在 Intune 中簽署和加密電子郵件的 S/MIME 概觀
Email 憑證也稱為 S/MIME 憑證,可使用加密和解密,為您的電子郵件通訊提供額外的安全性。 Microsoft Intune 可以使用 S/MIME 憑證來簽署電子郵件,並將電子郵件加密到執行下列平臺的行動裝置:
- Android
- iOS/iPadOS
- macOS
- Windows 10/11
Intune 可以自動將 S/MIME 加密憑證傳遞給所有平臺。 S/MIME 憑證會自動與在 iOS 上使用原生郵件用戶端的郵件配置檔相關聯,以及與 iOS 和 Android 裝置上的 Outlook 相關聯。 針對 Windows 和 macOS 平臺,以及 iOS 和 Android 上的其他郵件用戶端,Intune 傳遞憑證,但使用者必須在其郵件應用程式中手動啟用 S/MIME,並選擇其 S/MIME 憑證。
如需有關使用 Exchange 進行 S/MIME 電子郵件簽署和加密的詳細資訊,請參閱 訊息簽署和加密的 S/MIME。
本文提供使用 S/MIME 憑證來簽署和加密裝置上電子郵件的概觀。
簽署憑證
用於簽署的憑證可讓用戶端電子郵件應用程式安全地與電子郵件伺服器通訊。
若要使用簽署憑證,請在證書頒發機構單位 (CA) 上建立以簽署為焦點的範本。 在 Microsoft Active Directory 證書頒發機構單位上,設定 伺服器證書範本會 列出建立證書範本的步驟。
在中簽署憑證 Intune 使用 PKCS 憑證。 設定和使用 PKCS 憑證說明如何在 Intune 環境中部署和使用 PKCS 憑證。 這些步驟包括:
- 安裝和設定適用於 Microsoft Intune 的憑證連接器,以支援 PKCS 憑證要求。 連接器與受 控裝置具有相同的網路需求。
- 為您的裝置建立受信任的跟證書配置檔。 此步驟包括為您的證書頒發機構單位使用受信任的跟證書和中繼憑證,然後將配置檔部署至裝置。
- 使用您建立的證書範本建立 PKCS 憑證設定檔。 此配置檔會將簽署憑證簽發給裝置,並將 PKCS 憑證配置檔部署至裝置。
您也可以匯入特定使用者的簽署憑證。 簽署憑證會部署在用戶註冊的任何裝置上。 若要將憑證匯入 Intune,請使用 GitHub 中的 PowerShell Cmdlet。 若要部署匯入 Intune 中的 PKCS 憑證以用於電子郵件簽署,請遵循設定及使用 PKCS 憑證與 Intune 中的步驟。 這些步驟包括:
- 下載、安裝及設定適用於 Microsoft Intune 的憑證連接器。 此連接器會將匯入的 PKCS 憑證傳遞給裝置。
- 將 S/MIME 電子郵件簽署憑證匯入 Intune。
- 建立 PKCS 匯入的憑證配置檔。 此配置檔會將匯入的 PKCS 憑證傳遞給適當的用戶裝置。
加密憑證
用於加密的憑證會確認加密的電子郵件只能由預定的收件者解密。 S/MIME 加密是額外的安全性層級,可用於電子郵件通訊。
將加密的電子郵件傳送給另一位使用者時,會取得該使用者加密憑證的公鑰,並加密您傳送的電子郵件。 收件者會使用其裝置上的私鑰來解密電子郵件。 用戶可以擁有用來加密電子郵件的憑證歷程記錄。 每個憑證都必須部署到所有特定用戶的裝置,才能成功解密其電子郵件。
建議您不要在 Intune 中建立電子郵件加密憑證。 雖然 Intune 支援發行支援加密的 PKCS 憑證,但 Intune 會為每個裝置建立唯一的憑證。 每個裝置的唯一憑證不適用於應該在所有使用者裝置上共用加密憑證的S/MIME 加密案例。
若要使用 Intune 部署 S/MIME 憑證,您必須將使用者的所有加密憑證匯入至 Intune。 Intune 然後將所有這些憑證部署到用戶註冊的每部裝置。 若要將憑證匯入 Intune,請使用 GitHub 中的 PowerShell Cmdlet。
若要部署匯入 Intune 用於電子郵件加密的 PKCS 憑證,請遵循設定及使用 PKCS 憑證與 Intune 中的步驟。 這些步驟包括:
- 安裝和設定適用於 Microsoft Intune的憑證連接器。 此連接器會將匯入的 PKCS 憑證傳遞給裝置。
- 將 S/MIME 電子郵件加密憑證匯入至 Intune。
- 建立 PKCS 匯入的憑證配置檔。 此配置檔會將匯入的 PKCS 憑證傳遞給適當的用戶裝置。
注意事項
當移除公司數據或使用者從管理中取消註冊時,Intune 會移除匯入的 S/MIME 加密憑證。 但是,證書頒發機構單位不會撤銷憑證。
S/MIME 電子郵件設置檔
建立 S/MIME 簽署和加密憑證設定檔之後,您可以 為 iOS/iPadOS 原生郵件啟用 S/MIME。