S/MIME Инсталация за Outlook Android и iOS

Изисквания за S/MIME Структура

За да осигурите оптимална сигурност в Exchange Online, е изключително важно да конфигурирате S/MIME съгласно насоките, посочени в „Определен S/MIME в Exchange Online' ръководство. Този процес включва създаване на виртуална колекция от сертификати и предоставяне на списъка с анулирани сертификати публично достъпен в интернет. 

Както при ръчните, така и при автоматизираните методи за разпространение на сертификати е жизненоважно доверените основни вериги на сертификатите да са достъпни във виртуалната колекция на Exchange Online за ефективна проверка на доверието. Exchange Online потвърждава валидността на сертификат, като проверява всяка връзка във веригата на сертификати, като се фокусира върху намирането на доверен основен сертификат и потвърждаване на състоянието му спрямо списъка за анулиране. За потребителите на Outlook на iOS и Android приложението препраща основния SMTP адрес в профила на потребителския акаунт с темата на сертификата или алтернативното име, за да потвърди S/MIME сертификат; несъответствията водят до недостъпност на опциите за сертификат за подписване или криптиране на съобщения.

Ръчно раздаване на сертификати

Outlook за iOS и Android предлага функция за ръчно инсталиране на сертификат, при която потребителите получават своите сертификати по имейл. За да инсталират, потребителите просто докосват прикачения файл в приложението, инициирайки процеса на настройка.  Потребителят има възможността да експортира личния си сертификат и да го изпрати на собствения си имейл с помощта на Outlook.  За допълнителни подробности вижте тази статия: Експортиране на цифров сертификат.

Автоматизирано разпространение на сертификати

Outlook за iOS и Android интегрира автоматизирана доставка на сертификати изключително чрез Microsoft Endpoint Manager като доставчик на записване.  Уникалната архитектура на iOS ключодържателя, която прави разлика между системни и издателски ключодържатели и ограничава достъпа на приложения на трети страни до системния ключодържател, налага сертификатите за Outlook за iOS да се съхраняват в Microsoft издателския ключодържател. Това позволява на Outlook за iOS достъп до тези сертификати, като само собствените приложения на Microsoft, като например фирмения портал, имат право да поставят сертификати в този ключодържател.  Обратно, автоматизираната доставка и одобрение на Outlook за Android S/MIME сертификатите се улесняват от Endpoint Manager в различни рамки за записване на Android, включително администратор на устройство, работен профил на Android Enterprise и напълно управлявани сценарии на Android Enterprise. За успешно доставяне на сертификати на Outlook за iOS и Android трябва да бъдат изпълнени определени ключови изисквания:

• Доверените основни сертификати трябва да бъдат внедрени с помощта на Endpoint Manager. Указания за създаване на профили на надеждни сертификати могат да бъдат намерени в тази подходяща документация: Създайте профили на надеждни сертификати. 
• Необходимо е да импортирате сертификати за криптиране в Endpoint Manager; Инструкции можете да намерите тук: Конфигурирайте и използвайте импортирани PKCS сертификати с Intune.
• PFX конекторът за Microsoft Intune трябва да бъде инсталиран и конфигуриран. Стъпките можете да намерите тук: Изтеглете, инсталирайте и конфигурирайте PFX Certificate Connector за Microsoft Intune.
• И накрая, устройствата трябва да бъдат регистрирани, за да получат автоматично доверен root и S/MIME сертификати от Endpoint Manager.

