S/MIME Installation pour Outlook Android et iOS

Exigences pour S/MIME installation

Pour garantir une sécurité optimale dans Exchange Online, il est crucial de configurer S/MIME selon les directives spécifiées dans le 'Configurer S/MIME dans Exchange en ligne' manuel. Ce processus implique l'établissement d'une collection de certificats virtuels et la mise à disposition publique de la liste de révocation de certificats sur Internet. 

Dans les méthodes de distribution de certificats manuelles et automatisées, il est essentiel que les chaînes racine de confiance des certificats soient accessibles au sein de la collection virtuelle de votre Exchange Online pour une vérification de confiance efficace. Exchange Online confirme la validité d'un certificat en vérifiant chaque maillon de la chaîne de certificats, en mettant l'accent sur la localisation d'un certificat racine approuvé et en confirmant son statut par rapport à la liste de révocation. Pour les utilisateurs d'Outlook sur iOS et Android, l'application croise l'adresse SMTP principale dans le profil de compte de l'utilisateur avec l'objet du certificat ou un autre nom pour valider le S/MIME certificat; les incohérences entraînent l'indisponibilité des options de certificat pour signer ou chiffrer les messages.

Distribution manuelle des certificats

Outlook pour iOS et Android offre une fonctionnalité d'installation manuelle des certificats où les utilisateurs reçoivent leurs certificats par courrier électronique. Pour l'installer, les utilisateurs appuient simplement sur la pièce jointe dans l'application, lançant ainsi le processus de configuration.  Un utilisateur a la possibilité d'exporter son certificat personnel et de l'envoyer à sa propre messagerie à l'aide d'Outlook.  Pour plus de détails, reportez-vous à cet article : Exporter un certificat numérique.

Distribution automatisée des certificats

Outlook pour iOS et Android intègre la délivrance automatisée de certificats exclusivement via Microsoft Endpoint Manager en tant que fournisseur d'inscription.  L’architecture unique du trousseau iOS, qui fait la différence entre les trousseaux système et éditeur et restreint l’accès des applications tierces au trousseau système, nécessite que les certificats pour Outlook pour iOS soient stockés dans le trousseau éditeur Microsoft. Cela permet à Outlook pour iOS d'accéder à ces certificats, seules les applications de Microsoft, telles que le portail d'entreprise, étant autorisées à placer des certificats dans ce trousseau.  À l'inverse, la livraison et l'approbation automatisées d'Outlook pour Android des S/MIME Les certificats sont facilités par Endpoint Manager dans divers cadres d'inscription Android, notamment l'administrateur d'appareil, le profil professionnel Android Enterprise et les scénarios Android Enterprise entièrement gérés. Pour délivrer avec succès des certificats à Outlook pour iOS et Android, certaines exigences clés doivent être remplies :

• Les certificats racine de confiance doivent être déployés à l'aide d'Endpoint Manager. Des conseils sur la création de profils de certificats de confiance peuvent être trouvés dans cette documentation pertinente : Créer des profils de certificats de confiance. 
• Il est nécessaire d'importer les certificats de chiffrement dans Endpoint Manager ; Les instructions peuvent être trouvées ici: Configurer et utiliser des certificats PKCS importés avec Intune.
• Le connecteur PFX pour Microsoft Intune doit être installé et configuré. Les étapes peuvent être trouvées ici : Téléchargez, installez et configurez le connecteur de certificat PFX pour Microsoft Intune.
• Enfin, les appareils doivent être inscrits pour recevoir automatiquement les racines et S/MIME certificats d’Endpoint Manager.

