S/MIME Installation til Outlook Android og iOS

Krav til S/MIME Opsætning

For at sikre optimal sikkerhed i Exchange Online er det afgørende at konfigurere S/MIME i henhold til retningslinjerne specificeret i 'Konfigurer S/MIME i Exchange Online' brugervejledning. Denne proces involverer etablering af en virtuel certifikatsamling og gør listen over certifikattilbagekaldelse offentlig tilgængelig på internettet. 

I både manuelle og automatiserede certifikatdistributionsmetoder er det afgørende, at certifikaternes betroede rodkæder er tilgængelige i din Exchange Onlines virtuelle samling for effektiv tillidsbekræftelse. Exchange Online bekræfter gyldigheden af ​​et certifikat ved at verificere hvert led i certifikatkæden med fokus på at finde et pålideligt rodcertifikat og bekræfte dets status i forhold til tilbagekaldelseslisten. For Outlook-brugere på iOS og Android krydshenviser appen den primære SMTP-adresse i brugerens kontoprofil med certifikatets emne eller alternative navn for at validere S/MIME certifikat; uoverensstemmelser resulterer i manglende tilgængelighed af certifikatmuligheder til at signere eller kryptere meddelelser.

Manuel certifikatdistribution

Outlook til iOS og Android tilbyder en funktion til manuel certifikatinstallation, hvor brugere modtager deres certifikater via e-mail. For at installere skal brugere blot trykke på den vedhæftede fil i appen og starte opsætningsprocessen.  En bruger har mulighed for at eksportere deres personlige certifikat og sende det til deres egen e-mail ved hjælp af Outlook.  For yderligere detaljer henvises til denne artikel: Eksport af et digitalt certifikat.

Automatiseret certifikatdistribution

Outlook til iOS og Android integrerer automatisk certifikatlevering udelukkende gennem Microsoft Endpoint Manager som tilmeldingsudbyder.  Den unikke arkitektur af iOS-nøgleringen, som skelner mellem system- og udgivernøgleringe og begrænser tredjeparts app-adgang til systemets nøglering, nødvendiggør, at certifikater til Outlook til iOS gemmes i Microsofts udgivernøglering. Dette tillader Outlook til iOS at få adgang til disse certifikater, med kun Microsofts egne apps, såsom Company Portal, autoriseret til at placere certifikater i denne nøglering.  Omvendt er Outlook til Androids automatiserede levering og godkendelse af S/MIME certifikater faciliteres af Endpoint Manager på tværs af forskellige Android-tilmeldingsrammer, herunder enhedsadministrator, Android Enterprise-arbejdsprofil og fuldt administrerede Android Enterprise-scenarier. For at kunne levere certifikater til Outlook til iOS og Android skal visse nøglekrav være opfyldt:

• Pålidelige rodcertifikater skal implementeres ved hjælp af Endpoint Manager. Vejledning om oprettelse af pålidelige certifikatprofiler kan findes i denne relevante dokumentation: Opret pålidelige certifikatprofiler. 
• Det er nødvendigt at importere krypteringscertifikater til Endpoint Manager; Instruktioner kan findes her: Konfigurer og brug importerede PKCS-certifikater med Intune.
• PFX-stikket til Microsoft Intune skal installeres og konfigureres. Trin kan findes her: Download, installer og konfigurer PFX Certificate Connector til Microsoft Intune.
• Endelig skal enheder tilmeldes for automatisk at modtage betroet root og S/MIME certifikater fra Endpoint Manager.

Outlook iOS automatiseret distribution af certifikater

1. Log ind på Microsoft Endpoint Manager.
2. Naviger til Apps og vælg derefter Politikker for appkonfiguration.
3. På Politikker for appkonfigurationklik Tilføj Og vælg Administrerede enheder for at starte oprettelsen af ​​en app-konfigurationspolitik.
4. I 'Grundlæggende' sektion, indtast et 'Navn' og, hvis det ønskes, en 'Beskrivelse' for dine app-konfigurationsindstillinger.
5. Vælg 'iOS / iPadOS'under'perron«.
6. Til 'Målrettet app', Klik på 'Vælg app', derefter på 'Tilknyttet app' side, vælg 'Microsoft Outlook' og bekræft med 'OK«.
7. Fortsæt til 'Konfigurationsindstillinger' for at indtaste dine konfigurationsdetaljer.
8. Klik på 'S/MIME' for at få adgang til de specifikke indstillinger for Outlook S/MIME.
9. Indstil 'Aktiver S/MIME' til 'Ja'. Du har mulighed for at tillade brugere at ændre denne indstilling ved at vælge 'Ja (app standard)', eller for at begrænse ændringer ved at vælge 'Ingen«.
10. Beslut om duKrypter alle e-mails'ved at vælge'Ja'eller'Ingen', og på lignende måde tillade eller begrænse brugerændring af denne indstilling.
11. Bestem, om du skal 'Underskriv alle e-mails' ved at vælge 'Ja'eller'Ingen', med de samme muligheder for at tillade eller forhindre brugerjusteringer.
12. Implementer om nødvendigt en LDAP-URL til opslag af modtagercertifikater.
13. Sørg for at indstille 'Implementer S/MIME certifikater fra Intune' til 'Ja«.
14. Under  Underskrivelse af certifikater siden Certifikatprofiltype, overvej en af ​​disse tre muligheder:
    • SCEP: Denne mulighed genererer et unikt certifikat for både enheden og brugeren, der er egnet til Microsoft Outlooks signeringsformål. For at forstå forudsætningerne for SCEP-certifikatprofiler, se vejlede om konfiguration af infrastruktur til at understøtte SCEP med Intune.
    • PKCS importerede certifikater: Valg af dette bruger et brugerspecifikt certifikat, der kan bruges på tværs af flere enheder, efter at være blevet importeret til Endpoint Manager af administratoren for brugeren. Dette certifikat tildeles automatisk til enhver enhed, der er registreret af brugeren, hvor Endpoint Manager vælger det relevante signeringscertifikat for hver tilmeldt bruger. For detaljer om brug af PKCS-importerede certifikater, se anvisninger om konfiguration og brug af PKCS-certifikater med Intune.
    • Afledte legitimationsoplysninger: Dette valg involverer brug af et allerede eksisterende certifikat på den enhed, der er udpeget til signering. Det kræver at hente certifikatet på enheden gennem Intunes afledte legitimationsoplysninger.
15. Under Krypteringscertifikater siden Certifikatprofiltype, overvej en af ​​følgende muligheder:
    • PKCS importerede certifikater: Dette valg muliggør levering af krypteringscertifikater, som tidligere er importeret til Endpoint Manager af en administrator, på tværs af alle enheder, der er tilmeldt af en bruger. Endpoint Manager vil selvstændigt vælge det eller de passende importerede certifikater, der letter kryptering, og distribuere dem til den tilmeldte brugers enheder.
    • Afledte legitimationsoplysninger: Denne mulighed bruger et eksisterende certifikat på enheden til krypteringsformål. Certifikatet skal anskaffes på enheden via de afledte legitimationsarbejdsgange i Intune.
16. For slutbrugermeddelelser vedrørende hentning af certifikater har administratorer mulighed for at vælge enten Firmaportal eller E-mail som underretningsmetode. På iOS skal brugere bruge Company Portal-appen til at hente deres S/MIME certifikater, hvor de vil blive advaret via appens meddelelsessektion, en push-meddelelse eller en e-mail. Disse meddelelser dirigerer brugerne til en specifik landingsside, der viser fremskridtene for hentning af certifikater, hvorefter de kan bruge S/MIME i Microsoft Outlook til iOS til e-mailsignering og kryptering.
    
