S/MIME Outlook Android および iOS のインストール

要件 S/MIME

Exchange Online で最適なセキュリティを確保するには、次の構成が重要です。 S/MIME に指定されているガイドラインに従って、構成 S/MIME Exchange Online で'マニュアル。このプロセスには、仮想証明書コレクションを確立し、証明書失効リストをインターネット上で公開することが含まれます。 

手動と自動の両方の証明書配布方法において、効果的な信頼性検証のためには、Exchange Online の仮想コレクション内で証明書の信頼されたルート チェーンにアクセスできることが重要です。 Exchange Online は、信頼されたルート証明書を見つけてその状態を失効リストと照合して確認することに重点を置き、証明書チェーン内の各リンクを検証することによって証明書の有効性を確認します。 iOS および Android の Outlook ユーザーの場合、アプリはユーザーのアカウント プロファイル内のプライマリ SMTP アドレスと証明書のサブジェクトまたは代替名を相互参照して、 S/MIME 証明書;不一致があると、メッセージの署名または暗号化のための証明書オプションが使用できなくなります。

証明書の手動配布

iOS および Android 用の Outlook は、ユーザーが電子メールで証明書を受け取る手動証明書インストール機能を提供します。インストールするには、ユーザーはアプリ内の添付ファイルをタップするだけで、セットアップ プロセスが開始されます。  ユーザーは、Outlook を使用して個人証明書をエクスポートし、自分の電子メールに送信することができます。  詳細については、次の記事を参照してください。 デジタル証明書のエクスポート.

証明書の自動配布

iOS および Android 用の Outlook は、登録プロバイダーとして Microsoft エンドポイント マネージャーのみを介して自動証明書配信を統合します。  iOS キーチェーンの独自のアーキテクチャは、システム キーチェーンと発行者キーチェーンを区別し、システム キーチェーンへのサードパーティ アプリのアクセスを制限するため、iOS 用 Outlook の証明書を Microsoft 発行者キーチェーンに保存する必要があります。これにより、このキーチェーンに証明書を配置する権限のあるポータル サイトなどの Microsoft 独自のアプリのみを使用して、iOS 版 Outlook がこれらの証明書にアクセスできるようになります。  逆に、Outlook for Android の自動配信と承認は、 S/MIME 証明書は、デバイス管理者、Android Enterprise 仕事用プロファイル、フルマネージド Android Enterprise シナリオなど、さまざまな Android 登録フレームワークにわたってエンドポイント マネージャーによって容易に利用できます。 iOS および Android 用の Outlook に証明書を正常に配信するには、特定の主要な要件を満たす必要があります。

• 信頼されたルート証明書は、エンドポイント マネージャーを使用して展開する必要があります。信頼できる証明書プロファイルの作成に関するガイダンスは、次の関連ドキュメントに記載されています。 信頼できる証明書プロファイルを作成する. 
• 暗号化証明書を Endpoint Manager にインポートする必要があります。手順は次の場所にあります。 インポートされた PKCS 証明書を Intune で構成して使用する.
• Microsoft Intune 用の PFX コネクタをインストールして構成する必要があります。手順は次のとおりです。 Microsoft Intune 用の PFX Certificate Connector をダウンロード、インストール、構成する.
• 最後に、信頼されたルートとデバイスを自動的に受信するには、デバイスを登録する必要があります。 S/MIME エンドポイント マネージャーからの証明書。

Outlook iOS の証明書の自動配布

1. ログイン時に マイクロソフト エンドポイント マネージャー.
2. MFAデバイスに移動する アプリ 次に選択します アプリ構成ポリシー.
3. ソフトウェア設定ページで、下図のように アプリ構成ポリシー、クリック Add 選択して 管理対象デバイス アプリ構成ポリシーの作成を開始します。
4. の中に 'の基礎' セクションには、' を入力してください名前 '、および必要に応じて '説明' アプリ構成設定用。
5. 選択 'iOS / iPadOS' 下 'プラットフォーム'。
6. にとって '対象アプリ'、 クリック 'アプリを選択'、その後、'関連アプリ「ページ、選択」Microsoft Outlookの' そして ' で確認しますOK'。
7. 「」に進んでください構成設定' をクリックして構成の詳細を入力します。
8. クリック 'S/MIME' Outlook の特定の設定にアクセスするには S/MIME.
9. 設定 '有効にします S/MIME「から」有り'。 「」を選択すると、ユーザーがこの設定を変更できるようにするオプションがあります。有り (アプリのデフォルト)」を選択するか、「」を選択して変更を制限します。いいえ'。
10. するかどうかを決定します。すべてのメールを暗号化する「選択することで」有り'または'いいえ' と同様に、ユーザーによるこの設定の変更を許可または制限します。
11. するかどうかを決定します。すべてのメールに署名する' を選択すると有り'または'いいえ'、ユーザーによる調整を許可または禁止するための同じオプションを使用します。
12. 必要に応じて、受信者の証明書を検索するための LDAP URL を実装します。
13. 必ず「」を設定してください配備します S/MIME Intune からの証明書「から」有り'。
14.   証明書への署名 の隣に 証明書プロファイルのタイプの場合は、次の 3 つのオプションのいずれかを検討してください。
    • SCEP: このオプションは、Microsoft Outlook の署名目的に適した、デバイスとユーザーの両方に一意の証明書を生成します。 SCEP 証明書プロファイルの前提条件を理解するには、次を参照してください。 ガイド Intune で SCEP をサポートするためのインフラストラクチャの構成について説明します。
    • PKCS インポートされた証明書: これを選択すると、ユーザーの管理者によってエンドポイント マネージャーにインポートされた、複数のデバイス間で使用できるユーザー固有の証明書が利用されます。この証明書は、エンドポイント マネージャーが登録ユーザーごとに適切な署名証明書を選択することにより、ユーザーが登録したデバイスに自動的に割り当てられます。 PKCS インポートされた証明書の利用の詳細については、 説明書 Intune での PKCS 証明書の構成と使用について。
    • 派生資格情報: この選択には、署名用に指定されたデバイス上の既存の証明書の使用が含まれます。 Intune の派生資格情報プロセスを通じてデバイス上の証明書を取得する必要があります。
15. 暗号化証明書 の隣に 証明書プロファイルのタイプの場合は、次のいずれかのオプションを検討してください。
    • PKCS インポートされた証明書: この選択により、管理者によって以前にエンドポイント マネージャーにインポートされた暗号化証明書を、ユーザーが登録したすべてのデバイスに配信できるようになります。 Endpoint Manager は、暗号化を容易にする適切なインポートされた証明書を自律的に選択し、登録されたユーザーのデバイスに配布します。
    • 派生資格情報: このオプションは、暗号化の目的でデバイス上の既存の証明書を利用します。証明書は、Intune の派生資格情報ワークフローを介してデバイス上で取得する必要があります。
16. 証明書の取得に関するエンドユーザー通知の場合、管理者は通知方法としてポータル サイトまたは電子メールのいずれかを選択できます。 iOS では、ユーザーはポータル サイト アプリを使用して自分の情報を取得する必要があります。 S/MIME 証明書の場合、アプリの通知セクション、プッシュ通知、または電子メールを通じて通知されます。これらの通知により、ユーザーは証明書の取得の進行状況を表示する特定のランディング ページに誘導され、その後、証明書を利用できるようになります。 S/MIME iOS 版 Microsoft Outlook で電子メールの署名と暗号化を行います。
    
