S/MIME التثبيت لنظامي التشغيل Outlook Android وiOS

متطلبات ل S/MIME اقامة

لضمان الأمان الأمثل في Exchange Online، من الضروري إجراء التكوين S/MIME وفقا للإرشادات المحددة في "ضبط S/MIME في التبادل عبر الإنترنت' يدوي. تتضمن هذه العملية إنشاء مجموعة شهادات افتراضية وإتاحة قائمة إبطال الشهادات للعامة على الإنترنت. 

في كل من طرق توزيع الشهادات اليدوية والآلية، من الضروري أن يمكن الوصول إلى سلاسل الجذر الموثوق بها للشهادات ضمن المجموعة الافتراضية لـ Exchange Online للتحقق من الثقة بشكل فعال. يؤكد Exchange Online صحة الشهادة عن طريق التحقق من كل رابط في سلسلة الشهادات، مع التركيز على تحديد موقع شهادة جذر موثوق بها وتأكيد حالتها مقابل قائمة الإلغاء. بالنسبة لمستخدمي Outlook على iOS وAndroid، يقوم التطبيق بإسناد ترافقي لعنوان SMTP الأساسي في الملف الشخصي لحساب المستخدم مع موضوع الشهادة أو الاسم البديل للتحقق من صحة S/MIME شهادة؛ تؤدي حالات عدم التطابق إلى عدم توفر خيارات الشهادة لتوقيع الرسائل أو تشفيرها.

توزيع الشهادات يدويا

يوفر Outlook لنظامي التشغيل iOS وAndroid ميزة لتثبيت الشهادات يدويًا حيث يتلقى المستخدمون شهاداتهم عبر البريد الإلكتروني. للتثبيت، يقوم المستخدمون ببساطة بالنقر على المرفق داخل التطبيق، لبدء عملية الإعداد.  يتمتع المستخدم بالقدرة على تصدير شهادته الشخصية وإرسالها إلى بريده الإلكتروني باستخدام Outlook.  للحصول على تفاصيل إضافية، راجع هذه المقالة: تصدير شهادة رقمية.

توزيع الشهادات الآلي

يدمج Outlook لنظامي التشغيل iOS وAndroid تسليم الشهادات تلقائيًا حصريًا من خلال Microsoft Endpoint Manager باعتباره موفر التسجيل.  تتطلب البنية الفريدة لسلسلة مفاتيح iOS، والتي تميز بين سلاسل مفاتيح النظام والناشر وتقيد وصول تطبيقات الطرف الثالث إلى سلسلة مفاتيح النظام، تخزين شهادات Outlook لنظام التشغيل iOS في سلسلة مفاتيح ناشر Microsoft. يسمح هذا لـ Outlook لنظام التشغيل iOS بالوصول إلى هذه الشهادات، مع تطبيقات Microsoft الخاصة فقط، مثل Company Portal، المخولة بوضع الشهادات في سلسلة المفاتيح هذه.  وعلى العكس من ذلك، يتم التسليم والموافقة تلقائيًا على Outlook for Android S/MIME يتم تسهيل الشهادات بواسطة Endpoint Manager عبر أطر تسجيل Android المتنوعة، بما في ذلك مسؤول الجهاز، والملف الشخصي للعمل في Android Enterprise، وسيناريوهات Android Enterprise المُدارة بالكامل. لتسليم الشهادات إلى Outlook لنظامي التشغيل iOS وAndroid بنجاح، يجب استيفاء بعض المتطلبات الأساسية:

• يجب نشر شهادات الجذر الموثوقة باستخدام Endpoint Manager. يمكن العثور على إرشادات حول إنشاء ملفات تعريف الشهادات الموثوقة في هذه الوثائق ذات الصلة: إنشاء ملفات تعريف الشهادات الموثوقة. 
• من الضروري استيراد شهادات التشفير إلى Endpoint Manager؛ تعليمات يمكن العثور عليها هنا: قم بتكوين شهادات PKCS المستوردة واستخدامها مع Intune.
• يجب تثبيت وتكوين موصل PFX لـ Microsoft Intune. الخطوات يمكن العثور عليها هنا: قم بتنزيل وتثبيت وتكوين رابط شهادة PFX لـ Microsoft Intune.
• وأخيرًا، يجب تسجيل الأجهزة لتلقي الجذر الموثوق به و S/MIME شهادات من مدير نقطة النهاية.

