S/MIME การติดตั้งสำหรับ Outlook Android และ iOS

ข้อกำหนดสำหรับ S/MIME การติดตั้ง

เพื่อให้แน่ใจว่ามีความปลอดภัยสูงสุดใน Exchange Online การกำหนดค่าจึงเป็นสิ่งสำคัญ S/MIME ตามแนวทางที่กำหนดไว้ใน 'กำหนดค่า S/MIME ในการแลกเปลี่ยนออนไลน์' คู่มือ. กระบวนการนี้เกี่ยวข้องกับการสร้างคอลเลกชันใบรับรองเสมือน และการทำให้รายการเพิกถอนใบรับรองปรากฏต่อสาธารณะบนอินเทอร์เน็ต 

ในวิธีการแจกจ่ายใบรับรองทั้งแบบด้วยตนเองและแบบอัตโนมัติ จำเป็นอย่างยิ่งที่จะต้องเข้าถึงรูทเชนที่เชื่อถือได้ของใบรับรองภายในคอลเลกชันเสมือนของ Exchange Online เพื่อการตรวจสอบความน่าเชื่อถือที่มีประสิทธิภาพ Exchange Online ยืนยันความถูกต้องของใบรับรองโดยการตรวจสอบแต่ละลิงก์ในสายใบรับรอง โดยมุ่งเน้นไปที่การค้นหาใบรับรองหลักที่เชื่อถือได้ และยืนยันสถานะกับรายการเพิกถอน สำหรับผู้ใช้ Outlook บน iOS และ Android แอปจะอ้างอิงโยงที่อยู่ SMTP หลักในโปรไฟล์บัญชีผู้ใช้กับชื่อเรื่องของใบรับรองหรือชื่ออื่นเพื่อตรวจสอบความถูกต้อง S/MIME ใบรับรอง; ความไม่ตรงกันส่งผลให้ตัวเลือกใบรับรองสำหรับการลงนามหรือการเข้ารหัสข้อความไม่พร้อมใช้งาน

การแจกจ่ายใบรับรองด้วยตนเอง

Outlook สำหรับ iOS และ Android มีฟีเจอร์สำหรับการติดตั้งใบรับรองด้วยตนเอง ซึ่งผู้ใช้จะได้รับใบรับรองทางอีเมล ในการติดตั้ง ผู้ใช้เพียงแตะไฟล์แนบภายในแอป เพื่อเริ่มขั้นตอนการตั้งค่า  ผู้ใช้สามารถส่งออกใบรับรองส่วนบุคคลและส่งไปยังอีเมลของตนเองโดยใช้ Outlook  สำหรับรายละเอียดเพิ่มเติม โปรดดูบทความนี้: การส่งออกใบรับรองดิจิทัล.

การกระจายใบรับรองอัตโนมัติ

Outlook สำหรับ iOS และ Android จะรวมการจัดส่งใบรับรองอัตโนมัติผ่านทาง Microsoft Endpoint Manager ในฐานะผู้ให้บริการการลงทะเบียนโดยเฉพาะ  สถาปัตยกรรมที่เป็นเอกลักษณ์ของพวงกุญแจ iOS ที่สร้างความแตกต่างระหว่างพวงกุญแจของระบบและพวงกุญแจผู้เผยแพร่ และจำกัดการเข้าถึงพวงกุญแจระบบของแอพบุคคลที่สาม ทำให้ใบรับรองสำหรับ Outlook สำหรับ iOS ถูกจัดเก็บไว้ในพวงกุญแจผู้เผยแพร่ของ Microsoft ซึ่งช่วยให้ Outlook สำหรับ iOS เข้าถึงใบรับรองเหล่านี้ได้ โดยมีเพียงแอปของ Microsoft เท่านั้น เช่น พอร์ทัลบริษัท ที่ได้รับอนุญาตให้วางใบรับรองในพวงกุญแจนี้  ในทางกลับกัน การส่งและการอนุมัติอัตโนมัติของ Outlook สำหรับ Android S/MIME ใบรับรองได้รับการอำนวยความสะดวกโดย Endpoint Manager ในเฟรมเวิร์กการลงทะเบียน Android ต่างๆ รวมถึงผู้ดูแลระบบอุปกรณ์ โปรไฟล์งาน Android Enterprise และสถานการณ์ Android Enterprise ที่มีการจัดการเต็มรูปแบบ หากต้องการส่งใบรับรองไปยัง Outlook สำหรับ iOS และ Android ได้สำเร็จ ต้องปฏิบัติตามข้อกำหนดสำคัญบางประการ:

• ใบรับรองหลักที่เชื่อถือได้จำเป็นต้องปรับใช้โดยใช้ Endpoint Manager คำแนะนำในการสร้างโปรไฟล์ใบรับรองที่เชื่อถือได้มีอยู่ในเอกสารที่เกี่ยวข้องนี้: สร้างโปรไฟล์ใบรับรองที่เชื่อถือได้. 
• จำเป็นต้องนำเข้าใบรับรองการเข้ารหัสไปยัง Endpoint Manager คำแนะนำสามารถพบได้ที่นี่: กำหนดค่าและใช้ใบรับรอง PKCS ที่นำเข้าด้วย Intune.
• ควรติดตั้งและกำหนดค่าตัวเชื่อมต่อ PFX สำหรับ Microsoft Intune ขั้นตอนต่างๆ สามารถพบได้ที่นี่: ดาวน์โหลด ติดตั้ง และกำหนดค่าตัวเชื่อมต่อใบรับรอง PFX สำหรับ Microsoft Intune.
• สุดท้าย อุปกรณ์จะต้องลงทะเบียนเพื่อรับรูทที่เชื่อถือได้โดยอัตโนมัติและ S/MIME ใบรับรองจาก Endpoint Manager

การกระจายใบรับรอง Outlook iOS โดยอัตโนมัติ

1. เข้าสู่ระบบ ตัวจัดการจุดสิ้นสุดของ Microsoft.
2. นำทางไปยัง แอป จากนั้นเลือก นโยบายการกำหนดค่าแอป.
3. เกี่ยวกับ นโยบายการกำหนดค่าแอปคลิก เพิ่ม และเลือก อุปกรณ์ที่มีการจัดการ เพื่อเริ่มต้นการสร้างนโยบายการกำหนดค่าแอป
4. ใน 'ข้อมูลพื้นฐานเกี่ยวกับ' ส่วนป้อน 'Name' และหากต้องการ a 'รายละเอียด' สำหรับการตั้งค่าการกำหนดค่าแอปของคุณ
5. เลือก 'iOS / iPadOS'ใต้'ระบบปฏิบัติการ'
6. สำหรับ 'แอปเป้าหมาย', คลิกที่ 'เลือกแอพ' จากนั้นบน 'แอพที่เกี่ยวข้อง' หน้า เลือก 'Microsoft Outlook' และยืนยันด้วย 'OK'
7. ดำเนินการต่อไปที่ 'การตั้งค่าคอนฟิก' เพื่อป้อนรายละเอียดการกำหนดค่าของคุณ
8. คลิกที่ 'S/MIME' เพื่อเข้าถึงการตั้งค่าเฉพาะสำหรับ Outlook S/MIME.
9. ชุด 'ทำให้สามารถ S/MIME'เป็น'ใช่- คุณมีตัวเลือกในการอนุญาตให้ผู้ใช้แก้ไขการตั้งค่านี้โดยเลือก 'ใช่ (ค่าเริ่มต้นของแอป)' หรือเพื่อจำกัดการเปลี่ยนแปลงโดยการเลือก 'ไม่'
10. ตัดสินใจว่าจะ 'เข้ารหัสอีเมลทั้งหมด'โดยการเลือก'ใช่' หรือ 'ไม่' และในทำนองเดียวกัน อนุญาตหรือจำกัดการเปลี่ยนแปลงการตั้งค่านี้ของผู้ใช้
11. ตัดสินใจว่าจะ 'ลงชื่ออีเมลทั้งหมด' โดยการเลือก 'ใช่' หรือ 'ไม่' โดยมีตัวเลือกเดียวกันในการอนุญาตหรือป้องกันการปรับเปลี่ยนของผู้ใช้
12. หากจำเป็น ให้ใช้ LDAP URL สำหรับการค้นหาใบรับรองผู้รับ
13. ตรวจสอบให้แน่ใจว่าคุณตั้งค่า 'ปรับใช้ S/MIME ใบรับรองจาก Intune'เป็น'ใช่'
14. ภายใต้  ใบรับรองการลงนาม ติด ประเภทโปรไฟล์ใบรับรองให้พิจารณาหนึ่งในสามตัวเลือกเหล่านี้:
    • สกพ: ตัวเลือกนี้จะสร้างใบรับรองเฉพาะสำหรับทั้งอุปกรณ์และผู้ใช้ ซึ่งเหมาะสมกับวัตถุประสงค์ในการลงนามของ Microsoft Outlook หากต้องการทำความเข้าใจข้อกำหนดเบื้องต้นสำหรับโปรไฟล์ใบรับรอง SCEP โปรดดูที่ ให้คำแนะนำ ในการกำหนดค่าโครงสร้างพื้นฐานเพื่อรองรับ SCEP ด้วย Intune
    • ใบรับรองนำเข้า PKCS: การเลือกใช้ใบรับรองนี้จะใช้ใบรับรองเฉพาะผู้ใช้ที่อาจใช้กับอุปกรณ์หลายเครื่อง ซึ่งผู้ดูแลระบบของผู้ใช้นำเข้าไปยัง Endpoint Manager แล้ว ใบรับรองนี้จะถูกกำหนดให้กับอุปกรณ์ใดๆ ที่ผู้ใช้ลงทะเบียนโดยอัตโนมัติ โดย Endpoint Manager จะเลือกใบรับรองการลงนามที่เหมาะสมสำหรับผู้ใช้ที่ลงทะเบียนแต่ละราย สำหรับรายละเอียดเกี่ยวกับการใช้ใบรับรองที่นำเข้า PKCS โปรดดูที่ คำแนะนำการใช้ ในการกำหนดค่าและการใช้ใบรับรอง PKCS กับ Intune
    • หนังสือรับรองที่ได้รับ: ตัวเลือกนี้เกี่ยวข้องกับการใช้ใบรับรองที่มีอยู่แล้วบนอุปกรณ์ที่กำหนดไว้สำหรับการลงนาม จำเป็นต้องดึงใบรับรองบนอุปกรณ์ผ่านกระบวนการข้อมูลรับรองที่ได้รับของ Intune
15. ภายใต้ ใบรับรองการเข้ารหัส ติด ประเภทโปรไฟล์ใบรับรองให้พิจารณาตัวเลือกใดตัวเลือกหนึ่งต่อไปนี้:
    • ใบรับรองนำเข้า PKCS: ตัวเลือกนี้เปิดใช้งานการส่งใบรับรองการเข้ารหัสที่ผู้ดูแลระบบนำเข้าก่อนหน้านี้ไปยัง Endpoint Manager บนอุปกรณ์ทั้งหมดที่ลงทะเบียนโดยผู้ใช้ Endpoint Manager จะเลือกใบรับรองที่นำเข้าที่เหมาะสมหรือใบรับรองที่อำนวยความสะดวกในการเข้ารหัสโดยอัตโนมัติ โดยแจกจ่ายไปยังอุปกรณ์ของผู้ใช้ที่ลงทะเบียน
    • หนังสือรับรองที่ได้รับ: ตัวเลือกนี้ใช้ใบรับรองที่มีอยู่ในอุปกรณ์เพื่อวัตถุประสงค์ในการเข้ารหัส ควรจัดหาใบรับรองบนอุปกรณ์ผ่านเวิร์กโฟลว์ข้อมูลรับรองที่ได้รับใน Intune
16. สำหรับการแจ้งเตือนผู้ใช้ปลายทางเกี่ยวกับการเรียกใบรับรอง ผู้ดูแลระบบมีตัวเลือกในการเลือกพอร์ทัลบริษัทหรืออีเมลเป็นวิธีการแจ้งเตือน บน iOS ผู้ใช้จะต้องใช้แอป Company Portal เพื่อดึงข้อมูล S/MIME ใบรับรอง โดยจะได้รับการแจ้งเตือนผ่านส่วนการแจ้งเตือนของแอป การแจ้งเตือนแบบพุช หรืออีเมล การแจ้งเตือนเหล่านี้จะนำผู้ใช้ไปยังหน้า Landing Page เฉพาะที่แสดงความคืบหน้าในการรับใบรับรอง หลังจากนั้นจึงสามารถใช้งานได้ S/MIME ใน Microsoft Outlook สำหรับ iOS สำหรับการเซ็นชื่อและการเข้ารหัสอีเมล
    