Distribution automatisée des certificats Outlook iOS

1. Connectez-vous à Gestionnaire de points de terminaison Microsoft.
2. Accédez à Applications puis sélectionnez Politiques de configuration des applications.
3. Sur le Politiques de configuration des applicationscliquez Ajouter et choisissez Appareils gérés pour lancer la création d’une stratégie de configuration d’application.
4. Dans le 'Basics', saisissez un 'Nom' et, si vous le souhaitez, un 'Description' pour les paramètres de configuration de votre application.
5. Sélectionnez 'iOS / iPadOS' sous 'Plateforme'.
6. Pour 'Application ciblée', cliquer sur 'Sélectionnez une application', puis sur le 'Application associée'page, choisissez 'Microsoft Outlook' et confirmez avec 'OK'.
7. Procéder à 'Paramètres de configuration' pour saisir les détails de votre configuration.
8. Cliquer sur 'S/MIME' pour accéder aux paramètres spécifiques à Outlook S/MIME.
9. Régler 'Activer S/MIME' à 'Oui'. Vous avez la possibilité d'autoriser les utilisateurs à modifier ce paramètre en sélectionnant 'Oui (application par défaut)', ou pour restreindre les modifications en optant pour 'Non'.
10. Décidez si vous devez 'Crypter tous les e-mails' en choisissant 'Oui' ou 'Non', et de la même manière, autorisez ou restreignez la modification de ce paramètre par l'utilisateur.
11. Déterminez s'il faut 'Signez tous les e-mails' en sélectionnant 'Oui' ou 'Non', avec les mêmes options pour autoriser ou empêcher les ajustements de l'utilisateur.
12. Si nécessaire, implémentez une URL LDAP pour la recherche du certificat du destinataire.
13. Assurez-vous de définir 'Déployer S/MIME certificats d'Intune' à 'Oui'.
14. Sous  Certificats de signature à côté de Type de profil de certificat, envisagez l'une de ces trois options :
    • SCEP: Cette option génère un certificat unique pour l'appareil et l'utilisateur, adapté aux besoins de signature de Microsoft Outlook. Pour comprendre les conditions préalables aux profils de certificat SCEP, reportez-vous au guide sur la configuration de l’infrastructure pour prendre en charge SCEP avec Intune.
    • Certificats importés PKCS : Cette option utilise un certificat spécifique à l'utilisateur qui peut être utilisé sur plusieurs appareils, ayant été importé dans Endpoint Manager par l'administrateur de l'utilisateur. Ce certificat est automatiquement attribué à tout appareil enregistré par l'utilisateur, Endpoint Manager sélectionnant le certificat de signature approprié pour chaque utilisateur inscrit. Pour plus de détails sur l'utilisation des certificats importés PKCS, consultez le Des instructions sur la configuration et l'utilisation des certificats PKCS avec Intune.
    • Informations d'identification dérivées: Ce choix implique d'utiliser un certificat préexistant sur l'appareil désigné pour la signature. Cela nécessite la récupération du certificat sur l’appareil via les processus d’informations d’identification dérivées d’Intune.
15. Sous Certificats de chiffrement à côté de Type de profil de certificat, envisagez l'une des options suivantes :
    • Certificats importés PKCS: ce choix permet la fourniture de certificats de chiffrement, préalablement importés dans Endpoint Manager par un administrateur, sur tous les appareils inscrits par un utilisateur. Endpoint Manager sélectionnera de manière autonome le ou les certificats importés appropriés qui facilitent le chiffrement, et les distribuera aux appareils de l'utilisateur inscrit.
    • Informations d'identification dérivées: Cette option utilise un certificat existant sur l'appareil à des fins de cryptage. Le certificat doit être obtenu sur l’appareil via les flux de travail d’informations d’identification dérivés dans Intune.
16. Pour les notifications des utilisateurs finaux concernant la récupération de certificat, les administrateurs ont la possibilité de sélectionner le portail d'entreprise ou l'e-mail comme méthode de notification. Sur iOS, les utilisateurs doivent utiliser l'application Company Portal pour récupérer leurs S/MIME certificats, où ils seront alertés via la section Notifications de l'application, une notification push ou un e-mail. Ces notifications dirigent les utilisateurs vers une page de destination spécifique qui affiche la progression de la récupération du certificat, après quoi ils peuvent utiliser S/MIME dans Microsoft Outlook pour iOS pour la signature et le chiffrement des e-mails.
    
