S/MIME Installatie voor Outlook Android en iOS

vereisten voor S/MIME Setup

Om optimale beveiliging in Exchange Online te garanderen, is het cruciaal om te configureren S/MIME volgens de richtlijnen gespecificeerd in de 'Configure S/MIME in Exchange Online' handmatig. Dit proces omvat het opzetten van een virtuele certificaatverzameling en het openbaar maken van de certificaatintrekkingslijst op internet. 

Bij zowel handmatige als geautomatiseerde distributiemethoden voor certificaten is het van essentieel belang dat de vertrouwde rootketens van de certificaten toegankelijk zijn binnen de virtuele verzameling van uw Exchange Online voor een effectieve verificatie van het vertrouwen. Exchange Online bevestigt de geldigheid van een certificaat door elke schakel in de certificaatketen te verifiëren, met de nadruk op het lokaliseren van een vertrouwd basiscertificaat en het bevestigen van de status ervan aan de hand van de intrekkingslijst. Voor Outlook-gebruikers op iOS en Android verwijst de app naar het primaire SMTP-adres in het accountprofiel van de gebruiker met het onderwerp of de alternatieve naam van het certificaat om de S/MIME certificaat; Mismatches resulteren in het niet beschikbaar zijn van certificaatopties voor het ondertekenen of coderen van berichten.

Handmatige certificaatdistributie

Outlook voor iOS en Android biedt een functie voor handmatige certificaatinstallatie waarbij gebruikers hun certificaten via e-mail ontvangen. Om te installeren, hoeven gebruikers eenvoudigweg op de bijlage in de app te tikken, waardoor het installatieproces wordt gestart.  Een gebruiker heeft de mogelijkheid om zijn persoonlijke certificaat te exporteren en naar zijn eigen e-mail te sturen met behulp van Outlook.  Raadpleeg dit artikel voor meer informatie: Een digitaal certificaat exporteren.

Geautomatiseerde certificaatdistributie

Outlook voor iOS en Android integreert geautomatiseerde levering van certificaten, uitsluitend via Microsoft Endpoint Manager als inschrijvingsprovider.  De unieke architectuur van de iOS-sleutelhanger, die onderscheid maakt tussen systeem- en uitgeverssleutelhangers en de toegang van apps van derden tot de systeemsleutelhanger beperkt, maakt het noodzakelijk dat certificaten voor Outlook voor iOS worden opgeslagen in de Microsoft-uitgeverssleutelhanger. Hierdoor heeft Outlook voor iOS toegang tot deze certificaten, waarbij alleen de eigen apps van Microsoft, zoals Company Portal, geautoriseerd zijn om certificaten in deze sleutelhanger te plaatsen.  Omgekeerd kan de geautomatiseerde levering en goedkeuring van Outlook voor Android S/MIME certificaten worden mogelijk gemaakt door de Endpoint Manager voor verschillende Android-inschrijvingsframeworks, waaronder apparaatbeheerder, Android Enterprise-werkprofiel en volledig beheerde Android Enterprise-scenario's. Om succesvol certificaten te leveren aan Outlook voor iOS en Android, moet aan bepaalde belangrijke vereisten worden voldaan:

• Vertrouwde basiscertificaten moeten worden geïmplementeerd met behulp van Endpoint Manager. Richtlijnen voor het maken van vertrouwde certificaatprofielen vindt u in deze relevante documentatie: Maak vertrouwde certificaatprofielen. 
• Het is noodzakelijk om encryptiecertificaten in Endpoint Manager te importeren; Instructies vindt u hier: Configureer en gebruik geïmporteerde PKCS-certificaten met Intune.
• De PFX Connector voor Microsoft Intune moet worden geïnstalleerd en geconfigureerd. Stappen zijn hier te vinden: Download, installeer en configureer de PFX Certificate Connector voor Microsoft Intune.
• Ten slotte moeten apparaten worden ingeschreven om automatisch vertrouwde root- en S/MIME certificaten van Endpoint Manager.