التوزيع الآلي للشهادات في Outlook iOS

1. تسجيل الدخول إلى مدير نقطة النهاية من Microsoft.
2. انتقل إلى تطبيقات ثم حدد سياسات تكوين التطبيق.
3. على سياسات تكوين التطبيق، اضغط هنا أضف واختر الأجهزة المدارة لبدء إنشاء سياسة تكوين التطبيق.
4. في ال 'الأساسيات"القسم، أدخل"الاسم"، وإذا رغبت في ذلك،"الوصف" لإعدادات تكوين التطبيق الخاص بك.
5. تحديد 'iOS / iPadOS' تحت 'الانطلاق".
6. إلى عن على 'التطبيق المستهدف"، انقر فوق"حدد التطبيق"، ثم على"التطبيق المرتبط"الصفحة، اختر"مايكروسوفت أوتلوك"والتأكيد مع"OK".
7. الشروع في 'إعدادات التكوين" لإدخال تفاصيل التكوين الخاصة بك.
8. انقر فوق "S/MIME"للوصول إلى الإعدادات المحددة لبرنامج Outlook S/MIME.
9. يضع 'تفعيل S/MIME' إلى 'نعم'. لديك خيار السماح للمستخدمين بتغيير هذا الإعداد عن طريق تحديد "نعم (التطبيق الافتراضي)"، أو لتقييد التغييرات عن طريق اختيار "لا".
10. قرر ما إذا كنت تريد "تشفير كافة رسائل البريد الإلكتروني"بالاختيار"نعم"أو"لا"، وبالمثل، السماح أو تقييد تغيير المستخدم لهذا الإعداد.
11. تحديد ما إذا كان "قم بالتوقيع على جميع رسائل البريد الإلكتروني' عن طريق اختيار 'نعم"أو"لا"، مع نفس الخيارات للسماح بتعديلات المستخدم أو منعها.
12. إذا لزم الأمر، قم بتنفيذ عنوان URL لـ LDAP للبحث عن شهادة المستلم.
13. تأكد من تعيين "نشر S/MIME شهادات من Intune' إلى 'نعم".
14. تحت  توقيع الشهادات قرب نوع ملف تعريف الشهادة، فكر في أحد هذه الخيارات الثلاثة:
    • SCEP: يقوم هذا الخيار بإنشاء شهادة فريدة لكل من الجهاز والمستخدم، وهي مناسبة لأغراض التوقيع في Microsoft Outlook. لفهم المتطلبات الأساسية لملفات تعريف شهادة SCEP، راجع توجيه حول تكوين البنية الأساسية لدعم SCEP مع Intune.
    • شهادات PKCS المستوردة: يستخدم اختيار هذا شهادة خاصة بالمستخدم يمكن استخدامها عبر أجهزة متعددة، بعد أن تم استيرادها إلى Endpoint Manager بواسطة المسؤول للمستخدم. يتم تعيين هذه الشهادة تلقائيًا لأي جهاز مسجل بواسطة المستخدم، مع تحديد Endpoint Manager لشهادة التوقيع المناسبة لكل مستخدم مسجل. للحصول على تفاصيل حول استخدام شهادات PKCS المستوردة، راجع تعليمات حول تكوين شهادات PKCS واستخدامها مع Intune.
    • أوراق الاعتماد المشتقة: يتضمن هذا الاختيار استخدام شهادة موجودة مسبقًا على الجهاز المخصص للتوقيع. ويتطلب استرداد الشهادة الموجودة على الجهاز من خلال عمليات بيانات الاعتماد المشتقة من Intune.
15. تحت شهادات التشفير قرب نوع ملف تعريف الشهادة، فكر في أحد الخيارات التالية:
    • شهادات PKCS المستوردة: يتيح هذا الاختيار تسليم شهادات التشفير، التي تم استيرادها مسبقًا إلى Endpoint Manager بواسطة المسؤول، عبر جميع الأجهزة المسجلة بواسطة المستخدم. سيقوم Endpoint Manager بشكل مستقل بتحديد الشهادة أو الشهادات المستوردة المناسبة التي تسهل التشفير، وتوزيعها على أجهزة المستخدم المسجل.
    • أوراق الاعتماد المشتقة: يستخدم هذا الخيار شهادة موجودة على الجهاز لأغراض التشفير. يجب الحصول على الشهادة على الجهاز عبر سير عمل بيانات الاعتماد المشتقة في Intune.
16. بالنسبة لإشعارات المستخدم النهائي فيما يتعلق باسترداد الشهادة، يتوفر للمسؤولين خيار تحديد إما بوابة الشركة أو البريد الإلكتروني كطريقة للإشعار. على نظام التشغيل iOS، يُطلب من المستخدمين استخدام تطبيق Company Portal لاسترداد بياناتهم S/MIME الشهادات، حيث سيتم تنبيههم من خلال قسم إشعارات التطبيق، أو إشعار الدفع، أو البريد الإلكتروني. توجه هذه الإشعارات المستخدمين إلى صفحة مقصودة محددة تعرض التقدم المحرز في استرداد الشهادة، وبعد ذلك يمكنهم الاستفادة منها S/MIME في Microsoft Outlook لنظام التشغيل iOS لتوقيع البريد الإلكتروني وتشفيره.
    
