S/MIME Asennus Outlook Androidille ja iOS:lle

Vaatimukset S/MIME Perustaa

Optimaalisen suojauksen varmistamiseksi Exchange Onlinessa on erittäin tärkeää määrittää S/MIME kohdassa määriteltyjen ohjeiden mukaisestiConfigure S/MIME Exchange Onlinessa' käsikirja. Tämä prosessi sisältää virtuaalisen varmennekokoelman luomisen ja varmenteiden kumoamisluettelon asettamisen julkisesti saataville Internetissä. 

Sekä manuaalisissa että automaattisissa varmenteiden jakelutavoissa on erittäin tärkeää, että varmenteiden luotetut juuriketjut ovat käytettävissä Exchange Onlinen virtuaalisessa kokoelmassa tehokkaan luottamuksen vahvistamisen varmistamiseksi. Exchange Online vahvistaa varmenteen voimassaolon tarkistamalla jokaisen varmenneketjun linkin keskittyen luotetun juurivarmenteen paikantamiseen ja sen tilan vahvistamiseen mitätöintiluettelossa. Outlook-käyttäjille iOS- ja Android-käyttöjärjestelmissä sovellus vertailee käyttäjän tiliprofiilissa olevaa ensisijaista SMTP-osoitetta varmenteen aiheen tai vaihtoehtoisen nimen kanssa varmenteen vahvistamiseksi. S/MIME todistus; ristiriidat johtavat siihen, että varmennevaihtoehtoja ei ole saatavilla viestien allekirjoittamiseen tai salaukseen.

Manuaalinen sertifikaattien jakelu

Outlook for iOS ja Android tarjoaa toiminnon manuaaliseen varmenteiden asennukseen, jossa käyttäjät saavat varmenteensa sähköpostitse. Asentaakseen käyttäjät yksinkertaisesti napauttavat liitettä sovelluksessa ja käynnistävät asennusprosessin.  Käyttäjä voi viedä henkilökohtaisen varmenteensa ja lähettää sen omaan sähköpostiinsa Outlookin avulla.  Katso lisätietoja tästä artikkelista: Digitaalisen varmenteen vienti.

Automaattinen sertifikaattien jakelu

Outlook for iOS ja Android integroi automaattisen varmenteen toimituksen yksinomaan Microsoft Endpoint Managerin kautta rekisteröinnin tarjoajana.  iOS-avainnipun ainutlaatuinen arkkitehtuuri, joka erottaa järjestelmän ja julkaisijan avaimenperät ja rajoittaa kolmannen osapuolen sovellusten pääsyn järjestelmän avainnippuun, edellyttää, että Outlook for iOS -varmenteet tallennetaan Microsoftin julkaisijan avainnippuun. Tämän ansiosta Outlook for iOS voi käyttää näitä varmenteita vain Microsoftin omilla sovelluksilla, kuten Yritysportaalilla, joilla on lupa sijoittaa varmenteita tähän avainnippuun.  Toisaalta Outlook for Androidin automaattinen toimitus ja hyväksyntä S/MIME Endpoint Manager helpottaa varmenteita useissa Android-rekisteröintikehyksissä, mukaan lukien laitteen järjestelmänvalvoja, Android Enterprise -työprofiili ja täysin hallitut Android Enterprise -skenaariot. Jotta varmenteet toimitetaan onnistuneesti Outlook for iOS:lle ja Androidille, tietyt keskeiset vaatimukset on täytettävä:

• Luotetut juurivarmenteet on otettava käyttöön Endpoint Managerin avulla. Ohjeita luotettujen varmenneprofiilien luomiseen löytyy tästä asiaankuuluvasta dokumentaatiosta: Luo luotettavia varmenneprofiileja. 
• Salaussertifikaatit on tuotava Endpoint Manageriin; Ohjeet löytyvät täältä: Määritä ja käytä tuotuja PKCS-varmenteita Intunessa.
• Microsoft Intunen PFX-liitin tulee asentaa ja määrittää. Vaiheet löytyvät täältä: Lataa, asenna ja määritä PFX Certificate Connector Microsoft Intunelle.
• Lopuksi laitteet on rekisteröitävä, jotta ne vastaanottavat automaattisesti luotetut pääkäyttäjät S/MIME varmenteita Endpoint Managerista.

