Présentation de S/MIME pour signer et chiffrer des e-mails dans Intune

  • Article

Les certificats d’e-mail, également appelés certificats S/MIME, offrent une sécurité supplémentaire pour vos communications par e-mail grâce au chiffrement et au déchiffrement. Microsoft Intune peut utiliser des certificats S/MIME afin de signer et de chiffrer des e-mails sur les appareils mobiles exécutant les plateformes suivantes :

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10/11

Intune peut fournir automatiquement des certificats de chiffrement S/MIME à toutes les plateformes. Les certificats S/MIME sont automatiquement associés aux profils de messagerie qui utilisent le client de messagerie natif sur iOS, et à Outlook sur les appareils iOS et Android. Pour les plateformes Windows et macOS, et pour d’autres clients de messagerie sur iOS et Android, Intune délivre les certificats, mais les utilisateurs doivent activer manuellement S/MIME dans leur application de messagerie et choisir leurs certificats S/MIME.

Pour plus d’informations sur la signature et le chiffrement S/MIME des e-mails avec Exchange, consultez S/MIME pour la signature et le chiffrement des messages.

Cet article présente l’utilisation des certificats S/MIME pour signer et chiffrer des e-mails sur vos appareils.

Certificats de signature

Les certificats utilisés pour la signature permettent à l’application de messagerie cliente de communiquer en toute sécurité avec le serveur de messagerie.

Pour utiliser des certificats de signature, créez un modèle sur votre autorité de certification qui se concentre sur la signature. Sur l’autorité de certification Microsoft Active Directory, Configurer le modèle de certificat de serveur répertorie les étapes pour créer des modèles de certificats.

Les certificats de signature dans Intune utilisent des certificats PKCS. Configurer et utiliser des certificats PKCS explique comment déployer et utiliser un certificat PKCS dans votre environnement Intune. Ces étapes incluent notamment :

  • Installer et configurer le connecteur Certificate Connector pour Microsoft Intune pour la prise en charge des demandes de certificat PKCS. Le connecteur impose la même configuration réseau requise que les appareils managés.
  • Créez un profil de certificat racine approuvé pour vos appareils. Cette étape inclut l’utilisation de certificats racine approuvé et intermédiaire pour votre autorité de certification, puis le déploiement du profil sur les appareils.
  • Créez un profil de certificat PKCS en utilisant le modèle de certificat que vous avez créé. Ce profil émet des certificats de signatures à destination des appareils et déploie le profil de certificat PKCS sur des appareils.

Vous pouvez également importer un certificat de signature pour un utilisateur spécifique. Le certificat de signature est déployé sur n’importe quel appareil qu’un utilisateur inscrit. Pour importer des certificats dans Intune, utilisez les Applets de commande PowerShell dans GitHub. Pour déployer un certificat PKCS importé dans Intune à utiliser pour la signature par e-mail, suivez les étapes décrites dans Configurer et utiliser des certificats PKCS avec Intune. Ces étapes incluent notamment :

  • Télécharger, installer et configurer le connecteur Certificate Connector pour Microsoft Intune. Ce connecteur fournit des certificats PKCS importés aux appareils.
  • Importez des certificats de signature S/MIME des e-mails dans Intune.
  • Créez un profil de certificat importé PKCS. Ce profil fournit des certificats PKCS importés aux appareils de l’utilisateur approprié.

Certificats de chiffrement

Les certificats utilisés pour le chiffrement confirment qu’un e-mail chiffré peut uniquement être déchiffré par le destinataire souhaité. Le chiffrement S/MIME est une couche supplémentaire de sécurité qui peut être utilisée dans des communications par e-mail.

Quand vous envoyez un e-mail chiffré à un autre utilisateur, la clé publique du certificat de chiffrement de cet utilisateur est obtenue et chiffre l’e-mail que vous envoyez. Le destinataire déchiffre l’e-mail à l’aide de la clé privée sur son appareil. Les utilisateurs peuvent avoir un historique des certificats utilisés pour chiffrer un e-mail. Chacun de ces certificats doit être déployé sur l’ensemble des appareils d’un utilisateur spécifique afin que l’e-mail soit correctement déchiffré.

Il est recommandé de ne pas créer les certificats de chiffrement des e-mails dans Intune. Même si Intune accepte l’émission de certificats PKCS qui prennent en charge le chiffrement, Intune crée un certificat unique par appareil. Un certificat unique par appareil n’est pas idéal pour un scénario de chiffrement S/MIME où le certificat de chiffrement doit être partagé entre tous les appareils de l’utilisateur.

Pour déployer des certificats S/MIME à l’aide d’Intune, vous devez importer tous les certificats de chiffrement d’un utilisateur dans Intune. Intune déploie ensuite tous ces certificats sur chaque appareil qu’un utilisateur inscrit. Pour importer des certificats dans Intune, utilisez les Applets de commande PowerShell dans GitHub.

Pour déployer un certificat PKCS importé dans Intune à utiliser pour le chiffrement des e-mails, suivez les étapes de Configurer et utiliser des certificats PKCS avec Intune. Ces étapes incluent notamment :

  • Installer et configurer le connecteur Certificate Connector pour Microsoft Intune. Ce connecteur fournit des certificats PKCS importés aux appareils.
  • Importez des certificats de chiffrement S/MIME des e-mails dans Intune.
  • Créez un profil de certificat importé PKCS. Ce profil fournit des certificats PKCS importés aux appareils de l’utilisateur approprié.

Remarque

Les certificats de chiffrement S/MIME importés sont supprimés par Intune quand les données d’entreprise sont supprimées ou que les utilisateurs sont désinscrits de la gestion. Toutefois, les certificats ne sont pas révoqués sur l’autorité de certification.

Profils e-mail S/MIME

Une fois que vous avez créé des profils de certificat de chiffrement et de signature S/MIME, vous pouvez activer S/MIME pour l’application de messagerie native iOS/iPadOS.

Prochaines étapes