    تتوفر إشعارات المستخدم النهائي لاسترداد الشهادة في خيارين متميزين:
    • بوابة الشركة: سيؤدي تحديد هذا الخيار إلى إرسال إشعار دفع إلى جهاز المستخدم، وتوجيهه إلى الصفحة المقصودة لبوابة الشركة حيث يمكنهم الوصول إلى S/MIME الشهادات.
    • البريد إلكتروني:: سيؤدي تحديد إشعار البريد الإلكتروني إلى إرسال رسالة إلى المستخدم النهائي، تطالبه بفتح بوابة الشركة لاسترداد معلوماته S/MIME الشهادات. 

Outlook-Android التوزيع الآلي للشهادات

1. تسجيل الدخول إلى مدير نقطة النهاية من Microsoft.
2. قم بإنشاء ملف تعريف شهادة SCEP أو PKCS وقم بتعيينه لمستخدمي الهاتف المحمول لديك.
3. اذهب إلى 'تطبيقات"، ثم حدد"سياسات تكوين التطبيق".
4. في ال 'سياسات تكوين التطبيق"القسم، انقر فوق"أضف' و اختار 'الأجهزة المدارة" لبدء إعداد سياسة تكوين التطبيق.
5. في ال 'الأساسيات"المنطقة، توفير"الاسم"و اختياري"الوصف" لإعدادات تكوين التطبيق الخاص بك.
6. تحديد 'Android Enterprise"كما"الانطلاق'و'جميع أنواع الملفات الشخصية"كما"الملف نوع".
7. تحتالتطبيق المستهدف'، أختر 'حدد التطبيق"، ثم على"التطبيق المرتبط"الصفحة، حدد"مايكروسوفت أوتلوك"والتأكيد مع"OK".
8. انقر فوق "إعدادات التكوين" لإدخال إعدادات محددة. اختر "استخدم مصمم التكوين' بجوار 'تنسيق إعدادات التكوين"، وضبط الإعدادات الافتراضية كما هو مطلوب. 
9. الوصول إلى 'S/MIMEقسم لضبط Outlook S/MIME الإعدادات.
10. يضع 'تفعيل S/MIME' إلى 'نعم"، مع خيار للمسؤولين للسماح للمستخدمين أو تقييدهم من تغيير هذا الإعداد.
11. قرر ما إذا كنت تريد "تشفير كافة رسائل البريد الإلكتروني'، مما يمنح المسؤولين خيار السماح للمستخدمين بتغيير هذا الإعداد.
12. اختر ما إذا كنت تريدقم بالتوقيع على جميع رسائل البريد الإلكتروني"، مرة أخرى مع قدرة المسؤولين على التحكم في وصول المستخدم إلى هذا الإعداد.
13. وأخيراً استخدم "تعيينات" لتخصيص سياسة تكوين التطبيق لمجموعات Microsoft Entra المناسبة. 

تفعيل S/MIME في العميل

للمستخدمين لعرض أو إنشاء المحتوى المتعلق S/MIME في Outlook لنظامي التشغيل iOS وAndroid، من الضروري ذلك S/MIME انه مفعل. يتطلب هذا من المستخدمين النهائيين تشغيله يدويًا S/MIME الوظائف ضمن إعدادات حساباتهم من خلال الانتقال إلى قسم الأمان وتبديل الخيار S/MIME التحكم، والذي تم ضبطه في البداية على وضع إيقاف التشغيل.

دعم LDAP

LDAP (بروتوكول الوصول إلى الدليل خفيف الوزن) هو بروتوكول متوافق مع معايير الصناعة للوصول إلى خدمات معلومات الدليل وإدارتها. يتم استخدامه بشكل شائع لتخزين واسترجاع المعلومات حول المستخدمين والمجموعات والهياكل التنظيمية والموارد الأخرى في بيئة الشبكة. دمج LDAP مع S/MIME تتضمن الشهادات استخدام LDAP كخدمة دليل لتخزين شهادات المستخدم وإدارتها. من خلال دمج LDAP مع S/MIME الشهادات، يمكن للمؤسسات مركزية إدارة الشهادات وتعزيز الأمان وتبسيط عملية استرداد الشهادات والمصادقة في التطبيقات والخدمات المتنوعة التي تستفيد من LDAP كخدمة دليل.

للحصول على دليل حول تكامل LDAP مع SSL.com S/MIME الشهادات، يرجى الرجوع إلى هذه المقالة: التكامل مع LDAP S/MIME الشهادات.