S/MIME Εγκατάσταση για Outlook Android και iOS

Απαιτήσεις για S/MIME Ρύθμιση

Για να διασφαλίσετε τη βέλτιστη ασφάλεια στο Exchange Online, είναι ζωτικής σημασίας να ρυθμίσετε τις παραμέτρους S/MIME σύμφωνα με τις οδηγίες που καθορίζονται στο «Διαμορφώστε S/MIME στο Exchange Online' εγχειρίδιο. Αυτή η διαδικασία περιλαμβάνει τη δημιουργία μιας εικονικής συλλογής πιστοποιητικών και τη δημοσιοποίηση της λίστας ανάκλησης πιστοποιητικών στο διαδίκτυο. 

Τόσο στις μη αυτόματες όσο και στις αυτοματοποιημένες μεθόδους διανομής πιστοποιητικών, είναι ζωτικής σημασίας οι αξιόπιστες ριζικές αλυσίδες των πιστοποιητικών να είναι προσβάσιμες στην εικονική συλλογή του Exchange Online για αποτελεσματική επαλήθευση αξιοπιστίας. Το Exchange Online επιβεβαιώνει την εγκυρότητα ενός πιστοποιητικού επαληθεύοντας κάθε σύνδεσμο στην αλυσίδα πιστοποιητικών, με έμφαση στον εντοπισμό ενός αξιόπιστου πιστοποιητικού ρίζας και στην επιβεβαίωση της κατάστασής του στη λίστα ανάκλησης. Για χρήστες του Outlook σε iOS και Android, η εφαρμογή παραπέμπει στην κύρια διεύθυνση SMTP στο προφίλ λογαριασμού του χρήστη με το θέμα του πιστοποιητικού ή το εναλλακτικό όνομα για την επικύρωση του S/MIME πιστοποιητικό; Οι αναντιστοιχίες έχουν ως αποτέλεσμα τη μη διαθεσιμότητα επιλογών πιστοποιητικού για την υπογραφή ή την κρυπτογράφηση μηνυμάτων.

Χειροκίνητη διανομή πιστοποιητικού

Το Outlook για iOS και Android προσφέρει μια δυνατότητα για μη αυτόματη εγκατάσταση πιστοποιητικού όπου οι χρήστες λαμβάνουν τα πιστοποιητικά τους μέσω email. Για εγκατάσταση, οι χρήστες απλώς αγγίζουν το συνημμένο εντός της εφαρμογής, ξεκινώντας τη διαδικασία εγκατάστασης.  Ένας χρήστης έχει τη δυνατότητα να εξάγει το προσωπικό του πιστοποιητικό και να το στείλει στο δικό του email χρησιμοποιώντας το Outlook.  Για περισσότερες λεπτομέρειες, ανατρέξτε σε αυτό το άρθρο: Εξαγωγή ψηφιακού πιστοποιητικού.

Αυτοματοποιημένη διανομή πιστοποιητικών

Το Outlook για iOS και Android ενσωματώνει την αυτοματοποιημένη παράδοση πιστοποιητικών αποκλειστικά μέσω του Microsoft Endpoint Manager ως παρόχου εγγραφής.  Η μοναδική αρχιτεκτονική του κλειδιού iOS, η οποία διαφοροποιεί μεταξύ των κλειδιών συστήματος και των εκδοτών και περιορίζει την πρόσβαση εφαρμογών τρίτων στην αλυσίδα κλειδιών συστήματος, απαιτεί την αποθήκευση πιστοποιητικών για το Outlook για iOS στην αλυσίδα κλειδιών εκδότη της Microsoft. Αυτό επιτρέπει στο Outlook για iOS να έχει πρόσβαση σε αυτά τα πιστοποιητικά, με εξουσιοδοτημένες μόνο τις εφαρμογές της Microsoft, όπως το Company Portal να τοποθετούν πιστοποιητικά σε αυτήν την αλυσίδα κλειδιών.  Αντίθετα, η αυτοματοποιημένη παράδοση και έγκριση του Outlook για Android S/MIME Τα πιστοποιητικά διευκολύνονται από το Endpoint Manager σε διάφορα πλαίσια εγγραφής Android, συμπεριλαμβανομένου του διαχειριστή συσκευής, του προφίλ εργασίας Android Enterprise και των πλήρως διαχειριζόμενων σεναρίων Android Enterprise. Για την επιτυχή παράδοση πιστοποιητικών στο Outlook για iOS και Android, πρέπει να πληρούνται ορισμένες βασικές απαιτήσεις:

