S/MIME для Outlook для iOS и Android в Exchange Online
S/MIME (безопасные и многоцелевые почтовые расширения Интернета) — это широко распространенный протокол для отправки сообщений с цифровой подписью и зашифрованными. Дополнительные сведения см. в статье S/MIME для подписывания и шифрования сообщений в Exchange Online.
Чтобы использовать S/MIME в Outlook для iOS и Android, необходимо настроить определенные необходимые компоненты S/MIME в Exchange Online. После выполнения этих действий можно развернуть сертификаты S/MIME в Outlook для iOS и Android с помощью следующих методов:
- Доставка сертификатов вручную
- Автоматическая доставка сертификатов
В этой статье описывается настройка Exchange Online для S/MIME с помощью Outlook для iOS и Android, а также использование S/MIME в Outlook для iOS и Android.
Предварительные требования для S/MIME
Убедитесь, что S/MIME правильно настроен в Exchange Online, выполнив действия, описанные в разделе Настройка S/MIME в Exchange Online. В частности, сюда входят:
- Настройка коллекции виртуальных сертификатов.
- Публикация списка отзыва сертификатов в Интернете.
В ручных и автоматизированных решениях по доставке сертификатов ожидается, что доверенные корневые цепочки сертификата доступны и доступны для обнаружения в коллекции виртуальных сертификатов клиента Exchange Online. Проверка доверия выполняется для всех цифровых сертификатов. Exchange Online проверяет сертификат, проверяя каждый сертификат в цепочке сертификатов, пока он не достигнет доверенного корневого сертификата. Эта проверка выполняется путем получения промежуточных сертификатов с помощью атрибута доступа к информации центра в сертификате до тех пор, пока не будет найден доверенный корневой сертификат. Промежуточные сертификаты также могут быть включены в сообщения электронной почты с цифровой подписью. Если Exchange Online находит доверенный корневой сертификат и может запрашивать список отзыва сертификатов для центра сертификации, цепочка цифрового сертификата для этого цифрового сертификата считается допустимой и доверенной и может использоваться. Если Exchange Online не удается найти доверенный корневой сертификат или не удалось связаться со списком отзыва сертификатов для центра сертификации, этот сертификат считается недопустимым и не является доверенным.
Outlook для iOS и Android использует основной SMTP-адрес пользователя для действий потока обработки почты, который настраивается во время настройки профиля учетной записи. Сертификат S/MIME, используемый Outlook для iOS и Android, вычисляется путем сравнения основного SMTP-адреса пользователя, определенного в профиле учетной записи, со значением субъекта сертификата или альтернативным именем субъекта; Если они не совпадают, Outlook для iOS и Android сообщит, что сертификат недоступен (см. рис. 7), и не позволит пользователю подписывать и (или) шифровать сообщения.
Доставка сертификатов вручную
Outlook для iOS и Outlook для Android поддерживают доставку сертификатов вручную, когда сертификат отправляется пользователю по электронной почте и пользователь нажимает вложение сертификата в приложении, чтобы инициировать установку сертификата. На следующем рисунке показано, как осуществляется доставка сертификатов вручную в iOS.
Пользователь может экспортировать собственный сертификат и отправить его себе по почте с помощью Outlook. Дополнительные сведения см. в статье Экспорт цифрового сертификата.
Важно!
При экспорте сертификата убедитесь, что экспортируемый сертификат защищен паролем с помощью надежного пароля.
Автоматическая доставка сертификатов
Важно!
Outlook для iOS и Android поддерживает автоматическую доставку сертификатов, только если поставщиком регистрации является Microsoft Endpoint Manager.
Для Outlook для iOS это связано с архитектурой связка ключей iOS. iOS предлагает системные связка ключей и цепочки ключей издателя. iOS запрещает сторонним приложениям доступ к системным связка ключей (доступ к системным связка ключей могут получить только сторонние приложения и контроллер веб-представления Safari). Чтобы получить доступ к сертификатам Outlook для iOS, сертификаты должны находиться в издателе Майкрософт связка ключей, к которому у Outlook для iOS есть доступ. Только опубликованные майкрософт приложения, такие как Корпоративный портал, могут размещать сертификаты в связка ключей издателя Майкрософт.
