S/MIME Installasjon for Outlook Android og iOS

Kravene til S/MIME Oppsett

For å sikre optimal sikkerhet i Exchange Online, er det avgjørende å konfigurere S/MIME i henhold til retningslinjene spesifisert i 'Konfigurer S/MIME i Exchange Online' Håndbok. Denne prosessen innebærer å etablere en virtuell sertifikatsamling og gjøre sertifikatopphevelseslisten offentlig tilgjengelig på internett. 

I både manuelle og automatiserte sertifikatdistribusjonsmetoder er det viktig at sertifikatenes pålitelige rotkjeder er tilgjengelige i Exchange Onlines virtuelle samling for effektiv tillitsverifisering. Exchange Online bekrefter gyldigheten til et sertifikat ved å verifisere hver lenke i sertifikatkjeden, med fokus på å finne et pålitelig rotsertifikat og bekrefte dets status mot tilbakekallingslisten. For Outlook-brukere på iOS og Android, kryssreferanser appen den primære SMTP-adressen i brukerens kontoprofil med sertifikatets emne eller alternative navn for å validere S/MIME sertifikat; uoverensstemmelser resulterer i utilgjengelighet av sertifikatalternativer for signering eller kryptering av meldinger.

Manuell sertifikatdistribusjon

Outlook for iOS og Android tilbyr en funksjon for manuell sertifikatinstallasjon der brukere mottar sertifikatene sine via e-post. For å installere, trykker brukere ganske enkelt på vedlegget i appen, og starter oppsettsprosessen.  En bruker har muligheten til å eksportere sitt personlige sertifikat og sende det til sin egen e-post ved hjelp av Outlook.  For ytterligere detaljer, se denne artikkelen: Eksport av et digitalt sertifikat.

Automatisert sertifikatdistribusjon

Outlook for iOS og Android integrerer automatisert sertifikatlevering eksklusivt gjennom Microsoft Endpoint Manager som påmeldingsleverandør.  Den unike arkitekturen til iOS-nøkkelringen, som skiller mellom system- og utgivernøkkelringer og begrenser tredjepartsapptilgang til systemnøkkelringen, nødvendiggjør at sertifikater for Outlook for iOS lagres i Microsofts utgivernøkkelring. Dette tillater Outlook for iOS å få tilgang til disse sertifikatene, med bare Microsofts egne apper, for eksempel Company Portal, autorisert til å plassere sertifikater i denne nøkkelringen.  Motsatt vil Outlook for Androids automatiserte levering og godkjenning av S/MIME sertifikater tilrettelegges av Endpoint Manager på tvers av ulike Android-registreringsrammeverk, inkludert enhetsadministrator, Android Enterprise-arbeidsprofil og fullt administrerte Android Enterprise-scenarier. For å kunne levere sertifikater til Outlook for iOS og Android, må visse nøkkelkrav oppfylles:

• Klarerte rotsertifikater må distribueres ved hjelp av Endpoint Manager. Veiledning om hvordan du oppretter pålitelige sertifikatprofiler finner du i denne relevante dokumentasjonen: Opprett pålitelige sertifikatprofiler. 
• Det er nødvendig å importere krypteringssertifikater til Endpoint Manager; Instruksjoner finner du her: Konfigurer og bruk importerte PKCS-sertifikater med Intune.
• PFX Connector for Microsoft Intune bør installeres og konfigureres. Fremgangsmåten finner du her: Last ned, installer og konfigurer PFX Certificate Connector for Microsoft Intune.
• Til slutt må enheter registreres for automatisk å motta pålitelige rot- og S/MIME sertifikater fra Endpoint Manager.

Outlook iOS automatisert distribusjon av sertifikater

1. Logg på Microsoft Endpoint Manager.
2. naviger til Apps og velg deretter Retningslinjer for appkonfigurasjon.
3. På Retningslinjer for appkonfigurasjonklikk Legg til Og velg Administrerte enheter for å starte opprettelsen av en appkonfigurasjonspolicy.
4. I "Grunnleggende' seksjon, skriv inn en 'Navn' og, om ønskelig, en 'Beskrivelse' for appkonfigurasjonsinnstillingene dine.
5. Plukke ut 'iOS / iPadOS"under"Plattform'.
6. for 'Målrettet app', klikk på'Velg app', deretter på 'Tilknyttet app' side, velg 'Microsoft Outlook' og bekreft med 'OK'.
7. Fortsett til 'Konfigurasjonsinnstillinger' for å legge inn konfigurasjonsdetaljene dine.
8. Klikk på 'S/MIME' for å få tilgang til de spesifikke innstillingene for Outlook S/MIME.
9. Sett 'aktiver S/MIME' til 'Ja'. Du har muligheten til å tillate brukere å endre denne innstillingen ved å velge 'Ja (app standard)', eller for å begrense endringer ved å velge 'Nei'.
10. Bestem om du skalKrypter alle e-poster'ved å velge'Ja'eller'Nei', og på lignende måte tillate eller begrense brukerendring av denne innstillingen.
11. Bestem om du skal 'Signer alle e-poster' ved å velge 'Ja'eller'Nei', med de samme alternativene for å tillate eller forhindre brukerjusteringer.
12. Implementer om nødvendig en LDAP-URL for mottakersertifikatoppslag.
13. Pass på at du setter 'Distribuer S/MIME sertifikater fra Intune' til 'Ja'.
14. Under  Signering av sertifikater ved siden av Sertifikatprofiltype, vurder ett av disse tre alternativene:
    • SCEP: Dette alternativet genererer et unikt sertifikat for både enheten og brukeren, egnet for Microsoft Outlooks signeringsformål. For å forstå forutsetningene for SCEP-sertifikatprofiler, se veilede om å konfigurere infrastruktur for å støtte SCEP med Intune.
    • PKCS-importerte sertifikater: Å velge dette bruker et brukerspesifikt sertifikat som kan brukes på tvers av flere enheter, etter å ha blitt importert til Endpoint Manager av administratoren for brukeren. Dette sertifikatet tildeles automatisk til enhver enhet som er registrert av brukeren, med Endpoint Manager som velger riktig signeringssertifikat for hver registrerte bruker. For detaljer om bruk av PKCS-importerte sertifikater, se instruksjoner om konfigurering og bruk av PKCS-sertifikater med Intune.
    • Avledet legitimasjon: Dette valget innebærer bruk av et allerede eksisterende sertifikat på enheten som er utpekt for signering. Det krever å hente sertifikatet på enheten gjennom Intunes avledede legitimasjonsprosesser.
15. Under Krypteringssertifikater ved siden av Sertifikatprofiltype, vurder ett av følgende alternativer:
    • PKCS-importerte sertifikater: Dette valget muliggjør levering av krypteringssertifikater, tidligere importert til Endpoint Manager av en administrator, på tvers av alle enheter som er registrert av en bruker. Endpoint Manager vil autonomt velge passende importerte sertifikater som letter kryptering, og distribuere dem til enhetene til den registrerte brukeren.
    • Avledet legitimasjon: Dette alternativet bruker et eksisterende sertifikat på enheten for krypteringsformål. Sertifikatet skal anskaffes på enheten via arbeidsflytene for avledet legitimasjon i Intune.
16. For sluttbrukervarsler angående henting av sertifikater har administratorer muligheten til å velge enten Firmaportal eller E-post som varslingsmetode. På iOS må brukere bruke Company Portal-appen for å hente sine S/MIME sertifikater, hvor de vil bli varslet gjennom appens varslingsseksjon, en push-varsling eller en e-post. Disse varslene leder brukerne til en bestemt landingsside som viser fremdriften for sertifikathenting, hvoretter de kan bruke S/MIME i Microsoft Outlook for iOS for e-postsignering og kryptering.
    