• Τα αξιόπιστα πιστοποιητικά ρίζας πρέπει να αναπτυχθούν χρησιμοποιώντας το Endpoint Manager. Οδηγίες για τη δημιουργία αξιόπιστων προφίλ πιστοποιητικών μπορείτε να βρείτε σε αυτήν τη σχετική τεκμηρίωση: Δημιουργήστε αξιόπιστα προφίλ πιστοποιητικών. 
• Είναι απαραίτητο να εισαγάγετε πιστοποιητικά κρυπτογράφησης στο Endpoint Manager. Οδηγίες μπορείτε να βρείτε εδώ: Διαμορφώστε και χρησιμοποιήστε εισαγόμενα πιστοποιητικά PKCS με το Intune.
• Το PFX Connector για το Microsoft Intune θα πρέπει να εγκατασταθεί και να ρυθμιστεί. Τα βήματα μπορείτε να τα βρείτε εδώ: Κατεβάστε, εγκαταστήστε και διαμορφώστε το PFX Certificate Connector για το Microsoft Intune.
• Τέλος, οι συσκευές πρέπει να είναι εγγεγραμμένες για να λαμβάνουν αυτόματα αξιόπιστη ρίζα και S/MIME πιστοποιητικά από το Endpoint Manager.

Το Outlook iOS αυτοματοποιημένη διανομή πιστοποιητικών

1. Συνδεθείτε Διαχειριστής Microsoft Endpoint.
2. Πλοηγηθείτε στο Αιτήσεις και στη συνέχεια επιλέξτε Πολιτικές διαμόρφωσης εφαρμογών.
3. Στις Πολιτικές διαμόρφωσης εφαρμογής, Κλίκ Πρόσθεση Και επιλέξτε Διαχειριζόμενες συσκευές για να ξεκινήσει η δημιουργία μιας πολιτικής διαμόρφωσης εφαρμογής.
4. Στο 'Βασικά"ενότητα, εισάγετε ένα"Όνομα"και, εάν το επιθυμείτε, ένα"Περιγραφή' για τις ρυθμίσεις διαμόρφωσης της εφαρμογής σας.
5. Επιλέξτε 'iOS / iPadOS' υπό 'Πλατφόρμα'.
6. Για 'Στοχευμένη εφαρμογή', κάντε κλικ στο 'Επιλέξτε εφαρμογή', μετά στο'Σχετική εφαρμογή"σελίδα, διάλεξε"Microsoft Outlook"και επιβεβαιώστε με"OK'.
7. Προχωρήστε στο 'Ρυθμίσεις διαμόρφωσης' για να εισαγάγετε τα στοιχεία της διαμόρφωσής σας.
8. Κάντε κλικ στο 'S/MIME' για πρόσβαση στις συγκεκριμένες ρυθμίσεις για το Outlook S/MIME.
9. Σετ 'Ενεργοποίηση S/MIME' προς την 'Ναι'. Έχετε την επιλογή να επιτρέψετε στους χρήστες να αλλάξουν αυτήν τη ρύθμιση επιλέγοντας 'Ναι (προεπιλογή εφαρμογής)" ή για να περιορίσετε τις αλλαγές επιλέγοντας "Οχι'.
10. Αποφασίστε αν θα 'Κρυπτογράφηση όλων των email"επιλέγοντας"Ναι' ή 'Οχι', και παρομοίως, επιτρέψτε ή περιορίστε την αλλαγή αυτής της ρύθμισης από τον χρήστη.
11. Προσδιορίστε αν θα 'Υπογράψτε όλα τα email'επιλέγοντας'Ναι' ή 'Οχι', με τις ίδιες επιλογές για να επιτρέπονται ή να αποτρέπονται οι προσαρμογές χρήστη.
12. Εάν είναι απαραίτητο, εφαρμόστε μια διεύθυνση URL LDAP για αναζήτηση πιστοποιητικού παραλήπτη.
13. Βεβαιωθείτε ότι έχετε ορίσει 'Ανάπτυξη S/MIME πιστοποιητικά από την Intune' προς την 'Ναι'.
14. Κάτω από  Υπογραφή πιστοποιητικών δίπλα Τύπος προφίλ πιστοποιητικού, εξετάστε μία από αυτές τις τρεις επιλογές:
