略创建流。
在“基本信息”部分,为应用配置设置输入“名称”,以及可选“说明”。
对于 “平台”,请选择 “iOS/iPadOS”。
对于 “目标应用”,选择“ 选择应用”,然后在 “关联的应用” 边栏选项卡上,选择“ Microsoft Outlook”。 单击“确定”。
注意
如果 Outlook 未列为可用应用,则必须按照使用 Intune 将应用分配到 Android 工作配置文件设备和将 iOS 应用商店应用添加到Microsoft Intune中的说明添加它。
单击“ 配置设置” 以添加配置设置。
选择 “配置设置 格式”旁边的“使用 配置设计器” ,并接受或修改默认设置。 有关详细信息,请参阅 部署 Outlook for iOS 和 Android 应用配置设置。
单击“ S/MIME ”以显示 Outlook S/MIME 设置。
将 “启用 S/MIME” 设置为 “是”。 选择“ 是 ”或“ 否”时,管理员可以选择允许用户更改应用设置的值。 选择“ 是 (应用默认) ”以允许用户更改设置;如果要阻止用户更改设置的值,请选择“ 否 ”。
通过选择“是”还是“否”来选择“加密所有电子邮件”。 选择“ 是 ”或“ 否”时,管理员可以选择允许用户更改应用设置的值。 选择“ 是 (应用默认) ”以允许用户更改设置;如果要阻止用户更改设置的值,请选择“ 否 ”。
通过选择“是”还是“否”,选择是否对所有电子邮件进行签名。 选择“ 是 ”或“ 否”时,管理员可以选择允许用户更改应用设置的值。 选择“ 是 (应用默认) ”以允许用户更改设置;如果要阻止用户更改设置的值,请选择“ 否 ”。
如果需要,请为收件人证书查找部署 LDAP URL 。 有关 URL 格式的详细信息,请参阅 证书查找的 LDAP 支持。
将 “从 Intune 部署 S/MIME 证书 ”设置为 “是”。
在“证书配置文件类型”旁边的“签名证书”下,选择以下选项之一:
- SCEP:创建一个对设备和用户唯一的证书,该证书可由 Microsoft Outlook 用于签名。 有关使用 SCEP 证书配置文件所需的信息,请参阅 配置基础结构以使用 Intune 支持 SCEP。
- PKCS 导入的证书:使用用户唯一的证书,但可以在设备之间共享,并且管理员已代表用户导入到 Endpoint Manager。 证书将传送到用户注册的任何设备。 Endpoint Manager 将自动选取支持签名的导入证书,以传送到与注册用户对应的设备。 有关使用 PKCS 导入的证书所需的信息,请参阅 在 Intune 中配置和使用 PKCS 证书。
- 派生凭据:使用设备上已可用于签名的证书。 必须在设备上使用 Intune 中的派生凭据流检索证书。
在“证书配置文件类型”旁边的“加密证书”下,选择以下选项之一:
- PKCS 导入的证书:跨用户注册的任何设备提供管理员已导入到 Endpoint Manager 的任何加密证书。 Endpoint Manager 将自动选择导入的证书或支持加密的证书,并将其传递到已注册用户的设备。
- 派生凭据:使用设备上已可用于签名的证书。 必须在设备上使用 Intune 中的派生凭据流检索证书。
在“最终用户通知”旁边,选择“如何通知最终用户检索证书”,方法是选择“公司门户”或“Email”。
在 iOS 上,用户必须使用 公司门户 应用来检索其 S/MIME 证书。 终结点管理器将通知用户,他们需要启动公司门户,以便通过公司门户的“通知”部分、推送通知和/或电子邮件来检索其 S/MIME 证书。 单击其中一个通知会将用户带到一个登录页,告知他们检索证书的进度。 检索证书后,用户可以在 Microsoft Outlook for iOS 中使用 S/MIME 对电子邮件进行签名和加密。
最终用户通知包括以下选项:
- 公司门户:如果选择,用户将在其设备上收到推送通知,该通知会将他们带到将检索 S/MIME 证书公司门户中的登陆页面。
- Email:向最终用户发送电子邮件,告知他们需要启动公司门户来检索其 S/MIME 证书。 如果用户在单击电子邮件中的链接时位于已注册的 iOS 设备上,则他们将重定向到公司门户以检索其证书。
