S/MIME Instalace pro Outlook Android a iOS

Požadavky na S/MIME Nastavení

Chcete-li zajistit optimální zabezpečení na serveru Exchange Online, je důležité jej nakonfigurovat S/MIME podle pokynů uvedených v „Konfigurace S/MIME v Exchange Online' manuál. Tento proces zahrnuje vytvoření virtuální kolekce certifikátů a zveřejnění seznamu zrušených certifikátů na internetu. 

U manuálních i automatických metod distribuce certifikátů je důležité, aby důvěryhodné kořenové řetězce certifikátů byly přístupné ve virtuální sbírce vaší Exchange Online pro efektivní ověřování důvěryhodnosti. Exchange Online potvrzuje platnost certifikátu ověřením každého odkazu v řetězci certifikátů se zaměřením na vyhledání důvěryhodného kořenového certifikátu a potvrzení jeho stavu podle seznamu odvolaných certifikátů. Pro uživatele aplikace Outlook na iOS a Androidu aplikace křížově odkazuje na primární adresu SMTP v profilu uživatelského účtu s předmětem certifikátu nebo alternativním názvem, aby ověřila S/MIME osvědčení; neshody vedou k nedostupnosti možností certifikátu pro podepisování nebo šifrování zpráv.

Ruční distribuce certifikátů

Outlook pro iOS a Android nabízí funkci pro ruční instalaci certifikátu, kdy uživatelé obdrží své certifikáty e-mailem. Chcete-li nainstalovat, uživatelé jednoduše klepněte na přílohu v aplikaci a zahájí proces nastavení.  Uživatel má možnost exportovat svůj osobní certifikát a odeslat jej na svůj vlastní e-mail pomocí aplikace Outlook.  Další podrobnosti naleznete v tomto článku: Export digitálního certifikátu.

Automatická distribuce certifikátů

Outlook pro iOS a Android integruje automatické doručování certifikátů výhradně prostřednictvím Microsoft Endpoint Manager jako poskytovatele registrace.  Jedinečná architektura klíčenky pro iOS, která rozlišuje mezi systémovými a vydavatelskými klíčenkami a omezuje přístup aplikací třetích stran k systémové klíčence, vyžaduje, aby certifikáty pro Outlook pro iOS byly uloženy v klíčence vydavatele Microsoft. To umožňuje aplikaci Outlook pro iOS přistupovat k těmto certifikátům, přičemž pouze vlastní aplikace společnosti Microsoft, jako je Portál společnosti, jsou oprávněny umisťovat certifikáty do této klíčenky.  A naopak, Outlook pro Android je automatické doručování a schvalování S/MIME certifikáty zprostředkovává Endpoint Manager v různých registračních systémech Android, včetně správce zařízení, pracovního profilu Android Enterprise a plně spravovaných scénářů Android Enterprise. Chcete-li úspěšně doručit certifikáty do aplikace Outlook pro iOS a Android, musí být splněny určité klíčové požadavky:

• Důvěryhodné kořenové certifikáty je třeba nasadit pomocí Endpoint Manageru. Pokyny k vytváření profilů důvěryhodných certifikátů naleznete v této relevantní dokumentaci: Vytvořte profily důvěryhodných certifikátů. 
• Do Endpoint Manageru je nutné importovat šifrovací certifikáty; Návod najdete zde: Nakonfigurujte a používejte importované certifikáty PKCS s Intune.
• Je třeba nainstalovat a nakonfigurovat konektor PFX pro Microsoft Intune. Kroky najdete zde: Stáhněte, nainstalujte a nakonfigurujte PFX Certificate Connector pro Microsoft Intune.
• Nakonec musí být zařízení zaregistrována, aby automaticky přijímala důvěryhodný root a S/MIME certifikáty z Endpoint Manageru.