    Sluttbrukervarsler for henting av sertifikater er tilgjengelige i to forskjellige alternativer:
    • Bedriftsportal: Hvis du velger dette alternativet, sendes en push-varsling til brukerens enhet, som leder dem til bedriftsportalens landingsside hvor de kan få tilgang til S/MIME sertifikater.
    • Epost: Hvis du velger e-postvarsling, sendes en melding til sluttbrukeren som ber dem om å åpne firmaportalen for å hente sine S/MIME sertifikater. 

Outlook-Android automatisert distribusjon av sertifikater

1. Logg på Microsoft Endpoint Manager.
2. Opprett enten en SCEP- eller PKCS-sertifikatprofil og tilordne den til dine mobilbrukere.
3. Gå til 'Apps', velg deretter 'Retningslinjer for appkonfigurasjon'.
4. I "Retningslinjer for appkonfigurasjon" delen, klikk "Legg til'og velg'Administrerte enheter' for å starte oppsettet av appkonfigurasjonspolicyen.
5. I "Grunnleggende' område, oppgi en 'Navn' og en valgfri 'Beskrivelse' for appkonfigurasjonsinnstillingene dine.
6. Plukke ut 'AndroidEnterprise'som'Plattform'og'Alle profiltyper'som'Profiltype'.
7. Under 'Målrettet app', velg'Velg app', deretter på 'Tilknyttet app' side, velg 'Microsoft Outlook' og bekreft med 'OK'.
8. Klikk på 'Konfigurasjonsinnstillinger' for å legge inn spesifikke innstillinger. Velg 'Bruk konfigurasjonsdesigner' ved siden av 'Konfigurasjonsinnstillinger format', justere standardinnstillingene etter behov. 
9. Få tilgang til 'S/MIME'-delen for å justere Outlooks S/MIME innstillinger.
10. Sett 'aktiver S/MIME' til 'Ja', med mulighet for administratorer til å tillate eller begrense brukere fra å endre denne innstillingen.
11. Bestem om du vilKrypter alle e-poster', og gir administratorer valget om å tillate brukere å endre denne innstillingen.
12. Velg om du vil 'Signer alle e-poster', igjen med muligheten for administratorer til å kontrollere brukertilgang til denne innstillingen.
13. Til slutt, bruk 'Oppdrag' for å tildele appkonfigurasjonspolicyen til de aktuelle Microsoft Entra-gruppene. 

Aktivering S/MIME i klienten

For brukere å se eller lage innhold relatert til S/MIME i Outlook for iOS og Android er det viktig at S/MIME er aktivert. Dette krever at sluttbrukere slår seg på manuelt S/MIME funksjonalitet i kontoinnstillingene deres ved å navigere til Sikkerhetsdelen og veksle mellom S/MIME kontroll, som i utgangspunktet er satt til av.

LDAP-støtte

LDAP (Lightweight Directory Access Protocol) er en industristandardprotokoll for tilgang til og administrasjon av kataloginformasjonstjenester. Det brukes ofte til å lagre og hente informasjon om brukere, grupper, organisasjonsstrukturer og andre ressurser i et nettverksmiljø. Integrering av LDAP med S/MIME sertifikater innebærer å bruke LDAP som en katalogtjeneste for å lagre og administrere brukersertifikater. Ved å integrere LDAP med S/MIME sertifikater, kan organisasjoner sentralisere sertifikatadministrasjon, forbedre sikkerheten og strømlinjeforme prosessen med sertifikathenting og autentisering i ulike applikasjoner og tjenester som utnytter LDAP som en katalogtjeneste.

For en veiledning om LDAP-integrasjon med SSL.com S/MIME sertifikater, se denne artikkelen: LDAP-integrasjon med S/MIME sertifikater.