    Les notifications de l'utilisateur final pour la récupération de certificat sont disponibles dans deux options distinctes :
    • Portail d'entreprise: Le choix de cette option enverra une notification push à l'appareil de l'utilisateur, le dirigeant vers la page d'accueil du portail d'entreprise où il pourra accéder à son S/MIME certificats.
    • Email: La sélection de la notification par e-mail enverra un message à l'utilisateur final, l'invitant à ouvrir le portail de l'entreprise pour récupérer son S/MIME certificats. 

Outlook-Android distribution automatisée des certificats

1. Se connecter à Gestionnaire de points de terminaison Microsoft.
2. Créez un profil de certificat SCEP ou PKCS et attribuez-le à vos utilisateurs mobiles.
3. Aller à 'Applications', puis sélectionnez 'Politiques de configuration des applications'.
4. Dans le 'Politiques de configuration des applications', cliquez sur 'Ajouter'et choisissez'Appareils gérés' pour lancer la configuration de la stratégie de configuration de l'application.
5. Dans le 'Basics', fournissez un 'Nom' et un ' facultatifDescription' pour les paramètres de configuration de votre application.
6. Sélectionnez 'Android Enterprise' comme le 'Plateforme' et 'Tous les types de profils' comme le 'Type de profil'.
7. En dessous de 'Application ciblée', choisissez'Sélectionnez une application', puis sur le 'Application associée', sélectionnez 'Microsoft Outlook' et confirmez avec 'OK'.
8. Cliquer sur 'Paramètres de configuration' pour saisir des paramètres spécifiques. Opter pour 'Utiliser le concepteur de configuration' près de 'Format des paramètres de configuration', en ajustant les paramètres par défaut selon les besoins. 
9. Accéder au 'S/MIME' section pour ajuster Outlook S/MIME paramètres.
10. Régler 'Activer S/MIME' à 'Oui', avec la possibilité pour les administrateurs d'autoriser ou d'empêcher les utilisateurs de modifier ce paramètre.
11. Décidez si vous voulez 'Crypter tous les e-mails', donnant aux administrateurs le choix d'autoriser les utilisateurs à modifier ce paramètre.
12. Choisissez si vous souhaitez 'Signez tous les e-mails', encore une fois avec la possibilité pour les administrateurs de contrôler l'accès des utilisateurs à ce paramètre.
13. Enfin, utilisez 'Missions' pour attribuer la stratégie de configuration de l'application aux groupes Microsoft Entra appropriés. 

Activation S/MIME chez le client

Pour que les utilisateurs puissent afficher ou créer du contenu lié à S/MIME dans Outlook pour iOS et Android, il est essentiel que S/MIME est activé. Cela nécessite que les utilisateurs finaux allument manuellement S/MIME fonctionnalité dans les paramètres de leur compte en accédant à la section Sécurité et en basculant le S/MIME commande, initialement désactivée.

Prise en charge de LDAP

LDAP (Lightweight Directory Access Protocol) est un protocole standard de l'industrie pour accéder et gérer les services d'informations d'annuaire. Il est couramment utilisé pour stocker et récupérer des informations sur les utilisateurs, les groupes, les structures organisationnelles et d'autres ressources dans un environnement réseau. Intégration de LDAP avec S/MIME Les certificats impliquent l'utilisation de LDAP comme service d'annuaire pour stocker et gérer les certificats utilisateur. En intégrant LDAP avec S/MIME certificats, les organisations peuvent centraliser la gestion des certificats, améliorer la sécurité et rationaliser le processus de récupération et d'authentification des certificats dans diverses applications et services qui exploitent LDAP comme service d'annuaire.

Pour un guide sur l'intégration LDAP avec SSL.com S/MIME certificats, veuillez vous référer à cet article : Intégration LDAP avec S/MIME Certificats.