S/MIME Installation för Outlook Android och iOS

krav för S/MIME Inställning

För att säkerställa optimal säkerhet i Exchange Online är det avgörande att konfigurera S/MIME enligt de riktlinjer som anges iInställd S/MIME i Exchange Online' manual. Denna process innebär att man upprättar en virtuell certifikatsamling och gör listan för återkallelse av certifikat allmänt tillgänglig på internet. 

I både manuella och automatiserade certifikatdistributionsmetoder är det viktigt att certifikatens betrodda rotkedjor är tillgängliga i din Exchange Onlines virtuella samling för effektiv förtroendeverifiering. Exchange Online bekräftar giltigheten av ett certifikat genom att verifiera varje länk i certifikatkedjan, med fokus på att hitta ett betrodd rotcertifikat och bekräfta dess status mot spärrlistan. För Outlook-användare på iOS och Android korsrefererar appen den primära SMTP-adressen i användarens kontoprofil med certifikatets ämne eller alternativa namn för att validera S/MIME certifikat; felmatchningar leder till att certifikatalternativ för signering eller kryptering av meddelanden inte är tillgängliga.

Manuell certifikatdistribution

Outlook för iOS och Android erbjuder en funktion för manuell certifikatinstallation där användare får sina certifikat via e-post. För att installera trycker användarna helt enkelt på bilagan i appen, vilket initierar installationsprocessen.  En användare har möjlighet att exportera sitt personliga certifikat och skicka det till sin egen e-post med Outlook.  För ytterligare information, se den här artikeln: Exportera ett digitalt certifikat.

Automatiserad certifikatdistribution

Outlook för iOS och Android integrerar automatisk certifikatleverans exklusivt via Microsoft Endpoint Manager som registreringsleverantör.  Den unika arkitekturen hos iOS-nyckelringen, som skiljer mellan system- och utgivarnyckelringar och begränsar tredjepartsappåtkomst till systemnyckelringen, kräver att certifikat för Outlook för iOS lagras i Microsofts utgivares nyckelring. Detta gör att Outlook för iOS kan komma åt dessa certifikat, med endast Microsofts egna appar, såsom företagsportalen, auktoriserade att placera certifikat i denna nyckelring.  Omvänt, Outlook för Androids automatiserade leverans och godkännande av S/MIME certifikaten underlättas av Endpoint Manager i olika Android-registreringsramverk, inklusive enhetsadministratör, Android Enterprise-arbetsprofil och helt hanterade Android Enterprise-scenarier. För att framgångsrikt leverera certifikat till Outlook för iOS och Android måste vissa nyckelkrav uppfyllas:

• Betrodda rotcertifikat måste distribueras med Endpoint Manager. Vägledning för att skapa pålitliga certifikatprofiler finns i den här relevanta dokumentationen: Skapa betrodda certifikatprofiler. 
• Det är nödvändigt att importera krypteringscertifikat till Endpoint Manager; Instruktioner finns här: Konfigurera och använd importerade PKCS-certifikat med Intune.
• PFX Connector för Microsoft Intune bör installeras och konfigureras. Steg hittar du här: Ladda ner, installera och konfigurera PFX Certificate Connector för Microsoft Intune.
• Slutligen måste enheter registreras för att automatiskt ta emot betrodd root och S/MIME certifikat från Endpoint Manager.

Outlook iOS automatiserad distribution av certifikat

1. Logga in Microsoft Endpoint Manager.
2. Navigera till appar och välj sedan Appkonfigurationspolicyer.
3. På Appkonfigurationspolicyer, Klicka Lägg till Och välj Hanterade enheter för att initiera skapandet av en appkonfigurationspolicy.
4. I "Grunderna' avsnitt, ange ett 'Namn ' och, om så önskas, en 'Beskrivning' för dina appkonfigurationsinställningar.
5. Välj 'iOS / iPadOS' under 'plattform".
6. För 'Riktad app', Klicka på 'Välj app', sedan på 'Tillhörande app' sida, välj 'Microsoft Outlook' och bekräfta med 'OK".
7. Fortsätt att 'Konfigurationsinställningar' för att mata in dina konfigurationsdetaljer.
8. Klicka på 'S/MIME' för att komma åt de specifika inställningarna för Outlook S/MIME.
9. Uppsättning 'aktivera S/MIME"till"Ja'. Du har möjlighet att tillåta användare att ändra denna inställning genom att välja 'Ja (app standard)', eller för att begränsa ändringar genom att välja 'Nej".
10. Bestäm om du skaKryptera alla e-postmeddelanden' genom att välja 'Ja"eller"Nej', och på liknande sätt, tillåta eller begränsa användarens ändring av denna inställning.
11. Bestäm om du skaSignera alla e-postmeddelanden' genom att välja 'Ja"eller"Nej', med samma alternativ för att tillåta eller förhindra användarjusteringar.
12. Om det behövs, implementera en LDAP-URL för att söka efter mottagarcertifikat.
13. Se till att du ställer in 'Distribuera S/MIME certifikat från Intune"till"Ja".
14. Enligt  Signering av certifikat bredvid Certifikatprofiltyp, överväg ett av dessa tre alternativ:
    • SCEP: Det här alternativet genererar ett unikt certifikat för både enheten och användaren, lämpligt för Microsoft Outlooks signeringsändamål. För att förstå förutsättningarna för SCEP-certifikatprofiler, se styra om att konfigurera infrastruktur för att stödja SCEP med Intune.
    • PKCS importerade certifikat: Att välja detta använder ett användarspecifikt certifikat som kan användas på flera enheter, efter att ha importerats till Endpoint Manager av administratören för användaren. Detta certifikat tilldelas automatiskt till alla enheter som registrerats av användaren, med Endpoint Manager som väljer lämpligt signeringscertifikat för varje registrerad användare. Mer information om hur du använder PKCS-importerade certifikat finns i instruktioner om att konfigurera och använda PKCS-certifikat med Intune.
    • Härledda inloggningsuppgifter: Detta val innebär att man använder ett redan existerande certifikat på enheten som är avsedd för signering. Det kräver att man hämtar certifikatet på enheten genom Intunes härledda autentiseringsprocesser.
15. Enligt Krypteringscertifikat bredvid Certifikatprofiltyp, överväg ett av följande alternativ:
    • PKCS importerade certifikat: Detta val möjliggör leverans av krypteringscertifikat, som tidigare importerats till Endpoint Manager av en administratör, över alla enheter som registrerats av en användare. Endpoint Manager väljer självständigt lämpligt importerat certifikat eller certifikat som underlättar kryptering och distribuerar dem till den registrerade användarens enheter.
    • Härledda inloggningsuppgifter: Det här alternativet använder ett befintligt certifikat på enheten för krypteringsändamål. Certifikatet ska anskaffas på enheten via de härledda referensarbetsflödena i Intune.
16. För slutanvändaraviseringar om certifikathämtning har administratörer möjlighet att välja antingen Företagsportal eller E-post som aviseringsmetod. På iOS måste användare använda företagsportalappen för att hämta sina S/MIME certifikat, där de kommer att aviseras via appens meddelandesektion, en push-notis eller ett e-postmeddelande. Dessa meddelanden leder användarna till en specifik målsida som visar förloppet för hämtning av certifikat, varefter de kan använda S/MIME i Microsoft Outlook för iOS för e-postsignering och kryptering.
    