Outlook iOS automaattinen varmenteiden jakelu

1. Kirjaudu sisään Microsoft Endpoint Manager.
2. Navigoida johonkin Sovellukset: ja valitse sitten Sovelluksen määrityskäytännöt.
3. On Sovelluksen määrityskäytännöt, Valitse Lisää Ja valitse Hallitut laitteet aloittaaksesi sovelluksen määrityskäytännön luomisen.
4. "Perusasiat'-osio, syötä 'Nimi"ja haluttaessa "Kuvaussovelluksesi määritysasetuksiin.
5. Valitse "iOS / iPadOS' alla 'foorumi".
6. varten 'Kohdennettu sovellus', Klikkaa 'Valitse sovellus', sitten 'Liittynyt sovellus'sivu, valitse'Microsoft Outlookja vahvista näppäimelläOK".
7. Jatka kohtaan 'Kokoonpanoasetukset' syöttääksesi määritystietosi.
8. Klikkaa 'S/MIME' päästäksesi Outlookin tiettyihin asetuksiin S/MIME.
9. Aseta 'Enable S/MIME'on'Kyllä'. Voit sallia käyttäjien muuttaa tätä asetusta valitsemallaKyllä (sovelluksen oletusarvo)" tai rajoittaa muutoksia valitsemalla "Ei".
10. Päätä, haluatkoSalaa kaikki sähköpostit'valitsemalla'Kyllä"tai"Ei' ja vastaavasti sallia tai rajoittaa käyttäjän muuttaa tätä asetusta.
11. Päätä onkoAllekirjoita kaikki sähköpostit' valitsemalla 'Kyllä"tai"Ei', jossa on samat vaihtoehdot käyttäjän säätöjen sallimiseen tai estämiseen.
12. Ota tarvittaessa käyttöön LDAP-URL vastaanottajan varmenteen hakua varten.
13. Varmista, että olet määrittänytSijoittaa S/MIME sertifikaatit Intunelta'on'Kyllä".
14. Alle  Varmenteiden allekirjoittaminen vieressä Varmenteen profiilin tyyppi, harkitse yhtä näistä kolmesta vaihtoehdosta:
    • SCEP: Tämä vaihtoehto luo yksilöllisen varmenteen sekä laitteelle että käyttäjälle, joka sopii Microsoft Outlookin allekirjoitustarkoituksiin. Jos haluat ymmärtää SCEP-sertifikaattiprofiilien edellytykset, katso ohjaavat infrastruktuurin määrittämisestä tukemaan SCEP:tä Intunen kanssa.
    • PKCS:n tuodut sertifikaatit: Tämän valinnassa käytetään käyttäjäkohtaista varmennetta, jota voidaan käyttää useissa laitteissa ja jonka järjestelmänvalvoja on tuonut käyttäjälle Endpoint Manageriin. Tämä varmenne määritetään automaattisesti mille tahansa käyttäjän rekisteröimille laitteille, ja Endpoint Manager valitsee sopivan allekirjoitusvarmenteen kullekin rekisteröityneelle käyttäjälle. Katso lisätietoja PKCS:n tuotujen sertifikaattien käytöstä ohjeet PKCS-varmenteiden määrittämisestä ja käyttämisestä Intunen kanssa.
    • Johdetut valtuustiedot: Tämä valinta edellyttää olemassa olevan varmenteen käyttämistä allekirjoittamiseen tarkoitetussa laitteessa. Se edellyttää varmenteen hakemista laitteelta Intunen johdettujen valtuustietoprosessien kautta.
15. Alle Salaussertifikaatit vieressä Varmenteen profiilin tyyppi, harkitse jotakin seuraavista vaihtoehdoista:
    • PKCS:n tuodut sertifikaatit: Tämä valinta mahdollistaa järjestelmänvalvojan aiemmin Endpoint Manageriin tuomien salaussertifikaattien toimittamisen kaikille käyttäjän rekisteröimille laitteille. Endpoint Manager valitsee itsenäisesti sopivan tuodun varmenteen tai sertifikaatit, jotka helpottavat salausta ja jakaa ne rekisteröityneen käyttäjän laitteisiin.
    • Johdetut valtuustiedot: Tämä vaihtoehto käyttää laitteessa olemassa olevaa varmennetta salaustarkoituksiin. Varmenne tulee hankkia laitteella Intunessa johdettujen käyttöoikeustietojen työnkulkujen kautta.
16. Pääkäyttäjät voivat valita varmenteen hakua koskevia loppukäyttäjien ilmoituksia varten joko yritysportaalin tai sähköpostin ilmoitustavaksi. iOS-käyttöjärjestelmässä käyttäjien on käytettävä Yritysportaali-sovellusta omien tietojensa hakemiseen S/MIME varmenteita, joissa heille ilmoitetaan sovelluksen Ilmoitukset-osion, push-ilmoituksen tai sähköpostin kautta. Nämä ilmoitukset ohjaavat käyttäjät tietylle aloitussivulle, joka näyttää varmenteen haun edistymisen, jonka jälkeen he voivat hyödyntää S/MIME Microsoft Outlook for iOS -sovelluksessa sähköpostin allekirjoittamista ja salausta varten.
    
