Exchange Online で S/MIME を構成する

S/MIME (Secure/多目的インターネット メール拡張機能) は、デジタル署名および暗号化されたメッセージを送信するための広く受け入れられています。 詳細については、「Exchange Onlineでのメッセージ署名と暗号化の S/MIME」を参照してください。

S/MIME は、次の種類の電子メール クライアントを使用してExchange Onlineで使用できます。

• サポートされているバージョンの Outlook。

• Windows クライアント上のOutlook on the web (旧称Outlook Web App)。 詳細については、「Outlook on the web で S/MIME を使用してメッセージを暗号化する」を参照してください。

  注:

  機密性の高いポリシー アクションはサーバー バックエンドに適用され、S/MIME 署名または暗号化はOutlook on the web クライアントで実行されます。 このアーキテクチャ上の制約により、保護アクションを含む秘密度ラベルがあるメッセージでは、Outlook on the webで S/MIME が無効になります。

• モバイル デバイス (たとえば、Outlook for iOS や Android、Exchange ActiveSync アプリ、ネイティブメール アプリなど)。

Exchange Online管理者は、organization内のメールボックスに対して S/MIME ベースのセキュリティを有効にすることができます。 大まかな手順については、次の一覧で説明し、この記事で説明します。

1. S/MIME 証明書を設定して発行します。
2. Exchange Onlineで仮想証明書コレクションを設定します。
3. S/MIME のユーザー証明書を Microsoft 365 に同期します。
4. Outlook on the web用の Web ブラウザーに S/MIME 拡張機能をインストールするようにポリシーを構成します。
5. S/MIME を使用するように電子メール クライアントを構成します。

Outlook for iOS および Android のエンド ツー エンドの S/MIME 構成手順については、「iOS および Android 用 Outlook の S/MIME」を参照してください。

手順 1: S/MIME 証明書を設定して発行する

organizationの各ユーザーには、署名と暗号化のために発行された独自の証明書が必要です。 これらの証明書は、配布のためにオンプレミスの Active Directoryに発行します。 Active Directory は、インターネット上のリモート施設やクラウドベースのサービスではなく、制御する物理的な場所にあるコンピューター上に配置する必要があります。

Active Directory の詳細については、「Active Directory Domain Servicesの概要」を参照してください。

1. Windows ベースの証明機関 (CA) をインストールし、S/MIME 証明書を発行する公開キー インフラストラクチャを設定します。 サードパーティの証明書プロバイダーによって発行された証明書もサポートされています。 詳細については、「Active Directory 証明書サービスの概要」を参照してください。

   注:

   • サード パーティ CA によって発行された証明書は、すべてのクライアントとデバイスによって自動的に信頼されるという利点があります。 内部のプライベート CA によって発行された証明書は、クライアントとデバイスによって自動的に信頼されるわけではありません。また、プライベート証明書を信頼するようにすべてのデバイス (電話など) を構成できるわけではありません。
   • ルート証明書の代わりに中間証明書を使用して、ユーザーに証明書を発行することを検討してください。 そうすることで、証明書を取り消して再発行する必要がある場合は、ルート証明書はそのままです。
   • 証明書には秘密キーが必要で、X509 拡張機能 "サブジェクト キー識別子" が設定されている必要があります。

2. UserSMIMECertificate 属性または UserCertificate 属性のオンプレミスの Active Directory アカウントでユーザーの証明書を発行します。

手順 2: Exchange Onlineで仮想証明書コレクションを設定する

仮想証明書コレクションは、S/MIME 証明書の検証を担当します。 次の手順を使用して、仮想証明書コレクションを設定します。

1. 信頼されたマシンからユーザーの S/MIME 証明書を検証するために必要なルート証明書と中間証明書を、Windows PowerShellのシリアル化された証明書ストア (SST) ファイルにエクスポートします。 例:

   Get-ChildItem -Path cert:\<StoreCertPath> | Export-Certificate -FilePath "C:\My Documents\Exported Certificate Store.sst" -Type SST
   

   構文とパラメーターの詳細については、「 Export-Certificate」を参照してください。

2. Exchange Online PowerShell で次のコマンドを実行して、SST ファイルから Exchange Online に証明書をインポートします。

   Set-SmimeConfig -SMIMECertificateIssuingCA ([System.IO.File]::ReadAllBytes('C:\My Documents\Exported Certificate Store.sst'))
   

