要求 S/MIME 设置
为了确保 Exchange Online 的最佳安全性,配置至关重要 S/MIME 根据'中规定的指导方针配置 S/MIME 在交换在线' 手动的。此过程涉及建立虚拟证书集合并在互联网上公开提供证书吊销列表。 在手动和自动证书分发方法中,至关重要的是,可以在 Exchange Online 的虚拟集合中访问证书的受信任根链,以进行有效的信任验证。 Exchange Online 通过验证证书链中的每个链接来确认证书的有效性,重点是查找受信任的根证书并根据吊销列表确认其状态。对于 iOS 和 Android 上的 Outlook 用户,该应用程序将用户帐户配置文件中的主 SMTP 地址与证书的主题或备用名称交叉引用,以验证 S/MIME 证书;不匹配会导致无法使用用于签名或加密消息的证书选项。立即通过 SSL.com 控制您的电子邮件安全 S/MIME 证书!增强信任、保护敏感数据并确保隐私。立即保护您的通信!
手动证书分发
Outlook for iOS 和 Android 提供了手动证书安装功能,用户可以通过电子邮件接收证书。要安装,用户只需点击应用程序内的附件即可启动安装过程。 用户可以导出其个人证书并使用 Outlook 将其发送到自己的电子邮件。 有关更多详细信息,请参阅这篇文章: 导出数字证书.自动证书分发
Outlook for iOS 和 Android 专门通过 Microsoft Endpoint Manager 作为注册提供商集成自动证书交付。 iOS 钥匙串的独特架构区分了系统钥匙串和发布者钥匙串,并限制第三方应用程序访问系统钥匙串,因此需要将 Outlook for iOS 的证书存储在 Microsoft 发布者钥匙串中。这允许 Outlook for iOS 访问这些证书,只有 Microsoft 自己的应用程序(例如公司门户)有权将证书放入此钥匙串中。 相反,Outlook for Android 的自动交付和批准 S/MIME Endpoint Manager 可以跨各种 Android 注册框架(包括设备管理员、Android Enterprise 工作配置文件和完全托管的 Android Enterprise 方案)促进证书的签发。 要成功将证书传递到 Outlook for iOS 和 Android,必须满足某些关键要求:- 需要使用 Endpoint Manager 部署受信任的根证书。有关创建可信证书配置文件的指南可以在此相关文档中找到: 创建受信任的证书配置文件.
- 需要将加密证书导入Endpoint Manager;可以在这里找到说明: 通过 Intune 配置和使用导入的 PKCS 证书.
- 应安装并配置适用于 Microsoft Intune 的 PFX 连接器。步骤可以在这里找到: 下载、安装和配置适用于 Microsoft Intune 的 PFX 证书连接器.
- 最后,设备必须注册才能自动接收受信任的根和 S/MIME 来自端点管理器的证书。
Outlook iOS 自动分发证书
- 使用您的FSUID和密码登录页面 Microsoft端点管理器.
- 导航 应用 然后选择 应用程序配置策略.
- 点击 应用程序配置策略,单击“ 地址 并选择 受管设备 启动应用程序配置策略的创建。
- 在里面 '基础 ' 部分,输入一个 '名字' 并且,如果需要的话,'产品描述' 用于您的应用程序配置设置。
- 选择 'iOS / iPadOS在“下”应用平台“。
- 对于目标应用程序', 点击 '选择应用',然后在 '关联应用程序'页面,选择'微软Outlook' 并用 ' 确认OK“。
- 继续 '配置设定' 输入您的配置详细信息。
- 点击 'S/MIME' 访问 Outlook 的特定设置 S/MIME.