Outlook для Android использует Endpoint Manager для доставки и утверждения сертификатов S/MIME. Автоматическая доставка сертификатов поддерживается в сценариях регистрации Android: администратор устройства, рабочий профиль Android Enterprise и полностью управляемый Android Enterprise.
С помощью Endpoint Manager организации могут импортировать журналы сертификатов шифрования из любого центра сертификации. После этого Endpoint Manager автоматически доставляет эти сертификаты на любое устройство, зарегистрированное пользователем. Как правило, для подписывания сертификатов используется протокол SCEP. При использовании SCEP закрытый ключ создается и сохраняется на зарегистрированном устройстве, а на каждое устройство, зарегистрированное пользователем, доставляется уникальный сертификат, который можно использовать для отказа. Наконец, Endpoint Manager поддерживает производные учетные данные для клиентов, которым требуется поддержка стандарта NIST 800-157. Корпоративный портал используется для получения сертификатов подписи и шифрования из Intune.
Чтобы доставить сертификаты в Outlook для iOS и Android, необходимо выполнить следующие предварительные требования:
Развертывание доверенных корневых сертификатов с помощью Endpoint Manager. Дополнительные сведения см. в статье Создание профилей доверенных сертификатов.
Сертификаты шифрования должны быть импортированы в Endpoint Manager. Дополнительные сведения см. в статье Настройка и использование импортированных сертификатов PKCS с Intune.
Установите и настройте соединитель PFX для Microsoft Intune. Дополнительные сведения см. в статье Скачивание, установка и настройка соединителя сертификатов PFX для Microsoft Intune.
Устройства должны быть зарегистрированы для автоматического получения доверенных корневых сертификатов и сертификатов S/MIME из Endpoint Manager.
Автоматическая доставка сертификатов Outlook для iOS
Выполните следующие действия, чтобы создать и настроить политику S/MIME Outlook для iOS в Endpoint Manager. Эти параметры обеспечивают автоматическую доставку сертификатов подписи и шифрования.
Войдите в Microsoft Endpoint Manager.
Выберите Приложения и нажмите Политики конфигурации приложений.
В колонке политики Конфигурация приложений выберите Добавить и Управляемые устройства, чтобы запустить поток создания политики конфигурации приложений.
В разделе Основные сведения укажите значения в полях Имя и Описание (необязательно) для параметров конфигурации приложений.
В поле Платформа выберите iOS/iPadOS.
В поле Целевое приложение выберите Выбрать приложение, а затем в колонке Связанное приложение выберите Microsoft Outlook. Нажмите кнопку OK.
Примечание.
Если Outlook не указан как доступное приложение, его необходимо добавить, следуя инструкциям в разделах Назначение приложений для устройств с рабочим профилем Android с помощью Intune и Добавление приложений магазина iOS в Microsoft Intune.
Щелкните Параметры конфигурации, чтобы добавить параметры конфигурации.
Выберите Использовать конструктор конфигураций рядом с полем Формат параметров конфигурации и примите или измените параметры по умолчанию. Дополнительные сведения см. в статье Развертывание параметров конфигурации приложений Outlook для iOS и Android.
Щелкните S/MIME , чтобы отобразить параметры Outlook S/MIME.
Установите для параметра Включить S/MIME значение Да. При выборе параметра Да или Нет администраторы могут разрешить пользователю изменять значение параметра приложения. Выберите Да (приложение по умолчанию), чтобы разрешить пользователю изменить параметр, или нажмите кнопку Нет , если вы хотите запретить пользователю изменять значение параметра.
Укажите, следует ли шифровать все сообщения электронной почты , выбрав Да или Нет. При выборе параметра Да или Нет администраторы могут разрешить пользователю изменять значение параметра приложения. Выберите Да (приложение по умолчанию), чтобы разрешить пользователю изменить параметр, или нажмите кнопку Нет , если вы хотите запретить пользователю изменять значение параметра.
Выберите, нужно ли подписывать все сообщения электронной почты , выбрав Да или Нет. При выборе параметра Да или Нет администраторы могут разрешить пользователю изменять значение параметра приложения. Выберите Да (приложение по умолчанию), чтобы разрешить пользователю изменить параметр, или нажмите кнопку Нет , если вы хотите запретить пользователю изменять значение параметра.
При необходимости разверните URL-адрес LDAP для поиска сертификата получателя. Дополнительные сведения о формате URL-адреса см. в разделе Поддержка LDAP для поиска сертификатов.