   構文とパラメーターの詳細については、「 Set-SmimeConfig」を参照してください。

手順 3: S/MIME のユーザー証明書を Microsoft 365 に同期する

Exchange Onlineで S/MIME で保護されたメッセージを送信する前に、ユーザーごとに適切な証明書を設定して構成し、パブリック X.509 証明書を Microsoft 365 に発行する必要があります。 送信者の電子メール クライアントは、受信者のパブリック証明書を使用してメッセージを暗号化します。

1. 証明書を発行し、ローカル Active Directory で発行します。 詳細については、「Active Directory 証明書サービスの概要」を参照してください。

2. 証明書が発行されたら、Microsoft Entra Connect を使用して、オンプレミスの Exchange 環境から Microsoft 365 にユーザー データを同期します。 このプロセスの詳細については、「接続の同期: 同期の理解とカスタマイズMicrosoft Entra」を参照してください。

Microsoft Entra Connect では、他のディレクトリ データの同期に加えて、S/MIME 署名と電子メール メッセージの暗号化のために、各ユーザー オブジェクトの userCertificate 属性と userSMIMECertificate 属性が同期されます。 Microsoft Entra Connect の詳細については、「Microsoft Entra Connect とは」を参照してください。

手順 4: Web ブラウザーに S/MIME 拡張機能をインストールするポリシーを構成する

注:

この手順は、Outlook on the web クライアントにのみ必要です。

Chromium ベースの Microsoft Edge または Google Chrome のOutlook on the webの S/MIME には、管理者が構成した特定のポリシー設定が必要です。

具体的には、ブラウザーに S/MIME 拡張機能をインストールするように ExtensionInstallForcelist という名前のポリシーを設定して構成する必要があります。 ポリシー値は です maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx。 このポリシーを適用するには、ドメイン参加済みデバイスまたはMicrosoft Entra参加済みデバイスが必要であるため、Edge または Chrome で S/MIME を使用するには、実質的にドメイン参加済みデバイスまたはMicrosoft Entra参加済みデバイスが必要です。

ポリシーの詳細については、次のトピックを参照してください。

• ExtensionInstallForcelist - Edge
• ExtensionInstallForcelist - Chrome

このポリシーは、Outlook on the webで S/MIME を使用するための前提条件です。 ユーザーがインストールした S/MIME コントロールは 置き換わりません 。 ユーザーは、S/MIME を初めて使用する際に、Outlook on the webで S/MIME コントロールをダウンロードしてインストールするように求められます。 または、ユーザーは、Outlook on the web設定の S/MIME に事前に移動して、コントロールのダウンロード リンクを取得できます。

手順 5: S/MIME を使用するように電子メール クライアントを構成する

電子メール クライアントが S/MIME をサポートしている場合、次の考慮事項は、その電子メール クライアントによるユーザーの S/MIME 証明書へのアクセスです。 S/MIME 証明書は、ユーザーのコンピューターまたはデバイスにインストールする必要があります。 S/MIME 証明書を自動的に配布するか ( たとえば、Microsoft Endpoint Manager を使用)、または手動で配布できます (たとえば、ユーザーは自分のコンピューターから証明書をエクスポートし、モバイル デバイスにインポートできます)。 証明書がローカルで使用できるようになったら、電子メール クライアントの設定で S/MIME を有効にして構成できます。

メール クライアントの S/MIME の詳細については、次のトピックを参照してください。

• Outlook: 電子メール メッセージの暗号化に関するページの「S/MIME を使用した暗号化」セクションを参照してください。
• iOS および Android 用 Outlook: クライアントで S/MIME を有効にする
• iOS のメール: S/MIME を使用して、iOS の Exchange 環境で暗号化されたメッセージを送信する

また、Exchange Online PowerShell の New-MobileDeviceMailboxPolicy コマンドレットと Set-MobileDeviceMailboxPolicy コマンドレットで次のパラメーターを使用して、モバイル デバイスの S/MIME 設定を構成することもできます。

• AllowSMIMEEncryptionAlgorithmNegotiation
• AllowSMIMESoftCerts
• RequireEncryptedSMIMEMessages
• RequireEncryptionSMIMEAlgorithm
• RequireSignedSMIMEAlgorithm
• RequireSignedSMIMEMessages