Outlook iOS automatizovaná distribuce certifikátů

1. Přihlásit se do Microsoft Endpoint Manager.
2. přejděte na aplikace a potom vyberte Zásady konfigurace aplikací.
3. Na Zásady konfigurace aplikace, Klepněte na tlačítko přidat A zvolte Spravovaná zařízení k zahájení vytváření zásad konfigurace aplikace.
4. V "Základysekce, zadejte aPříjmení' a je-li to žádoucí, i 'Popis“ pro nastavení konfigurace aplikace.
5. Vyberte "iOS / iPadOS'pod'Plošina".
6. Pro 'Cílená aplikace', klikněte na 'Vyberte aplikaci', pak na 'Přidružená aplikace' stránka, vybrat 'Microsoft Outlook' a potvrďte pomocí 'OK".
7. Pokračujte k 'Nastavení konfigurace' pro zadání podrobností o konfiguraci.
8. Klikněte na 'S/MIME' pro přístup ke konkrétním nastavením aplikace Outlook S/MIME.
9. Nastavit 'umožnit S/MIME„do“Ano'. Máte možnost povolit uživatelům změnit toto nastavení výběrem „Ano (výchozí nastavení aplikace)“, nebo chcete-li omezit změny volbou „Ne".
10. Rozhodněte se, zda 'Šifrujte všechny e-maily'volbou'Ano"nebo"Ne', a podobně povolit nebo omezit uživatelskou změnu tohoto nastavení.
11. Rozhodněte se, zda „Podepište všechny e-maily' výběrem 'Ano"nebo"Ne', se stejnými možnostmi pro povolení nebo zamezení uživatelských úprav.
12. V případě potřeby implementujte adresu URL LDAP pro vyhledání certifikátu příjemce.
13. Ujistěte se, že jste nastavili 'Nasazení S/MIME certifikáty od Intune„do“Ano".
14. Pod  Podepisování certifikátů vedle Typ profilu certifikátu, zvažte jednu z těchto tří možností:
    • SCEP: Tato možnost vygeneruje jedinečný certifikát pro zařízení i uživatele, vhodný pro účely podepisování aplikace Microsoft Outlook. Chcete-li porozumět předpokladům pro profily certifikátů SCEP, viz průvodce na konfiguraci infrastruktury pro podporu SCEP s Intune.
    • PKCS importované certifikáty: Volba pro toto využívá certifikát specifický pro uživatele, který lze použít na více zařízeních, který pro daného uživatele importoval do Endpoint Manager správce. Tento certifikát je automaticky přiřazen jakémukoli zařízení registrovanému uživatelem, přičemž Endpoint Manager vybere vhodný podpisový certifikát pro každého registrovaného uživatele. Podrobnosti o použití importovaných certifikátů PKCS naleznete na instrukce o konfiguraci a používání certifikátů PKCS s Intune.
    • Odvozené přihlašovací údaje: Tato volba zahrnuje použití již existujícího certifikátu na zařízení určeném k podepisování. Vyžaduje to načtení certifikátu na zařízení prostřednictvím procesů odvozených přihlašovacích údajů Intune.
15. Pod Šifrovací certifikáty vedle Typ profilu certifikátu, zvažte jednu z následujících možností:
    • PKCS importované certifikáty: Tato volba umožňuje doručování šifrovacích certifikátů, které do Endpoint Manager dříve importoval správce, na všechna zařízení zaregistrovaná uživatelem. Endpoint Manager autonomně vybere vhodný importovaný certifikát nebo certifikáty, které usnadňují šifrování, a distribuuje je do zařízení registrovaného uživatele.
    • Odvozené přihlašovací údaje: Tato možnost využívá stávající certifikát v zařízení pro účely šifrování. Certifikát by měl být na zařízení získán prostřednictvím pracovních postupů odvozených přihlašovacích údajů v Intune.
16. Pro upozornění koncového uživatele týkající se načítání certifikátu mají administrátoři možnost vybrat si jako způsob upozornění buď Portál společnosti nebo E-mail. V systému iOS jsou uživatelé povinni používat aplikaci Portál společnosti k načítání svých S/MIME certifikáty, kde budou upozorněni prostřednictvím části Oznámení aplikace, oznámením push nebo e-mailem. Tato upozornění nasměrují uživatele na konkrétní vstupní stránku, která zobrazuje průběh získávání certifikátu, a poté mohou certifikát využít S/MIME v aplikaci Microsoft Outlook pro iOS pro podepisování a šifrování e-mailů.
    