    การแจ้งเตือนผู้ใช้ปลายทางสำหรับการเรียกใบรับรองมีให้เลือกสองตัวเลือก:
    • พอร์ทัลบริษัท: การเลือกตัวเลือกนี้จะส่งการแจ้งเตือนแบบพุชไปยังอุปกรณ์ของผู้ใช้ โดยนำพวกเขาไปยังหน้าเริ่มต้นของพอร์ทัลบริษัทที่พวกเขาสามารถเข้าถึง S/MIME ใบรับรอง
    • อีเมลล์: การเลือกการแจ้งเตือนทางอีเมลจะส่งข้อความไปยังผู้ใช้ โดยแจ้งให้พวกเขาเปิดพอร์ทัลบริษัทเพื่อดึงข้อมูลของพวกเขา S/MIME ใบรับรอง 

Outlook-Android การกระจายใบรับรองอัตโนมัติ

1. เข้าสู่ระบบเพื่อ ตัวจัดการจุดสิ้นสุดของ Microsoft.
2. สร้างโปรไฟล์ใบรับรอง SCEP หรือ PKCS และกำหนดให้กับผู้ใช้มือถือของคุณ
3. ไปที่ 'แอป' จากนั้นเลือก 'นโยบายการกำหนดค่าแอป'
4. ใน 'นโยบายการกำหนดค่าแอป' ส่วน คลิก 'เพิ่ม'และเลือก'อุปกรณ์ที่มีการจัดการ' เพื่อเริ่มการตั้งค่านโยบายการกำหนดค่าแอป
5. ใน 'ข้อมูลพื้นฐานเกี่ยวกับ' พื้นที่ จัดให้มี 'Name' และตัวเลือก 'รายละเอียด' สำหรับการตั้งค่าการกำหนดค่าแอปของคุณ
6. เลือก 'AndroidEnterprise'ในฐานะ'ระบบปฏิบัติการ'และ'โปรไฟล์ทุกประเภท'ในฐานะ'ประเภทรายละเอียด'
7. ภายใต้ 'แอปเป้าหมาย'เลือก'เลือกแอพ' จากนั้นบน 'แอพที่เกี่ยวข้อง' หน้า เลือก 'Microsoft Outlook' และยืนยันด้วย 'OK'
8. คลิกที่ 'การตั้งค่าคอนฟิก' เพื่อป้อนการตั้งค่าเฉพาะ เลือกสำหรับ 'ใช้ตัวออกแบบการกำหนดค่า' ถัดจาก 'รูปแบบการตั้งค่าคอนฟิกูเรชัน' ปรับการตั้งค่าเริ่มต้นตามต้องการ 
9. เข้าถึง 'S/MIME' เพื่อปรับ Outlook S/MIME การตั้งค่า
10. ชุด 'ทำให้สามารถ S/MIME'เป็น'ใช่' พร้อมตัวเลือกสำหรับผู้ดูแลระบบในการอนุญาตหรือจำกัดผู้ใช้ไม่ให้เปลี่ยนการตั้งค่านี้
11. ตัดสินใจว่าคุณต้องการ 'เข้ารหัสอีเมลทั้งหมด' ทำให้ผู้ดูแลระบบมีตัวเลือกในการอนุญาตให้ผู้ใช้แก้ไขการตั้งค่านี้
12. เลือกว่าจะ 'ลงชื่ออีเมลทั้งหมด' อีกครั้งด้วยความสามารถสำหรับผู้ดูแลระบบในการควบคุมการเข้าถึงการตั้งค่านี้ของผู้ใช้
13. สุดท้ายใช้ 'การมอบหมาย' เพื่อจัดสรรนโยบายการกำหนดค่าแอปให้กับกลุ่ม Microsoft Entra ที่เหมาะสม 

การเปิดใช้งาน S/MIME ในไคลเอนต์

เพื่อให้ผู้ใช้สามารถดูหรือสร้างเนื้อหาที่เกี่ยวข้องได้ S/MIME ใน Outlook สำหรับ iOS และ Android จำเป็นอย่างยิ่ง S/MIME ถูกเปิดใช้งาน การดำเนินการนี้กำหนดให้ผู้ใช้ต้องเปิดด้วยตนเอง S/MIME ฟังก์ชั่นภายในการตั้งค่าบัญชีโดยไปที่ส่วนความปลอดภัยแล้วสลับ S/MIME การควบคุมซึ่งเริ่มแรกตั้งค่าเป็นปิด

รองรับ LDAP

LDAP (Lightweight Directory Access Protocol) เป็นโปรโตคอลมาตรฐานอุตสาหกรรมสำหรับการเข้าถึงและจัดการบริการข้อมูลไดเรกทอรี โดยทั่วไปจะใช้สำหรับจัดเก็บและเรียกค้นข้อมูลเกี่ยวกับผู้ใช้ กลุ่ม โครงสร้างองค์กร และทรัพยากรอื่นๆ ในสภาพแวดล้อมเครือข่าย การบูรณาการ LDAP เข้ากับ S/MIME ใบรับรองเกี่ยวข้องกับการใช้ LDAP เป็นบริการไดเรกทอรีเพื่อจัดเก็บและจัดการใบรับรองผู้ใช้ ด้วยการบูรณาการ LDAP เข้ากับ S/MIME องค์กรสามารถรวมศูนย์การจัดการใบรับรอง ปรับปรุงความปลอดภัย และปรับปรุงกระบวนการเรียกค้นและการรับรองความถูกต้องใบรับรองในแอปพลิเคชันและบริการต่างๆ ที่ใช้ประโยชน์จาก LDAP เป็นบริการไดเร็กทอรี

สำหรับคำแนะนำเกี่ยวกับการรวม LDAP กับ SSL.com S/MIME ใบรับรอง โปรดดูบทความนี้: การบูรณาการ LDAP ด้วย S/MIME ใบรับรอง.