- 放 '启用 S/MIME' 至 'Yes'。您可以选择允许用户通过选择“更改此设置”Yes (应用程序默认)',或通过选择 ' 来限制更改没有“。
- 决定是否'加密所有电子邮件'通过选择'Yes' 要么 '没有',类似地,允许或限制用户更改此设置。
- 确定是否'签署所有电子邮件'通过选择'Yes' 要么 '没有',具有允许或阻止用户调整的相同选项。
- 如有必要,实施 LDAP URL 以进行收件人证书查找。
- 确保您设置 '部署 S/MIME 来自 Intune 的证书' 至 'Yes“。
- 下 签署证书 旁边 证书配置文件类型,考虑以下三个选项之一:
- 欧洲电力公司:此选项为设备和用户生成唯一的证书,适合 Microsoft Outlook 的签名目的。要了解 SCEP 证书配置文件的先决条件,请参阅 指南 配置基础架构以通过 Intune 支持 SCEP。
- PKCS 导入证书: 选择此选项会使用可在多个设备上使用的用户特定证书,该证书已由用户管理员导入到 Endpoint Manager 中。该证书会自动分配给用户注册的任何设备,端点管理器会为每个注册用户选择适当的签名证书。有关使用 PKCS 导入证书的详细信息,请参阅 说明 有关通过 Intune 配置和使用 PKCS 证书的信息。
- 派生凭证:此选择涉及使用指定用于签名的设备上预先存在的证书。它需要通过 Intune 的派生凭据进程检索设备上的证书。
- 下 加密证书 旁边 证书配置文件类型,考虑以下选项之一:
- PKCS 导入证书:此选择允许在用户注册的所有设备上传送之前由管理员导入 Endpoint Manager 的加密证书。 Endpoint Manager 将自动选择合适的导入证书或有助于加密的证书,并将其分发到注册用户的设备。
- 派生凭证:此选项利用设备上的现有证书进行加密。应通过 Intune 中的派生凭据工作流在设备上获取证书。
- 对于有关证书检索的最终用户通知,管理员可以选择公司门户或电子邮件作为通知方法。在 iOS 上,用户需要使用公司门户应用来检索他们的信息 S/MIME 证书,他们将通过应用程序的通知部分、推送通知或电子邮件收到提醒。这些通知将用户引导至显示证书检索进度的特定登录页面,之后他们可以使用 S/MIME 在 Microsoft Outlook for iOS 中用于电子邮件签名和加密。
证书检索的最终用户通知有两种不同的选项:- 公司门户:选择此选项将向用户的设备发送推送通知,将他们定向到公司门户登录页面,在那里他们可以访问自己的设备 S/MIME 证书。
- 电邮:选择电子邮件通知将向最终用户发送一条消息,提示他们打开公司门户以检索其信息 S/MIME 证书。
展望安卓 自动分发证书
- 登录到 Microsoft端点管理器.
- 创建 SCEP 或 PKCS 证书配置文件并将其分配给您的移动用户。
- 去 '应用',然后选择 '应用程序配置策略“。
- 在里面 '应用程序配置策略' 部分,单击 '地址'并选择'受管设备' 启动应用程序配置策略设置。
- 在里面 '基础 ' 区域,提供 '名字' 和一个可选的 '产品描述' 用于您的应用程序配置设置。
- 选择 'Android企业版'作为'应用平台“和”所有配置文件类型'作为'配置文件类型“。
- 在'下'目标应用程序', 选择 '选择应用',然后在 '关联应用程序'页面,选择'微软Outlook' 并用 ' 确认OK“。
- 点击 '配置设定' 输入具体设置。 选择 '使用配置设计器' 旁边 '配置设置格式',根据需要调整默认设置。
- 访问'S/MIME' 部分来调整 Outlook 的 S/MIME 设置。
- 放 '启用 S/MIME' 至 'Yes',管理员可以选择允许或限制用户更改此设置。
- 决定是否要'加密所有电子邮件',让管理员可以选择允许用户更改此设置。
- 选择是否'签署所有电子邮件',管理员再次能够控制用户对此设置的访问。
- 最后,使用 '分配' 将应用程序配置策略分配给适当的 Microsoft Entra 组。
激活 S/MIME 在客户端
供用户查看或创建相关内容 S/MIME 在 Outlook for iOS 和 Android 中,重要的是 S/MIME 被激活。这需要最终用户手动开启 S/MIME 通过导航到安全部分并切换帐户设置中的功能 S/MIME 控制,最初设置为关闭。LDAP 支持
LDAP(轻量级目录访问协议)是用于访问和管理目录信息服务的行业标准协议。它通常用于存储和检索有关网络环境中的用户、组、组织结构和其他资源的信息。集成 LDAP S/MIME 证书涉及利用 LDAP 作为目录服务来存储和管理用户证书。通过将 LDAP 集成 S/MIME 证书,组织可以集中证书管理,增强安全性,并简化利用 LDAP 作为目录服务的各种应用程序和服务中的证书检索和身份验证过程。有关 LDAP 与 SSL.com 集成的指南 S/MIME 证书请参考这篇文章: LDAP 集成 S/MIME 证书.
立即通过 SSL.com 控制您的电子邮件安全 S/MIME 证书!增强信任、保护敏感数据并确保隐私。立即保护您的通信!