Установите для параметра Развертывание сертификатов S/MIME из Intune значение Да.
В разделе Подписывание сертификатов рядом с полем Тип профиля сертификата выберите один из следующих параметров:
- SCEP. Создает уникальный сертификат для устройства и пользователя, который может использоваться Microsoft Outlook для подписывания. Сведения о том, что требуется для использования профилей сертификатов SCEP, см. в разделе Настройка инфраструктуры для поддержки SCEP с помощью Intune.
- Импортированные сертификаты PKCS. Использует сертификат, который является уникальным для пользователя, но может быть общим для всех устройств и импортирован в Endpoint Manager администратором от имени пользователя. Сертификат доставляется на любое устройство, зарегистрированное пользователем. Endpoint Manager автоматически выберет импортированный сертификат, поддерживающий подписывание, для доставки на устройство, соответствующее зарегистрированным пользователю. Сведения о том, что необходимо для использования импортированных сертификатов PKCS, см. в статье Настройка и использование сертификатов PKCS с Intune.
- Производные учетные данные. Использует сертификат, который уже находится на устройстве, который можно использовать для подписывания. Сертификат должен быть получен на устройстве с помощью потоков производных учетных данных в Intune.
В разделе Сертификаты шифрования рядом с полем Тип профиля сертификата выберите один из следующих параметров:
- Импортированные сертификаты PKCS. Предоставляет все сертификаты шифрования, импортированные администратором в Endpoint Manager, на любом устройстве, зарегистрированном пользователем. Endpoint Manager автоматически выберет импортированный сертификат или сертификаты, поддерживающие шифрование, и доставляет их на устройства зарегистрированного пользователя.
- Производные учетные данные. Использует сертификат, который уже находится на устройстве, который можно использовать для подписывания. Сертификат должен быть получен на устройстве с помощью потоков производных учетных данных в Intune.
Рядом с пунктом Уведомления конечных пользователей выберите способ уведомления конечных пользователей о получении сертификатов, выбрав Корпоративный портал или Email.
В iOS пользователи должны использовать приложение Корпоративный портал для получения сертификатов S/MIME. Endpoint Manager сообщит пользователю о том, что он должен запустить Корпоративный портал для получения сертификатов S/MIME с помощью раздела Уведомления Корпоративный портал, push-уведомления и (или) электронной почты. Щелкнув одно из уведомлений, пользователь перейдет на целевую страницу, которая сообщает ему о ходе получения сертификатов. После получения сертификатов пользователь может использовать S/MIME из Microsoft Outlook для iOS для подписывания и шифрования электронной почты.
Уведомления конечных пользователей включают следующие параметры:
- Корпоративный портал. Если этот параметр выбран, пользователи получат push-уведомление на своем устройстве, которое приведет их на целевую страницу в Корпоративный портал, где будут получены сертификаты S/MIME.
- Email: отправляет пользователю сообщение электронной почты о том, что ему необходимо запустить Корпоративный портал для получения сертификатов S/MIME. Если пользователь находится на зарегистрированном устройстве iOS, щелкнув ссылку в сообщении электронной почты, он будет перенаправлен на Корпоративный портал, чтобы получить свои сертификаты.
Пользователи увидят интерфейс, аналогичный следующему для автоматической доставки сертификатов:
Выберите Назначения, чтобы назначить политику конфигурации приложения Microsoft Entra группам. Дополнительные сведения см. в статье Назначение приложений группам с Microsoft Intune.
Автоматическая доставка сертификатов Outlook для Android
Выполните следующие действия, чтобы создать и настроить политику Outlook для iOS и Android S/MIME в Endpoint Manager. Эти параметры обеспечивают автоматическую доставку сертификатов подписи и шифрования.
Войдите в Microsoft Endpoint Manager.
Создайте профиль сертификата SCEP или профиль сертификата PKCS и назначьте его мобильным пользователям.
Выберите Приложения и нажмите Политики конфигурации приложений.
В колонке политики Конфигурация приложений выберите Добавить и Управляемые устройства, чтобы запустить поток создания политики конфигурации приложений.
В разделе Основные сведения укажите значения в полях Имя и Описание (необязательно) для параметров конфигурации приложений.
В поле Платформа выберите Android Enterprise , а в поле Тип профиля выберите Все типы профилей.