    Oznámení koncového uživatele o načtení certifikátu jsou k dispozici ve dvou různých možnostech:
    • Portál společnosti: Výběrem této možnosti odešlete do zařízení uživatele oznámení push, které jej přesměruje na vstupní stránku Portálu společnosti, kde má přístup ke svému S/MIME certifikáty.
    • email: Výběrem e-mailového upozornění odešlete koncovému uživateli zprávu s výzvou k otevření firemního portálu a načtení S/MIME certifikáty. 

Outlook pro Android automatizovaná distribuce certifikátů

1. Přihlásit se do Microsoft Endpoint Manager.
2. Vytvořte profil certifikátu SCEP nebo PKCS a přiřaďte jej svým mobilním uživatelům.
3. Jít do 'aplikace', poté vyberte 'Zásady konfigurace aplikací".
4. V "Zásady konfigurace aplikacesekce, klikněte napřidat'a vyberte'Spravovaná zařízení' pro zahájení nastavení zásad konfigurace aplikace.
5. V "Základy' oblast, uveďte 'Příjmení' a volitelný 'Popis“ pro nastavení konfigurace aplikace.
6. Vyberte "AndroidEnterprise'jako'Plošina' a 'Všechny typy profilů'jako'Typ profilu".
7. V části "Cílená aplikace', Vybrat 'Vyberte aplikaci', pak na 'Přidružená aplikace' stránka, vyberte 'Microsoft Outlook' a potvrďte pomocí 'OK".
8. Klikněte na 'Nastavení konfigurace' pro zadání konkrétního nastavení. Rozhodnout se pro 'Použijte návrhář konfigurace' vedle 'Formát nastavení konfigurace', podle potřeby upravte výchozí nastavení. 
9. Přístup k 'S/MIME' pro úpravu Outlooku S/MIME Nastavení.
10. Nastavit 'umožnit S/MIME„do“Ano', s možností pro administrátory povolit nebo zakázat uživatelům změnu tohoto nastavení.
11. Rozhodněte se, jestli chcete'Šifrujte všechny e-maily', což správcům umožňuje povolit uživatelům měnit toto nastavení.
12. Vyberte, zda chcete 'Podepište všechny e-maily', opět s možností administrátorů řídit přístup uživatelů k tomuto nastavení.
13. Nakonec použijte 'přiřazení' k přidělení zásady konfigurace aplikace příslušným skupinám Microsoft Entra. 

Aktivace S/MIME v klientovi

Aby uživatelé mohli prohlížet nebo vytvářet související obsah S/MIME v Outlooku pro iOS a Android je to nezbytné S/MIME je aktivován. To vyžaduje ruční zapnutí koncových uživatelů S/MIME funkce v nastavení jejich účtu tím, že přejdete do sekce Zabezpečení a přepnete S/MIME ovládání, které je zpočátku vypnuto.

Podpora LDAP

LDAP (Lightweight Directory Access Protocol) je průmyslový standardní protokol pro přístup a správu adresářových informačních služeb. Běžně se používá pro ukládání a získávání informací o uživatelích, skupinách, organizačních strukturách a dalších zdrojích v síťovém prostředí. Integrace LDAP s S/MIME Certifikáty zahrnují použití LDAP jako adresářové služby pro ukládání a správu uživatelských certifikátů. Integrací LDAP s S/MIME certifikáty, mohou organizace centralizovat správu certifikátů, zlepšit zabezpečení a zefektivnit proces získávání certifikátů a ověřování v různých aplikacích a službách, které využívají LDAP jako adresářovou službu.

Průvodce integrací LDAP s SSL.com S/MIME certifikáty naleznete v tomto článku: Integrace LDAP s S/MIME Certifikáty.