Outlook iOS geautomatiseerde distributie van certificaten

1. Inloggen Microsoft Eindpuntbeheer.
2. Navigeer naar Apps en selecteer vervolgens App-configuratiebeleid.
3. Op de App-configuratiebeleid, Klik Toevoegen En kies Beheerde apparaten om het maken van een app-configuratiebeleid te initiëren.
4. In de 'De Basis' sectie, voer een ' inNaam' en eventueel een 'Omschrijving' voor uw app-configuratie-instellingen.
5. Selecteer 'iOS / iPadOS' onder 'Platform'.
6. Voor 'Gerichte app', Klik op 'Selecteer app', dan op de 'Bijbehorende app'pagina, kies'Microsoft Outlook' en bevestig met 'OK'.
7. Overgaan tot 'Configuratie-instellingen' om uw configuratiegegevens in te voeren.
8. Klik op 'S/MIME' om toegang te krijgen tot de specifieke instellingen voor Outlook S/MIME.
9. Set 'Enable S/MIME' naar 'Ja'. U heeft de mogelijkheid om gebruikers toe te staan ​​deze instelling te wijzigen door 'Ja (app standaard)', of om wijzigingen te beperken door te kiezen voor 'Nee'.
10. Beslis of u 'Versleutel alle e-mails' door te kiezen 'Ja'of'Nee', en op dezelfde manier wijziging van deze instelling door de gebruiker toestaan ​​of beperken.
11. Bepaal of 'Onderteken alle e-mails' door selecteren 'Ja'of'Nee', met dezelfde opties voor het toestaan ​​of voorkomen van gebruikersaanpassingen.
12. Implementeer indien nodig een LDAP-URL voor het opzoeken van certificaten van ontvangers.
13. Zorg ervoor dat u 'Implementeren S/MIME certificaten van Intune' naar 'Ja'.
14. Onder  Certificaten ondertekenen naast Certificaatprofieltypeoverweeg dan een van deze drie opties:
    • SCEP: Deze optie genereert een uniek certificaat voor zowel het apparaat als de gebruiker, geschikt voor ondertekeningsdoeleinden van Microsoft Outlook. Om de vereisten voor SCEP-certificaatprofielen te begrijpen, raadpleegt u de gids over het configureren van de infrastructuur ter ondersteuning van SCEP met Intune.
    • PKCS geïmporteerde certificaten: Als u hiervoor kiest, wordt gebruik gemaakt van een gebruikersspecifiek certificaat dat op meerdere apparaten kan worden gebruikt, nadat het door de beheerder voor de gebruiker in Endpoint Manager is geïmporteerd. Dit certificaat wordt automatisch toegewezen aan elk apparaat dat door de gebruiker is geregistreerd, waarbij Endpoint Manager het juiste ondertekeningscertificaat voor elke ingeschreven gebruiker selecteert. Voor meer informatie over het gebruik van geïmporteerde PKCS-certificaten, zie de instructies over het configureren en gebruiken van PKCS-certificaten met Intune.
    • Afgeleide referenties: deze keuze impliceert het gebruik van een reeds bestaand certificaat op het apparaat dat is aangewezen voor ondertekening. Hiervoor moet het certificaat op het apparaat worden opgehaald via de afgeleide referentieprocessen van Intune.
15. Onder Encryptiecertificaten naast Certificaatprofieltypeoverweeg dan een van de volgende opties:
    • PKCS geïmporteerde certificaten: deze keuze maakt de levering van encryptiecertificaten mogelijk, die eerder door een beheerder in Endpoint Manager zijn geïmporteerd, op alle apparaten die door een gebruiker zijn ingeschreven. Endpoint Manager selecteert autonoom het geschikte geïmporteerde certificaat of de geschikte geïmporteerde certificaten die de codering vergemakkelijken en distribueert deze naar de apparaten van de ingeschreven gebruiker.
    • Afgeleide referenties: deze optie gebruikt een bestaand certificaat op het apparaat voor coderingsdoeleinden. Het certificaat moet op het apparaat worden verkregen via de afgeleide referentieworkflows in Intune.
16. Voor meldingen van eindgebruikers over het ophalen van certificaten hebben beheerders de mogelijkheid om Bedrijfsportal of E-mail als meldingsmethode te selecteren. Op iOS moeten gebruikers de Bedrijfsportal-app gebruiken om hun gegevens op te halen S/MIME certificaten, waar ze worden gewaarschuwd via het gedeelte Meldingen van de app, een pushmelding of een e-mail. Deze meldingen leiden gebruikers naar een specifieke landingspagina die de voortgang van het ophalen van het certificaat weergeeft, waarna ze deze kunnen gebruiken S/MIME in Microsoft Outlook voor iOS voor het ondertekenen en versleutelen van e-mail.
    