В поле Целевое приложение выберите Выбрать приложение, а затем в колонке Связанное приложение выберите Microsoft Outlook. Нажмите кнопку OK.
Примечание.
Если Outlook не указан как доступное приложение, его необходимо добавить, следуя инструкциям в разделах Назначение приложений для устройств с рабочим профилем Android с помощью Intune и Добавление приложений магазина iOS в Microsoft Intune.
Щелкните Параметры конфигурации, чтобы добавить параметры конфигурации.
Выберите Использовать конструктор конфигураций рядом с полем Формат параметров конфигурации и примите или измените параметры по умолчанию. Дополнительные сведения см. в статье Развертывание параметров конфигурации приложений Outlook для iOS и Android.
Щелкните S/MIME , чтобы отобразить параметры Outlook S/MIME.
Установите для параметра Включить S/MIME значение Да. При выборе параметра Да или Нет администраторы могут разрешить пользователю изменять значение параметра приложения. Выберите Да (приложение по умолчанию), чтобы разрешить пользователю изменить параметр, или нажмите кнопку Нет , если вы хотите запретить пользователю изменять значение параметра.
Укажите, следует ли шифровать все сообщения электронной почты , выбрав Да или Нет. При выборе параметра Да или Нет администраторы могут разрешить пользователю изменять значение параметра приложения. Выберите Да (приложение по умолчанию), чтобы разрешить пользователю изменить параметр, или нажмите кнопку Нет , если вы хотите запретить пользователю изменять значение параметра.
Выберите, нужно ли подписывать все сообщения электронной почты , выбрав Да или Нет. При выборе параметра Да или Нет администраторы могут разрешить пользователю изменять значение параметра приложения. Выберите Да (приложение по умолчанию), чтобы разрешить пользователю изменить параметр, или нажмите кнопку Нет , если вы хотите запретить пользователю изменять значение параметра.
Выберите Назначения, чтобы назначить политику конфигурации приложения Microsoft Entra группам. Дополнительные сведения см. в статье Назначение приложений группам с Microsoft Intune.
Включение S/MIME в клиенте
Для просмотра или создания содержимого, связанного с S/MIME, для Outlook для iOS и Android необходимо включить S/MIME.
Конечным пользователям потребуется включить функции S/MIME вручную, перейдя к параметрам своей учетной записи, коснувшись пункта Безопасность и элемента управления S/MIME, который по умолчанию отключен. Параметр безопасности S/MIME Outlook для iOS выглядит следующим образом:
Если параметр S/MIME включен, Outlook для iOS и Android автоматически отключит параметр Упорядочить по потоку . Это связано с тем, что шифрование S/MIME становится более сложным по мере роста потока беседы. Удалив представление потоковой беседы, Outlook для iOS и Android снижает вероятность возникновения проблем с сертификатами у получателей во время подписывания и шифрования. Так как это параметр уровня приложения, это изменение влияет на все учетные записи, добавленные в приложение. Это диалоговое окно потоковой беседы отображается в iOS следующим образом:
После включения S/MIME и установки сертификатов S/MIME пользователи могут просматривать установленные сертификаты, перейдя к параметрам своей учетной записи и нажав кнопку Безопасность. Кроме того, пользователи могут коснуться каждого отдельного сертификата S/MIME и просмотреть сведения о сертификате, включая сведения об использовании ключа и срок действия.
Пользователи могут настроить Outlook для автоматической подписи или шифрования сообщений. Это позволяет пользователям экономить время на отправке сообщений электронной почты, будучи уверенными в том, что их сообщения подписаны или зашифрованы.
Поддержка LDAP для поиска сертификатов
Outlook для iOS и Android поддерживает доступ к ключам сертификатов общедоступного пользователя из безопасных конечных точек каталога LDAP во время разрешения получателей. Чтобы использовать конечную точку LDAP, необходимо выполнить следующие требования:
- Конечная точка LDAP не требует проверки подлинности.
- Конфигурация конечной точки LDAP доставляется в Outlook для iOS и ANdroid с помощью политики конфигурации приложения. Дополнительные сведения см. в разделе Параметры S/MIME.