最终用户将看到类似于以下内容的自动证书传递体验:
选择“分配”,将应用配置策略分配给Microsoft Entra组。 有关详细信息,请参阅使用Microsoft Intune将应用分配到组。
Outlook for Android 自动证书传递
使用以下步骤在 Endpoint Manager 中创建和配置 Outlook for iOS 和 Android S/MIME 策略。 这些设置提供签名和加密证书的自动传递。
创建 SCEP 证书配置文件 或 PKCS 证书配置文件 ,并将其分配给移动用户。
选择“应用”,然后选择“应用配置策略”。
在“应用程序配置策略”边栏选项卡上,选择“添加”,然后选择“托管设备”以启动应用配置策略创建流。
在“基本信息”部分,为应用配置设置输入“名称”,以及可选“说明”。
对于 “平台”,请选择 “Android Enterprise ”,对于 “配置文件类型”,请选择“ 所有配置文件类型”。
对于 “目标应用”,选择“ 选择应用”,然后在 “关联的应用” 边栏选项卡上,选择“ Microsoft Outlook”。 单击“确定”。
注意
如果 Outlook 未列为可用应用,则必须按照使用 Intune 将应用分配到 Android 工作配置文件设备和将 iOS 应用商店应用添加到Microsoft Intune中的说明添加它。
单击“ 配置设置” 以添加配置设置。
选择 “配置设置 格式”旁边的“使用 配置设计器” ,并接受或修改默认设置。 有关详细信息,请参阅 部署 Outlook for iOS 和 Android 应用配置设置。
单击“ S/MIME ”以显示 Outlook S/MIME 设置。
将 “启用 S/MIME” 设置为 “是”。 选择“ 是 ”或“ 否”时,管理员可以选择允许用户更改应用设置的值。 选择“ 是 (应用默认) ”以允许用户更改设置;如果要阻止用户更改设置的值,请选择“ 否 ”。
通过选择“是”还是“否”来选择“加密所有电子邮件”。 选择“ 是 ”或“ 否”时,管理员可以选择允许用户更改应用设置的值。 选择“ 是 (应用默认) ”以允许用户更改设置;如果要阻止用户更改设置的值,请选择“ 否 ”。
通过选择“是”还是“否”,选择是否对所有电子邮件进行签名。 选择“ 是 ”或“ 否”时,管理员可以选择允许用户更改应用设置的值。 选择“ 是 (应用默认) ”以允许用户更改设置;如果要阻止用户更改设置的值,请选择“ 否 ”。
选择“分配”,将应用配置策略分配给Microsoft Entra组。 有关详细信息,请参阅使用Microsoft Intune将应用分配到组。
在客户端中启用 S/MIME
Outlook for iOS 和 Android 必须启用 S/MIME 才能查看或创建与 S/MIME 相关的内容。
最终用户需要通过访问其帐户设置、点击“安全性”和“S/MIME”控件(默认情况下处于关闭状态)手动启用 S/MIME 功能。 Outlook for iOS S/MIME 安全设置如下所示:
启用 S/MIME 设置后,Outlook for iOS 和 Android 将自动禁用 “按线程组织” 设置。 这是因为随着会话线程的增长,S/MIME 加密变得更加复杂。 通过删除线程对话视图,Outlook for iOS 和 Android 减少了在签名和加密期间跨收件人出现证书问题的机会。 由于这是应用级设置,因此此更改会影响添加到应用的所有帐户。 此线程对话在 iOS 中呈现,如下所示:
启用 S/MIME 并安装 S/MIME 证书后,用户可以通过访问其帐户设置并点击“安全性”来查看已安装的证书。 此外,用户可以点击每个单独的 S/MIME 证书并查看证书的详细信息,包括密钥用法和有效期等信息。
用户可以将 Outlook 配置为自动对邮件进行签名或加密。 这使用户可以节省发送电子邮件的时间,同时确信其电子邮件已签名/加密。
证书查找的 LDAP 支持
Outlook for iOS 和 Android 支持在收件人解析期间从安全 LDAP 目录终结点访问公共用户证书密钥。 若要利用 LDAP 终结点,必须满足以下要求:
- LDAP 终结点不需要身份验证。
- LDAP 终结点配置通过应用配置策略传递到 Outlook for iOS 和 ANdroid。 有关详细信息,请参阅 S/MIME 设置。
- 支持使用以下格式的 LDAP 终结点配置:
ldaps://contoso.comldap://contoso.comldap://contoso.com:389ldaps://contoso.com:636contoso.comcontoso.com:389contoso.com:636
当 Outlook for iOS 和 Android 对收件人执行证书查找时,应用将首先搜索本地设备,然后查询Microsoft Entra ID,然后评估任何 LDAP 目录终结点。 当 Outlook for iOS 和 Android 连接到 LDAP 目录终结点以搜索收件人的公共证书时,将执行证书验证以确保证书不会吊销。 仅当证书验证成功完成时,应用才会认为证书有效。
在 Outlook for iOS 和 Android 中使用 S/MIME
部署证书并在应用中启用 S/MIME 后,用户可以使用 S/MIME 相关内容并使用 S/MIME 证书撰写内容。 如果未启用 S/MIME 设置,则用户将无法使用 S/MIME 内容。
查看 S/MIME 消息
在消息视图中,用户可以查看 S/MIME 签名或加密的邮件。 此外,用户可以点击 S/MIME 状态栏以查看有关邮件的 S/MIME 状态的详细信息。 以下屏幕截图显示了如何在 Android 中使用 S/MIME 消息的示例。
重要
若要读取加密邮件,收件人的私钥必须在设备上可用。
用户可以通过点击 S/MIME 状态栏来安装发件人的公共证书密钥。 证书将安装在用户的设备上,特别是在 iOS 中的 Microsoft 发布者密钥链或 Android 中的系统 KeyStore 中。 Android 版本如下所示:
如果存在证书错误,Outlook for iOS 和 Android 将警告用户。 用户可以点击 S/MIME 状态栏通知以查看有关证书错误的详细信息,如以下示例所示。
创建 S/MIME 消息
在用户可以发送已签名和/或加密邮件之前,Outlook for iOS 和 Android 会对证书执行有效性检查,以确保证书对签名或加密操作有效。 如果证书即将过期,则 Outlook for iOS 和 Android 会在用户尝试对邮件进行签名或加密时(从过期前 30 天开始)提醒用户获取新证书。
在 Outlook for iOS 和 Android 中撰写电子邮件时,发件人可以选择加密和/或对邮件进行签名。 通过点击 省略号 ,然后点击 “签名”和“加密”,将显示各种 S/MIME 选项。 选择 S/MIME 选项可在保存或发送邮件后立即对电子邮件启用相应的编码,前提是发件人具有有效的证书。
Outlook for iOS 和 Android 可以将 S/MIME 签名和加密的邮件发送到通讯组。 Outlook for iOS 和 Android 为通讯组中定义的用户(包括嵌套通讯组中的用户)枚举证书,但应注意限制嵌套通讯组的数量,以尽量减少处理影响。
重要
- Outlook for iOS 和 Android 仅支持发送明确签名的邮件。
- 为了撰写加密邮件,目标收件人的公共证书密钥必须位于全局地址列表中或存储在本地设备上。 为了撰写已签名的消息,发件人的私钥必须在设备上可用。
下面是 S/MIME 选项在 Outlook for Android 中的显示方式:
Outlook for iOS 和 Android 会在发送加密邮件之前评估所有收件人,并确认每个收件人都存在有效的公钥。 首先检查全局地址列表 (GAL) ;如果 GAL 中不存在收件人的证书,Outlook 会查询 iOS 中的 Microsoft 发布者密钥链或 Android 中的系统 KeyStore 来查找收件人的公共证书密钥。 对于没有公钥证书密钥 (或) 无效密钥的收件人,Outlook 将提示将其删除。 除非发件人在撰写过程中禁用了加密选项,否则不会在未加密的情况下将邮件发送给任何收件人。
