S/MIME Установка Outlook для Android и iOS

Требования к S/MIME Установка

Чтобы обеспечить оптимальную безопасность в Exchange Online, крайне важно настроить S/MIME в соответствии с рекомендациями, указанными в «Настроить S/MIME в Exchange Online' руководство. Этот процесс включает в себя создание виртуальной коллекции сертификатов и публикацию списка отзыва сертификатов в Интернете. 

Как при ручном, так и при автоматическом распространении сертификатов крайне важно, чтобы доверенные корневые цепочки сертификатов были доступны в виртуальной коллекции вашего Exchange Online для эффективной проверки доверия. Exchange Online подтверждает действительность сертификата, проверяя каждое звено в цепочке сертификатов, уделяя особое внимание поиску доверенного корневого сертификата и подтверждению его статуса в списке отзыва. Для пользователей Outlook на iOS и Android приложение перекрестно ссылается на основной SMTP-адрес в профиле учетной записи пользователя с субъектом сертификата или альтернативным именем для проверки подлинности. S/MIME сертификат; несоответствия приводят к недоступности параметров сертификата для подписи или шифрования сообщений.

Распространение сертификатов вручную

Outlook для iOS и Android предлагает функцию установки сертификатов вручную, при которой пользователи получают сертификаты по электронной почте. Для установки пользователи просто нажимают на вложение в приложении, запуская процесс установки.  Пользователь имеет возможность экспортировать свой личный сертификат и отправить его на свою электронную почту с помощью Outlook.  Дополнительную информацию можно найти в этой статье: Экспорт цифрового сертификата.

Автоматизированное распространение сертификатов

Outlook для iOS и Android интегрирует автоматическую доставку сертификатов исключительно через Microsoft Endpoint Manager в качестве поставщика регистрации.  Уникальная архитектура цепочки ключей iOS, которая различает цепочки ключей системы и издателя и ограничивает доступ сторонних приложений к цепочке ключей системы, требует хранения сертификатов для Outlook для iOS в цепочке ключей издателя Microsoft. Это позволяет Outlook для iOS получать доступ к этим сертификатам, при этом только собственные приложения Microsoft, такие как Корпоративный портал, имеют право размещать сертификаты в этой связке ключей.  И наоборот, автоматическая доставка и утверждение Outlook для Android S/MIME Сертификаты предоставляются Endpoint Manager в различных платформах регистрации Android, включая администратора устройства, рабочий профиль Android Enterprise и полностью управляемые сценарии Android Enterprise. Чтобы успешно доставить сертификаты в Outlook для iOS и Android, необходимо выполнить определенные ключевые требования:

• Доверенные корневые сертификаты необходимо развернуть с помощью Endpoint Manager. Руководство по созданию профилей доверенных сертификатов можно найти в соответствующей документации: Создание профилей доверенных сертификатов. 
• Необходимо импортировать сертификаты шифрования в Endpoint Manager; Инструкции можно найти здесь: Настройка и использование импортированных сертификатов PKCS с Intune.
• Соединитель PFX для Microsoft Intune должен быть установлен и настроен. Шаги можно найти здесь: Загрузите, установите и настройте соединитель сертификатов PFX для Microsoft Intune..
• Наконец, устройства должны быть зарегистрированы для автоматического получения доверенных корневых и S/MIME сертификаты от Endpoint Manager.

Автоматическая рассылка сертификатов Outlook iOS

1. Войти в Диспетчер конечных точек Microsoft.
2. Перейдите в Apps и затем выберите Политики конфигурации приложений.
3. На Политики конфигурации приложений, нажмите Добавить , а затем выбрать Управляемые устройства чтобы инициировать создание политики конфигурации приложения.
4. В 'Основы' раздел, введите 'Имя' и, при желании, 'Описание' для настроек конфигурации вашего приложения.
5. Выбрать 'iOS / iPadOS' под 'Платформа».
6. За 'Целевое приложение', нажмите на 'Выберите приложение', затем на 'Связанное приложение'страница, выбери'Microsoft Перспективы' и подтвердите с помощью 'OK».
7. Перейти к 'Настройки конфигурации', чтобы ввести данные конфигурации.
8. Нажмите на 'S/MIME', чтобы получить доступ к определенным настройкам Outlook S/MIME.
9. Установленный 'Включите S/MIME'to'Да'. У вас есть возможность разрешить пользователям изменять этот параметр, выбрав «Да (приложение по умолчанию)» или ограничить изменения, выбрав «Нет».
10. Решите, стоит ли 'Шифровать все электронные письма'выбирая'Да' или 'Нет', а также разрешить или запретить изменение пользователем этого параметра.
11. Определите, следует ли 'Подпишите все электронные письма'выбрав'Да' или 'Нет', с теми же опциями для разрешения или запрета пользовательских настроек.
12. При необходимости внедрите URL-адрес LDAP для поиска сертификата получателя.
13. Убедитесь, что вы установили 'Развертывание S/MIME сертификаты от Intune'to'Да».
14. Под  Подписание сертификатов рядом с Тип профиля сертификата, рассмотрите один из этих трех вариантов:
    • СКЭП: этот параметр создает уникальный сертификат как для устройства, так и для пользователя, подходящий для целей подписи Microsoft Outlook. Чтобы понять предварительные требования для профилей сертификатов SCEP, см. инструкция о настройке инфраструктуры для поддержки SCEP с Intune.
    • Импортированные сертификаты PKCS: При выборе этого варианта используется сертификат, специфичный для пользователя, который может использоваться на нескольких устройствах и который был импортирован в Endpoint Manager администратором пользователя. Этот сертификат автоматически назначается любому устройству, зарегистрированному пользователем, при этом Endpoint Manager выбирает соответствующий сертификат подписи для каждого зарегистрированного пользователя. Подробную информацию об использовании импортированных сертификатов PKCS см. инструкции о настройке и использовании сертификатов PKCS с Intune.
    • Производные учетные данные: этот выбор предполагает использование уже существующего сертификата на устройстве, предназначенном для подписи. Для этого требуется получить сертификат на устройстве с помощью процессов производных учетных данных Intune.
15. Под Сертификаты шифрования рядом с Тип профиля сертификата, рассмотрите один из следующих вариантов:
    • Импортированные сертификаты PKCS: этот выбор позволяет доставлять сертификаты шифрования, ранее импортированные администратором в Endpoint Manager, на все устройства, зарегистрированные пользователем. Endpoint Manager самостоятельно выберет подходящий импортированный сертификат или сертификаты, облегчающие шифрование, и распространит их на устройства зарегистрированного пользователя.
    • Производные учетные данные: этот вариант использует существующий сертификат на устройстве для целей шифрования. Сертификат следует получить на устройстве с помощью рабочих процессов производных учетных данных в Intune.
16. Для уведомлений конечных пользователей о получении сертификата администраторы могут выбрать в качестве метода уведомления Корпоративный портал или электронную почту. В iOS пользователи должны использовать приложение Корпоративного портала для получения своих S/MIME сертификаты, о которых они будут уведомлены через раздел «Уведомления» приложения, push-уведомление или электронное письмо. Эти уведомления направляют пользователей на определенную целевую страницу, на которой отображается ход получения сертификата, после чего они могут использовать S/MIME в Microsoft Outlook для iOS для подписи и шифрования электронной почты.
    