- Конфигурация конечной точки LDAP поддерживается в следующих форматах:
ldaps://contoso.com
ldap://contoso.com
ldap://contoso.com:389
ldaps://contoso.com:636
contoso.com
contoso.com:389
contoso.com:636
Когда Outlook для iOS и Android выполняет поиск сертификата для получателя, приложение сначала выполняет поиск на локальном устройстве, затем запросит Microsoft Entra ID, а затем оценит любую конечную точку каталога LDAP. Когда Outlook для iOS и Android подключается к конечной точке каталога LDAP для поиска общедоступного сертификата получателя, выполняется проверка сертификата, чтобы убедиться, что сертификат не отозван. Сертификат считается действительным приложением только в том случае, если проверка сертификата успешно завершена.
Использование S/MIME в Outlook для iOS и Android
После развертывания сертификатов и включения S/MIME в приложении пользователи могут использовать связанное с S/MIME содержимое и создавать содержимое с помощью сертификатов S/MIME. Если параметр S/MIME не включен, пользователи не смогут использовать содержимое S/MIME.
Просмотр сообщений S/MIME
В представлении сообщений пользователи могут просматривать сообщения, подписанные или зашифрованные S/MIME. Кроме того, пользователи могут коснуться строки состояния S/MIME, чтобы просмотреть дополнительные сведения о состоянии S/MIME сообщения. На следующих снимках экрана показаны примеры использования сообщений S/MIME в Android.
Важно!
Чтобы прочитать зашифрованное сообщение, на устройстве должен быть доступен закрытый ключ сертификата получателя.
Пользователи могут установить открытый ключ сертификата отправителя, коснувшись строки состояния S/MIME. Сертификат будет установлен на устройстве пользователя, в частности в издателе Майкрософт, связка ключей в iOS или в системном Хранилище Ключей в Android. Версия Android выглядит примерно так:
При возникновении ошибок сертификата Outlook для iOS и Android будет предупреждать пользователя. Пользователь может коснуться уведомления о строке состояния S/MIME, чтобы просмотреть дополнительные сведения об ошибке сертификата, как показано в следующем примере.
Создание сообщений S/MIME
Прежде чем пользователь сможет отправить подписанное и (или) зашифрованное сообщение, Outlook для iOS и Android выполняет допустимое проверка сертификата, чтобы убедиться, что он действителен для операций подписывания или шифрования. Если срок действия сертификата близок, Outlook для iOS и Android будет оповещать пользователя о получении нового сертификата при попытке подписать или зашифровать сообщение, начиная с 30 дней до истечения срока действия.
При создании сообщения электронной почты в Outlook для iOS и Android отправитель может зашифровать и (или) подписать сообщение. Если коснуться многоточия , а затем Подписать и Зашифровать, отображаются различные параметры S/MIME. Выбор параметра S/MIME включает соответствующую кодировку в сообщении электронной почты сразу после сохранения или отправки сообщения при условии, что у отправителя есть действительный сертификат.
Outlook для iOS и Android может отправлять подписанные и зашифрованные сообщения S/MIME в группы рассылки. Outlook для iOS и Android перечисляет сертификаты для пользователей, определенных в группе рассылки, включая сертификаты во вложенных группах рассылки, хотя следует соблюдать осторожность при ограничении числа вложенных групп рассылки, чтобы свести к минимуму влияние обработки.
Важно!
- Outlook для iOS и Android поддерживает только отправку сообщений с четкой подписью.
- Чтобы создать зашифрованное сообщение, открытый ключ сертификата целевого получателя должен быть доступен в глобальном списке адресов или храниться на локальном устройстве. Чтобы создать подписанное сообщение, на устройстве должен быть доступен закрытый ключ сертификата отправителя.
Вот как отображаются параметры S/MIME в Outlook для Android:
Outlook для iOS и Android оценит всех получателей перед отправкой зашифрованного сообщения и подтвердит наличие действительного открытого ключа сертификата для каждого получателя. Сначала проверяется глобальный список адресов ( GAL); Если сертификат для получателя не существует в глобальном списке адресов, Outlook запрашивает у издателя Майкрософт связка ключей в iOS или в системном хранилище ключей в Android, чтобы найти открытый ключ сертификата получателя. Для получателей без открытого ключа сертификата (или недопустимого ключа) Outlook предложит удалить их. Сообщение не будет отправлено без шифрования ни одному получателю, если только отправитель не отключил параметр шифрования во время композиции.