    Meldingen voor eindgebruikers voor het ophalen van certificaten zijn beschikbaar in twee verschillende opties:
    • Bedrijfsportal: Als u deze optie kiest, wordt er een pushmelding naar het apparaat van de gebruiker verzonden, zodat deze naar de startpagina van de bedrijfsportal wordt geleid, waar hij/zij toegang heeft tot zijn of haar S/MIME certificaten.
    • E-mail: als u e-mailmelding selecteert, wordt er een bericht naar de eindgebruiker verzonden, waarin hem wordt gevraagd de bedrijfsportal te openen om zijn/haar gegevens op te halen S/MIME certificaten. 

Outlook-Android geautomatiseerde distributie van certificaten

1. Inloggen Microsoft Eindpuntbeheer.
2. Maak een SCEP- of PKCS-certificaatprofiel en wijs dit toe aan uw mobiele gebruikers.
3. Ga naar 'Apps', selecteer vervolgens 'App-configuratiebeleid'.
4. In de 'App-configuratiebeleid' sectie, klik op 'Toevoegen'en kies'Beheerde apparaten' om het instellen van het app-configuratiebeleid te starten.
5. In de 'De Basis' gebied, geef een 'Naam' en een optionele 'Omschrijving' voor uw app-configuratie-instellingen.
6. Selecteer 'Android Enterprise'als de'Platform'en'Alle profieltypen'als de'Profiel Type'.
7. Onder 'Gerichte app', Kiezen 'Selecteer app', dan op de 'Bijbehorende app' pagina, selecteer 'Microsoft Outlook' en bevestig met 'OK'.
8. Klik op 'Configuratie-instellingen' om specifieke instellingen in te voeren. Kies voor 'Gebruik configuratieontwerper' naast 'Configuratie-instellingen formaat', waarbij u de standaardinstellingen indien nodig aanpast. 
9. Toegang krijgen tot 'S/MIME' sectie om Outlook's aan te passen S/MIME instellingen.
10. Set 'Enable S/MIME' naar 'Ja', met de optie voor beheerders om gebruikers toe te staan ​​of te beperken deze instelling te wijzigen.
11. Beslis of je wilt 'Versleutel alle e-mails', waardoor beheerders de keuze hebben om gebruikers toe te staan ​​deze instelling te wijzigen.
12. Kies of u 'Onderteken alle e-mails', wederom met de mogelijkheid voor beheerders om de gebruikerstoegang tot deze instelling te controleren.
13. Gebruik ten slotte 'opdrachten' om het app-configuratiebeleid toe te wijzen aan de juiste Microsoft Entra-groepen. 

Het activeren S/MIME bij de cliënt

Voor gebruikers om inhoud gerelateerd aan te bekijken of te maken S/MIME in Outlook voor iOS en Android is dat essentieel S/MIME is geactiveerd. Hiervoor moeten eindgebruikers handmatig worden ingeschakeld S/MIME functionaliteit binnen hun accountinstellingen door naar het gedeelte Beveiliging te navigeren en de S/MIME controle, die aanvankelijk is uitgeschakeld.

LDAP-ondersteuning

LDAP (Lightweight Directory Access Protocol) is een industriestandaardprotocol voor toegang tot en beheer van directory-informatiediensten. Het wordt vaak gebruikt voor het opslaan en ophalen van informatie over gebruikers, groepen, organisatiestructuren en andere bronnen in een netwerkomgeving. LDAP integreren met S/MIME Certificaten omvat het gebruik van LDAP als een directoryservice voor het opslaan en beheren van gebruikerscertificaten. Door LDAP te integreren met S/MIME certificaten kunnen organisaties het certificaatbeheer centraliseren, de beveiliging verbeteren en het proces van het ophalen en authenticeren van certificaten stroomlijnen in verschillende toepassingen en services die LDAP gebruiken als een directoryservice.

Voor een gids over LDAP-integratie met SSL.com S/MIME certificaten, raadpleeg dit artikel: LDAP-integratie met S/MIME Certificaten.