    Slutanvändaraviseringar för hämtning av certifikat är tillgängliga i två olika alternativ:
    • Företagsportal: Om du väljer det här alternativet skickas ett push-meddelande till användarens enhet, som leder dem till företagsportalens målsida där de kan komma åt sina S/MIME certifikat.
    • E-postadress : Om du väljer e-postavisering skickas ett meddelande till slutanvändaren som uppmanar dem att öppna företagsportalen för att hämta sina S/MIME certifikat. 

Outlook-Android automatiserad distribution av certifikat

1. Logga in Microsoft Endpoint Manager.
2. Skapa antingen en SCEP- eller PKCS-certifikatprofil och tilldela den till dina mobilanvändare.
3. Gå till 'appar', välj sedan 'Appkonfigurationspolicyer".
4. I "Appkonfigurationspolicyer' avsnitt, klicka på 'Lägg till"och välj"Hanterade enheter' för att initiera konfigurationen av appkonfigurationspolicyn.
5. I "Grunderna' område, ange ett 'Namn ' och en valfri 'Beskrivning' för dina appkonfigurationsinställningar.
6. Välj 'AndroidEnterprise' som den 'plattform"och"Alla profiltyper' som den 'Profiltyp".
7. Under 'Riktad app', välj'Välj app', sedan på 'Tillhörande app' sida, välj 'Microsoft Outlook' och bekräfta med 'OK".
8. Klicka på 'Konfigurationsinställningar' för att mata in specifika inställningar. Välj 'Använd konfigurationsdesigner' bredvid 'Konfigurationsinställningar format', justera standardinställningarna efter behov. 
9. Få tillgång till 'S/MIME' för att justera Outlooks S/MIME inställningar.
10. Uppsättning 'aktivera S/MIME"till"Ja', med möjlighet för administratörer att tillåta eller begränsa användare från att ändra denna inställning.
11. Bestäm om du villKryptera alla e-postmeddelanden', vilket ger administratörer valet att tillåta användare att ändra denna inställning.
12. Välj om du vill 'Signera alla e-postmeddelanden', återigen med möjligheten för administratörer att kontrollera användaråtkomst till den här inställningen.
13. Använd slutligen 'Uppdrag' för att tilldela appkonfigurationspolicyn till lämpliga Microsoft Entra-grupper. 

Aktivering S/MIME i klienten

För användare att se eller skapa innehåll relaterat till S/MIME i Outlook för iOS och Android är det viktigt att S/MIME är aktiverad. Detta kräver att slutanvändare aktiveras manuellt S/MIME funktionalitet i deras kontoinställningar genom att navigera till avsnittet Säkerhet och växla mellan S/MIME kontroll, som initialt är avstängd.

LDAP-stöd

LDAP (Lightweight Directory Access Protocol) är ett industristandardprotokoll för åtkomst och hantering av kataloginformationstjänster. Det används vanligtvis för att lagra och hämta information om användare, grupper, organisationsstrukturer och andra resurser i en nätverksmiljö. Integrera LDAP med S/MIME certifikat innebär att man använder LDAP som en katalogtjänst för att lagra och hantera användarcertifikat. Genom att integrera LDAP med S/MIME certifikat kan organisationer centralisera certifikathantering, förbättra säkerheten och effektivisera processen för certifikathämtning och autentisering i olika applikationer och tjänster som utnyttjar LDAP som en katalogtjänst.

För en guide om LDAP-integration med SSL.com S/MIME certifikat, se den här artikeln: LDAP-integration med S/MIME Certifikat.