    証明書取得に関するエンドユーザー通知は、次の 2 つの異なるオプションで利用できます。
    • ポータルサイト: このオプションを選択すると、ユーザーのデバイスにプッシュ通知が送信され、ポータル サイトのランディング ページにアクセスできるようになります。 S/MIME 証明書。
    • メール : 電子メール通知を選択すると、エンド ユーザーにメッセージが送信され、ポータル サイトを開いて通知を取得するよう求められます。 S/MIME 証明書。 

Outlook-Android 証明書の自動配布

1. ログインする マイクロソフト エンドポイント マネージャー.
2. SCEP または PKCS 証明書プロファイルを作成し、モバイル ユーザーに割り当てます。
3. 」に移動しますアプリ'、次に'を選択しますアプリ構成ポリシー'。
4. の中に 'アプリ構成ポリシー「」セクションで、「」をクリックしますAdd「そして」を選択管理対象デバイス' アプリ構成ポリシーのセットアップを開始します。
5. の中に 'の基礎' 領域には、' を指定してください名前 ' とオプションの '説明' アプリ構成設定用。
6. 選択 'Androidエンタープライズ'として'プラットフォーム'と'すべてのプロファイル タイプ'として'プロファイルの種類'。
7. 下 '対象アプリ'、'を選択アプリを選択'、その後、'関連アプリ「ページ、選択」Microsoft Outlookの' そして ' で確認しますOK'。
8. クリック '構成設定' を使用して特定の設定を入力します。 選ぶ '構成デザイナーを使用する' の隣に '構成設定の形式' 必要に応じてデフォルト設定を調整します。 
9. 'にアクセスするS/MIME' セクションを使用して Outlook の設定を調整します S/MIME 設定を行います。
10. 設定 '有効にします S/MIME「から」有り' には、管理者がユーザーによるこの設定の変更を許可または制限するオプションがあります。
11. したいかどうかを決めてください。すべてのメールを暗号化する' これにより、管理者はユーザーにこの設定の変更を許可するかどうかを選択できるようになります。
12. 'すべてのメールに署名する' と同様に、管理者がこの設定へのユーザー アクセスを制御できるようになります。
13. 最後に、「」を使用します。割り当て' アプリ構成ポリシーを適切な Microsoft Entra グループに割り当てます。 

活性化 S/MIME クライアントで

ユーザーが関連コンテンツを閲覧または作成するため S/MIME iOS および Android 用の Outlook では、次のことが重要です。 S/MIME がアクティブ化されます。これにはエンドユーザーが手動で有効にする必要があります S/MIME アカウント設定内の機能を利用するには、「セキュリティ」セクションに移動し、 S/MIME 初期状態ではオフに設定されています。

LDAPサポート

LDAP (Lightweight Directory Access Protocol) は、ディレクトリ情報サービスにアクセスして管理するための業界標準プロトコルです。これは、ネットワーク環境内のユーザー、グループ、組織構造、およびその他のリソースに関する情報を保存および取得するために一般的に使用されます。 LDAP との統合 S/MIME 証明書には、ユーザー証明書を保存および管理するためのディレクトリ サービスとして LDAP を利用することが含まれます。 LDAP を統合することで、 S/MIME 証明書を使用すると、組織は証明書管理を一元化し、セキュリティを強化し、ディレクトリ サービスとして LDAP を利用するさまざまなアプリケーションやサービスでの証明書の取得と認証のプロセスを合理化できます。

LDAP と SSL.com の統合に関するガイドについては、 S/MIME 証明書については、この記事を参照してください。 LDAPとの統合 S/MIME 鑑定書.