    Уведомления конечного пользователя о получении сертификата доступны в двух различных вариантах:
    • Портал компании: при выборе этого параметра на устройство пользователя будет отправлено push-уведомление, направляющее его на целевую страницу корпоративного портала, где он сможет получить доступ к своим S/MIME сертификаты.
    • Эл. адрес: при выборе уведомления по электронной почте конечному пользователю будет отправлено сообщение с предложением открыть корпоративный портал для получения своих S/MIME сертификаты. 

Outlook для Android автоматическая рассылка сертификатов

1. Войти в Диспетчер конечных точек Microsoft.
2. Создайте профиль сертификата SCEP или PKCS и назначьте его своим мобильным пользователям.
3. Идти к 'Apps', затем выберите 'Политики конфигурации приложений».
4. В 'Политики конфигурации приложений' раздел, нажмите 'Добавитьи выберитеУправляемые устройства', чтобы инициировать настройку политики конфигурации приложения.
5. В 'Основы'область, укажите'Имя' и необязательный 'Описание' для настроек конфигурации вашего приложения.
6. Выбрать 'Android Enterprise'как'Платформа' а также 'Все типы профилей'как'Тип профиля».
7. Под 'Целевое приложение', выбирать 'Выберите приложение', затем на 'Связанное приложение' страница, выберите 'Microsoft Перспективы' и подтвердите с помощью 'OK».
8. Нажмите на 'Настройки конфигурации', чтобы ввести определенные настройки. Выбирайте 'Использовать дизайнер конфигурации' рядом с 'Формат настроек конфигурации', при необходимости изменив настройки по умолчанию. 
9. Доступ к 'S/MIME' раздел для настройки Outlook S/MIME настройки.
10. Установленный 'Включите S/MIME'to'Да', с возможностью администраторов разрешить или запретить пользователям изменять этот параметр.
11. Решите, хотите ли вы 'Шифровать все электронные письма', давая администраторам возможность разрешить пользователям изменять этот параметр.
12. Выберите, нужно ли 'Подпишите все электронные письма', опять же с возможностью администраторов контролировать доступ пользователей к этому параметру.
13. Наконец, используйте 'Задания', чтобы назначить политику конфигурации приложения соответствующим группам Microsoft Entra. 

Активация S/MIME в клиенте

Чтобы пользователи могли просматривать или создавать контент, связанный с S/MIME в Outlook для iOS и Android важно, чтобы S/MIME активирован. Для этого конечным пользователям необходимо вручную включить S/MIME функциональность в настройках своей учетной записи, перейдя в раздел «Безопасность» и переключив S/MIME контроль, который изначально отключен.

Поддержка LDAP

LDAP (облегченный протокол доступа к каталогам) — это стандартный протокол для доступа к информационным службам каталогов и управления ими. Он обычно используется для хранения и получения информации о пользователях, группах, организационных структурах и других ресурсах в сетевой среде. Интеграция LDAP с S/MIME сертификаты предполагает использование LDAP в качестве службы каталогов для хранения сертификатов пользователей и управления ими. Интегрируя LDAP с S/MIME сертификаты, организации могут централизовать управление сертификатами, повысить безопасность и оптимизировать процесс получения сертификатов и аутентификации в различных приложениях и службах, использующих LDAP в качестве службы каталогов.

Руководство по интеграции LDAP с SSL.com S/MIME сертификаты, пожалуйста, обратитесь к этой статье: Интеграция LDAP с S/MIME Сертификаты.