    Loppukäyttäjän ilmoitukset varmenteen hakuun ovat saatavilla kahdessa eri vaihtoehdossa:
    • Yritysportaali: Tämän vaihtoehdon valitseminen lähettää push-ilmoituksen käyttäjän laitteelle, joka ohjaa hänet yritysportaalin aloitussivulle, jossa hän voi käyttää S/MIME todistukset.
    • Sähköposti: Sähköposti-ilmoituksen valitseminen lähettää loppukäyttäjälle viestin, joka kehottaa häntä avaamaan yritysportaalin hakeakseen S/MIME todistukset. 

Outlook-Android varmenteiden automaattinen jakelu

1. Kirjaudu sisään Microsoft Endpoint Manager.
2. Luo joko SCEP- tai PKCS-varmenneprofiili ja määritä se mobiilikäyttäjillesi.
3. Mene 'Sovellukset:', valitse sitten 'Sovelluksen määrityskäytännöt".
4. "Sovelluksen määrityskäytännöt'-osio, napsauta 'Lisää"ja valitse"Hallitut laitteet' aloittaaksesi sovelluksen määrityskäytännön määrityksen.
5. "Perusasiat"alue, tarjoa"Nimi"ja valinnainen"Kuvaussovelluksesi määritysasetuksiin.
6. Valitse "AndroidEnterprise'kuten'foorumi'Ja'Kaikki profiilityypit'kuten'Profiilin tyyppi".
7. Alla 'Kohdennettu sovellus', valitse'Valitse sovellus', sitten 'Liittynyt sovellus' sivu, valitse 'Microsoft Outlookja vahvista näppäimelläOK".
8. Klikkaa 'Kokoonpanoasetukset' tiettyjen asetusten syöttämiseksi. Valita 'Käytä konfigurointisuunnittelijaa' vieressä 'Konfigurointiasetusten muoto', säätämällä oletusasetuksia tarpeen mukaan. 
9. Käytä 'S/MIME' -osiossa Outlookin säätämiseksi S/MIME asetukset.
10. Aseta 'Enable S/MIME'on'Kyllä', jossa järjestelmänvalvojat voivat sallia tai rajoittaa käyttäjiä muuttamasta tätä asetusta.
11. Päätä haluatkoSalaa kaikki sähköpostit', jolloin järjestelmänvalvojat voivat valita, sallivatko käyttäjät muuttaa tätä asetusta.
12. Valitse haluatkoAllekirjoita kaikki sähköpostit', jossa taas järjestelmänvalvojat voivat hallita käyttäjien pääsyä tähän asetukseen.
13. Käytä lopuksi 'toimeksiannot' määrittääksesi sovelluksen määrityskäytännön asianmukaisille Microsoft Entra -ryhmille. 

Aktivointi S/MIME asiakkaassa

Käyttäjille, jotka voivat katsella tai luoda aiheeseen liittyvää sisältöä S/MIME Outlook for iOS:ssä ja Androidissa on välttämätöntä S/MIME on aktivoitu. Tämä edellyttää, että loppukäyttäjät kytkevät päälle manuaalisesti S/MIME toimintoja tiliasetuksissa siirtymällä Suojaus-osioon ja vaihtamalla S/MIME ohjaus, joka on alun perin pois päältä.

LDAP-tuki

LDAP (Lightweight Directory Access Protocol) on alan standardiprotokolla hakemistotietopalvelujen käyttämiseen ja hallintaan. Sitä käytetään yleisesti tietojen tallentamiseen ja hakemiseen käyttäjistä, ryhmistä, organisaatiorakenteista ja muista resursseista verkkoympäristössä. LDAP:n integrointi S/MIME sertifikaatit sisältävät LDAP:n käyttämisen hakemistopalveluna käyttäjän varmenteiden tallentamiseen ja hallintaan. Integroimalla LDAP:n kanssa S/MIME sertifikaatit, organisaatiot voivat keskittää varmenteiden hallinnan, parantaa turvallisuutta ja virtaviivaistaa varmenteiden haku- ja todennusprosessia erilaisissa sovelluksissa ja palveluissa, jotka hyödyntävät LDAP:tä hakemistopalveluna.

Opas LDAP-integraatiosta SSL.comin kanssa S/MIME todistukset, katso tämä artikkeli: LDAP-integrointi S/MIME Sertifikaatit.