    • SCEP: Αυτή η επιλογή δημιουργεί ένα μοναδικό πιστοποιητικό τόσο για τη συσκευή όσο και για τον χρήστη, κατάλληλο για σκοπούς υπογραφής του Microsoft Outlook. Για να κατανοήσετε τις προϋποθέσεις για τα προφίλ πιστοποιητικών SCEP, ανατρέξτε στο καθοδηγήσει σχετικά με τη διαμόρφωση της υποδομής για την υποστήριξη του SCEP με το Intune.
    • Εισαγόμενα πιστοποιητικά PKCS: Η επιλογή αυτού χρησιμοποιεί ένα πιστοποιητικό για συγκεκριμένο χρήστη που μπορεί να χρησιμοποιηθεί σε πολλές συσκευές, αφού έχει εισαχθεί στο Endpoint Manager από τον διαχειριστή για τον χρήστη. Αυτό το πιστοποιητικό εκχωρείται αυτόματα σε οποιαδήποτε συσκευή έχει καταχωρηθεί από τον χρήστη, με το Endpoint Manager να επιλέγει το κατάλληλο πιστοποιητικό υπογραφής για κάθε εγγεγραμμένο χρήστη. Για λεπτομέρειες σχετικά με τη χρήση πιστοποιητικών εισαγωγής PKCS, ανατρέξτε στο οδηγίες σχετικά με τη διαμόρφωση και τη χρήση πιστοποιητικών PKCS με το Intune.
    • Παράγωγα διαπιστευτήρια: Αυτή η επιλογή περιλαμβάνει τη χρήση ενός προϋπάρχοντος πιστοποιητικού στη συσκευή που έχει οριστεί για υπογραφή. Απαιτεί την ανάκτηση του πιστοποιητικού στη συσκευή μέσω των διαδικασιών διαπιστευτηρίων που προέρχονται από το Intune.
15. Κάτω από Πιστοποιητικά κρυπτογράφησης δίπλα Τύπος προφίλ πιστοποιητικού, εξετάστε μία από τις ακόλουθες επιλογές:
    • Πιστοποιητικά εισαγωγής PKCS: Αυτή η επιλογή επιτρέπει την παράδοση πιστοποιητικών κρυπτογράφησης, που είχαν προηγουμένως εισαχθεί στο Endpoint Manager από έναν διαχειριστή, σε όλες τις συσκευές που έχουν εγγραφεί από έναν χρήστη. Το Endpoint Manager θα επιλέξει αυτόνομα το κατάλληλο εισαγόμενο πιστοποιητικό ή πιστοποιητικά που διευκολύνουν την κρυπτογράφηση, διανέμοντάς τα στις συσκευές του εγγεγραμμένου χρήστη.
    • Παράγωγα διαπιστευτήρια: Αυτή η επιλογή χρησιμοποιεί ένα υπάρχον πιστοποιητικό στη συσκευή για σκοπούς κρυπτογράφησης. Το πιστοποιητικό θα πρέπει να προμηθεύεται στη συσκευή μέσω των ροών εργασίας που προκύπτουν διαπιστευτήρια στο Intune.
16. Για ειδοποιήσεις τελικού χρήστη σχετικά με την ανάκτηση πιστοποιητικού, οι διαχειριστές έχουν την επιλογή να επιλέξουν είτε την εταιρική πύλη είτε το ηλεκτρονικό ταχυδρομείο ως μέθοδο ειδοποίησης. Στο iOS, οι χρήστες πρέπει να χρησιμοποιούν την εφαρμογή Company Portal για την ανάκτησή τους S/MIME πιστοποιητικά, όπου θα ειδοποιούνται μέσω της ενότητας Ειδοποιήσεις της εφαρμογής, μιας ειδοποίησης push ή μέσω email. Αυτές οι ειδοποιήσεις κατευθύνουν τους χρήστες σε μια συγκεκριμένη σελίδα προορισμού που εμφανίζει την πρόοδο της ανάκτησης πιστοποιητικού, μετά την οποία μπορούν να χρησιμοποιήσουν S/MIME στο Microsoft Outlook για iOS για υπογραφή και κρυπτογράφηση email.
    