    Slutbrugermeddelelser til hentning af certifikater er tilgængelige i to forskellige muligheder:
    • Virksomhedsportal: Hvis du vælger denne mulighed, sendes en push-meddelelse til brugerens enhed, der dirigerer dem til virksomhedsportalens landingsside, hvor de kan få adgang til deres S/MIME certifikater.
    • E-mail: Hvis du vælger e-mail-besked, sendes en besked til slutbrugeren, der beder dem om at åbne virksomhedsportalen for at hente deres S/MIME certifikater. 

Outlook-Android automatiseret distribution af certifikater

1. Log ind på Microsoft Endpoint Manager.
2. Opret enten en SCEP- eller PKCS-certifikatprofil, og tildel den til dine mobilbrugere.
3. Gå til 'Apps', vælg derefter 'Politikker for appkonfiguration«.
4. I 'Politikker for appkonfiguration' sektion, klik på 'Tilføj'og vælg'Administrerede enheder' for at starte opsætningen af ​​appkonfigurationspolitikken.
5. I 'Grundlæggende' område, angiv et 'Navn' og en valgfri 'Beskrivelse' for dine app-konfigurationsindstillinger.
6. Vælg 'AndroidEnterprise'som'perron' og 'Alle profiltyper'som'Profiltype«.
7. Under 'Målrettet app'vælg'Vælg app', derefter på 'Tilknyttet app' side, vælg 'Microsoft Outlook' og bekræft med 'OK«.
8. Klik på 'Konfigurationsindstillinger' for at indtaste specifikke indstillinger. Vælge 'Brug konfigurationsdesigner' ved siden af ​​'Konfigurationsindstillingsformat', justere standardindstillingerne efter behov. 
9. Få adgang til 'S/MIME' sektion for at justere Outlook's S/MIME indstillinger.
10. Indstil 'Aktiver S/MIME' til 'Ja', med mulighed for administratorer at tillade eller begrænse brugere i at ændre denne indstilling.
11. Beslut om du vil'Krypter alle e-mails', hvilket giver administratorer mulighed for at tillade brugere at ændre denne indstilling.
12. Vælg om du vil 'Underskriv alle e-mails', igen med mulighed for administratorer til at kontrollere brugeradgang til denne indstilling.
13. Brug endelig 'Afleveringer' for at tildele appkonfigurationspolitikken til de relevante Microsoft Entra-grupper. 

Aktivering S/MIME i klienten

For brugere at se eller oprette indhold relateret til S/MIME i Outlook til iOS og Android er det vigtigt at S/MIME er aktiveret. Dette kræver, at slutbrugere tænder manuelt S/MIME funktionalitet i deres kontoindstillinger ved at navigere til afsnittet Sikkerhed og skifte til S/MIME kontrol, som i første omgang er slået fra.

LDAP-understøttelse

LDAP (Lightweight Directory Access Protocol) er en industristandardprotokol til at få adgang til og administrere telefonbogsinformationstjenester. Det bruges almindeligvis til at gemme og hente information om brugere, grupper, organisationsstrukturer og andre ressourcer i et netværksmiljø. Integrering af LDAP med S/MIME certifikater involverer at bruge LDAP som en adressebogstjeneste til at gemme og administrere brugercertifikater. Ved at integrere LDAP med S/MIME certifikater, kan organisationer centralisere certifikatstyring, forbedre sikkerheden og strømline processen med hentning og godkendelse af certifikater i forskellige applikationer og tjenester, der udnytter LDAP som en adressebogstjeneste.

For en vejledning om LDAP-integration med SSL.com S/MIME certifikater, se venligst denne artikel: LDAP-integration med S/MIME Certifikater.