Outlook iOS автоматизирано разпространение на сертификати

1. Влезте Microsoft Endpoint Manager.
2. Отидете до Приложения: и след това изберете Правила за конфигуриране на приложението.
3. От Правила за конфигуриране на приложението, Щракнете върху Добави И изберете Управлявани устройства за да инициирате създаването на политика за конфигурация на приложението.
4. В "Основи" раздел, въведете "Име" и, ако желаете, "Описание“ за настройките за конфигурация на вашето приложение.
5. Изберете "iOS / iPadOS"под"платформа'.
6. За 'Насочено приложение', кликнете върху 'Изберете приложение', след това на 'Свързано приложение"страница, изберете"Microsoft Outlook"и потвърдете с"OK'.
7. Продължи към 'Конфигурационни настройки', за да въведете вашите подробности за конфигурацията.
8. Кликнете върху 'S/MIME' за достъп до специфичните настройки за Outlook S/MIME.
9. Комплект 'Разреши S/MIME' да се 'Да'. Имате опцията да позволите на потребителите да променят тази настройка, като изберете „Да (приложение по подразбиране)' или за ограничаване на промените, като изберете 'Не'.
10. Решете дали да 'Шифроване на всички имейли"чрез избор"Да' или 'Не', и по подобен начин, разрешава или ограничава потребителската промяна на тази настройка.
11. Определете дали да 'Подпишете всички имейли"чрез избиране"Да' или 'Не“, със същите опции за разрешаване или предотвратяване на потребителски настройки.
12. Ако е необходимо, внедрете LDAP URL за търсене на сертификат на получател.
13. Уверете се, че сте задали "Разполагане S/MIME сертификати от Intune' да се 'Да'.
14. Под  Сертификати за подписване до Тип профил на сертификата, помислете за една от тези три опции:
    • ПРДЕ: Тази опция генерира уникален сертификат както за устройството, така и за потребителя, подходящ за целите на подписване на Microsoft Outlook. За да разберете предпоставките за профилите на SCEP сертификат, вижте ръководи за конфигуриране на инфраструктура за поддръжка на SCEP с Intune.
    • PKCS импортирани сертификати: Избирането на това използва специфичен за потребителя сертификат, който може да се използва на множество устройства, след като е импортиран в Endpoint Manager от администратора за потребителя. Този сертификат се присвоява автоматично на всяко устройство, регистрирано от потребителя, като Endpoint Manager избира подходящия сертификат за подписване за всеки записан потребител. За подробности относно използването на импортирани от PKCS сертификати вижте инструкции относно конфигурирането и използването на PKCS сертификати с Intune.
    • Изведени идентификационни данни: Този избор включва използване на предварително съществуващ сертификат на устройството, определено за подписване. Това изисква извличане на сертификата на устройството чрез процесите на получени идентификационни данни на Intune.
15. Под Сертификати за криптиране до Тип профил на сертификата, помислете за една от следните опции:
    • PKCS импортирани сертификати: Този избор позволява доставката на сертификати за шифроване, предварително импортирани в Endpoint Manager от администратор, на всички устройства, регистрирани от потребител. Endpoint Manager ще избере автономно подходящия импортиран сертификат или сертификати, които улесняват криптирането, като ги разпространява до устройствата на регистрирания потребител.
    • Изведени идентификационни данни: Тази опция използва съществуващ сертификат на устройството за целите на криптиране. Сертификатът трябва да бъде осигурен на устройството чрез работните процеси за извлечени идентификационни данни в Intune.
16. За известия на крайния потребител относно извличане на сертификат администраторите имат възможност да изберат или фирмен портал, или имейл като метод за известяване. В iOS от потребителите се изисква да използват приложението Company Portal за извличане на своите S/MIME сертификати, където ще бъдат предупредени чрез секцията за известия на приложението, насочено известие или имейл. Тези известия насочват потребителите към конкретна целева страница, която показва напредъка на извличане на сертификат, след което те могат да използват S/MIME в Microsoft Outlook за iOS за подписване и криптиране на имейл.
    
    Уведомленията на крайния потребител за извличане на сертификат са налични в две различни опции:
    • Фирмен портал: Избирането на тази опция ще изпрати насочено известие до устройството на потребителя, насочвайки го към целевата страница на фирмения портал, където могат да получат достъп до своите S/MIME сертификати.
    • Имейл: Избирането на известие по имейл ще изпрати съобщение до крайния потребител, което го подканва да отвори фирмения портал, за да изтегли своите S/MIME сертификати. 

Outlook за Android автоматизирано разпространение на сертификати

1. Влезте, за да Microsoft Endpoint Manager.
2. Създайте профил на сертификат SCEP или PKCS и го задайте на вашите мобилни потребители.
3. Отидете на "Приложения:', след това изберете 'Правила за конфигуриране на приложението'.
4. В "Правила за конфигуриране на приложението" раздел, щракнете върху "Добави"и избери"Управлявани устройства', за да започнете настройката на правилата за конфигурация на приложението.
5. В "Основи"област, осигурете"Име"и незадължително"Описание“ за настройките за конфигурация на вашето приложение.
6. Изберете "AndroidEnterprise"като"платформа' и 'Всички типове профили"като"Тип на профила'.
7. Под "Насочено приложение', избирам 'Изберете приложение', след това на 'Свързано приложение"страница, изберете"Microsoft Outlook"и потвърдете с"OK'.
8. Кликнете върху 'Конфигурационни настройки' за въвеждане на конкретни настройки. Избирам 'Използвайте дизайнер на конфигурация' до 'Формат на настройките за конфигурация', като коригирате настройките по подразбиране според изискванията. 
9. Достъп до „S/MIME“, за да коригирате Outlook S/MIME настройки.
10. Комплект 'Разреши S/MIME' да се 'Да“, с опция за администраторите да разрешават или ограничават потребителите да променят тази настройка.
11. Решете дали искате даШифроване на всички имейли“, давайки на администраторите избор да разрешат на потребителите да променят тази настройка.
12. Изберете дали да 'Подпишете всички имейли“, отново с възможност администраторите да контролират потребителския достъп до тази настройка.
13. Накрая използвайте 'Задачи', за да разпределите политиката за конфигуриране на приложението към съответните групи на Microsoft Entra. 

Активиране S/MIME в клиента

За потребителите да преглеждат или създават съдържание, свързано с S/MIME в Outlook за iOS и Android е важно S/MIME се активира. Това изисква крайните потребители да се включат ръчно S/MIME функционалност в настройките на акаунта си, като отидете до секцията Сигурност и превключите на S/MIME управление, което първоначално е изключено.

Поддръжка на LDAP

LDAP (Lightweight Directory Access Protocol) е индустриален стандартен протокол за достъп и управление на информационни услуги на директории. Обикновено се използва за съхраняване и извличане на информация за потребители, групи, организационни структури и други ресурси в мрежова среда. Интегриране на LDAP с S/MIME сертификати включва използването на LDAP като справочна услуга за съхраняване и управление на потребителски сертификати. Чрез интегриране на LDAP с S/MIME сертификати, организациите могат да централизират управлението на сертификати, да подобрят сигурността и да рационализират процеса на извличане на сертификати и удостоверяване в различни приложения и услуги, които използват LDAP като справочна услуга.

За ръководство за LDAP интеграция със SSL.com S/MIME сертификати, моля, вижте тази статия: LDAP интеграция с S/MIME Сертификати.