    Οι ειδοποιήσεις τελικού χρήστη για την ανάκτηση πιστοποιητικού είναι διαθέσιμες σε δύο διαφορετικές επιλογές:
    • Εταιρική Πύλη: Η επιλογή αυτής της επιλογής θα στείλει μια ειδοποίηση push στη συσκευή του χρήστη, κατευθύνοντάς τον στη σελίδα προορισμού της εταιρικής πύλης, όπου μπορούν να έχουν πρόσβαση στο S/MIME πιστοποιητικά.
    • Ηλεκτρονική Διεύθυνση (Email): Επιλέγοντας ειδοποίηση email θα σταλεί ένα μήνυμα στον τελικό χρήστη, ζητώντας του να ανοίξει την πύλη της εταιρείας για να ανακτήσει S/MIME πιστοποιητικά. 

Outlook-Android αυτοματοποιημένη διανομή πιστοποιητικών

1. Συνδεθείτε, για να Διαχειριστής Microsoft Endpoint.
2. Δημιουργήστε ένα προφίλ πιστοποιητικού SCEP ή PKCS και εκχωρήστε το στους χρήστες κινητών σας.
3. Παω σε 'Αιτήσεις', μετά επιλέξτε'Πολιτικές διαμόρφωσης εφαρμογών'.
4. Στο 'Πολιτικές διαμόρφωσης εφαρμογής'ενότητα, κάντε κλικ'Πρόσθεση«και διάλεξε»Διαχειριζόμενες συσκευές' για να ξεκινήσετε τη ρύθμιση της πολιτικής διαμόρφωσης εφαρμογής.
5. Στο 'Βασικά"περιοχή, παρέχετε ένα"Όνομα"και ένα προαιρετικό"Περιγραφή' για τις ρυθμίσεις διαμόρφωσης της εφαρμογής σας.
6. Επιλέξτε 'Android Επιχείρηση"ως το"Πλατφόρμα'Και'Όλοι οι τύποι προφίλ"ως το"Τύπος προφίλ'.
7. Κάτω από 'Στοχευμένη εφαρμογή', επιλέξτε'Επιλέξτε εφαρμογή', μετά στο'Σχετική εφαρμογή"σελίδα, επιλέξτε"Microsoft Outlook"και επιβεβαιώστε με"OK'.
8. Κάντε κλικ στο 'Ρυθμίσεις διαμόρφωσης' για να εισάγετε συγκεκριμένες ρυθμίσεις. Επιλέξουν 'Χρησιμοποιήστε τον σχεδιαστή διαμόρφωσης' δίπλα στο 'Μορφή ρυθμίσεων διαμόρφωσης', προσαρμόζοντας τις προεπιλεγμένες ρυθμίσεις όπως απαιτείται. 
9. Πρόσβαση στο 'S/MIMEενότητα για την προσαρμογή του Outlook S/MIME ρυθμίσεις.
10. Σετ 'Ενεργοποίηση S/MIME' προς την 'Ναι', με την επιλογή για τους διαχειριστές να επιτρέπουν ή να περιορίζουν τους χρήστες από την αλλαγή αυτής της ρύθμισης.
11. Αποφασίστε αν θέλετε να'Κρυπτογράφηση όλων των email», δίνοντας στους διαχειριστές την επιλογή να επιτρέψουν στους χρήστες να αλλάξουν αυτήν τη ρύθμιση.
12. Επιλέξτε αν θα 'Υπογράψτε όλα τα email', και πάλι με τη δυνατότητα των διαχειριστών να ελέγχουν την πρόσβαση των χρηστών σε αυτήν τη ρύθμιση.
13. Τέλος, χρησιμοποιήστε το 'Εργασίες' για να εκχωρήσετε την πολιτική διαμόρφωσης εφαρμογής στις κατάλληλες ομάδες Microsoft Entra. 

Ενεργοποιητικός S/MIME στον πελάτη

Για να δουν οι χρήστες ή να δημιουργήσουν περιεχόμενο σχετικό με S/MIME στο Outlook για iOS και Android, είναι απαραίτητο S/MIME ενεργοποιείται. Αυτό απαιτεί από τους τελικούς χρήστες να ενεργοποιήσουν μη αυτόματα S/MIME λειτουργικότητα εντός των ρυθμίσεων του λογαριασμού τους, μεταβαίνοντας στην ενότητα Ασφάλεια και εναλλάσσοντας το S/MIME έλεγχος, ο οποίος αρχικά είναι απενεργοποιημένος.

Υποστήριξη LDAP

Το LDAP (Lightweight Directory Access Protocol) είναι ένα βιομηχανικό πρωτόκολλο για την πρόσβαση και τη διαχείριση υπηρεσιών πληροφοριών καταλόγου. Χρησιμοποιείται συνήθως για την αποθήκευση και την ανάκτηση πληροφοριών σχετικά με χρήστες, ομάδες, οργανωτικές δομές και άλλους πόρους σε ένα περιβάλλον δικτύου. Ενσωμάτωση LDAP με S/MIME πιστοποιητικά περιλαμβάνει τη χρήση του LDAP ως υπηρεσίας καταλόγου για την αποθήκευση και διαχείριση πιστοποιητικών χρηστών. Με την ενσωμάτωση του LDAP με S/MIME Τα πιστοποιητικά, οι οργανισμοί μπορούν να συγκεντρώσουν τη διαχείριση πιστοποιητικών, να ενισχύσουν την ασφάλεια και να εξορθολογίσουν τη διαδικασία ανάκτησης πιστοποιητικών και ελέγχου ταυτότητας σε διάφορες εφαρμογές και υπηρεσίες που αξιοποιούν το LDAP ως υπηρεσία καταλόγου.

Για έναν οδηγό σχετικά με την ενοποίηση LDAP με το SSL.com S/MIME πιστοποιητικά, ανατρέξτε σε αυτό το άρθρο: Ενσωμάτωση LDAP με S/MIME Πιστοποιητικά.