Présentation de S/MIME pour signer et chiffrer des e-mails dans IntuneS/MIME overview to sign and encrypt email in Intune

Les certificats d’e-mail, également appelés certificats S/MIME, offrent une sécurité supplémentaire pour vos communications par e-mail grâce au chiffrement et au déchiffrement.Email certificates, also known as S/MIME certificate, provide extra security to your email communications by using encryption and decryption. Microsoft Intune peut utiliser des certificats S/MIME afin de signer et de chiffrer des e-mails sur les appareils mobiles exécutant les plateformes suivantes :Microsoft Intune can use S/MIME certificates to sign and encrypt emails to mobile devices running the following platforms:

  • AndroidAndroid
  • iOS/iPadOSiOS/iPadOS
  • macOSmacOS
  • Windows 10 et versions ultérieuresWindows 10 and later

Intune peut fournir automatiquement des certificats de chiffrement S/MIME à toutes les plateformes.Intune can automatically deliver S/MIME encryption certificates to all platforms. Les certificats S/MIME sont automatiquement associés aux profils de messagerie qui utilisent le client de messagerie natif sur iOS, et à Outlook sur les appareils iOS et Android.S/MIME certificates are automatically associated with mail profiles that use the native mail client on iOS, and with Outlook on iOS and Android devices. Pour les plateformes Windows et macOS, et pour d’autres clients de messagerie sur iOS et Android, Intune délivre les certificats, mais les utilisateurs doivent activer manuellement S/MIME dans leur application de messagerie et choisir leurs certificats S/MIME.For the Windows and macOS platforms, and for other mail clients on iOS and Android, Intune delivers the certificates but users must manually enable S/MIME in their mail app and choose their S/MIME certificates.

Pour plus d’informations sur la signature et le chiffrement S/MIME des e-mails avec Exchange, consultez S/MIME pour la signature et le chiffrement des messages.For more information about S/MIME email signing and encryption with Exchange, see S/MIME for message signing and encryption.

Cet article présente l’utilisation des certificats S/MIME pour signer et chiffrer des e-mails sur vos appareils.This article provides an overview of using S/MIME certificates to sign and encrypt emails on your devices.

Certificats de signatureSigning certificates

Les certificats utilisés pour la signature permettent à l’application de messagerie cliente de communiquer en toute sécurité avec le serveur de messagerie.Certificates used for signing allow the client email app to communicate securely with the email server.

Pour utiliser des certificats de signature, créez un modèle sur votre autorité de certification qui se concentre sur la signature.To use signing certificates, create a template on your certificate authority (CA) that focuses on signing. Sur l’autorité de certification Microsoft Active Directory, Configurer le modèle de certificat de serveur répertorie les étapes pour créer des modèles de certificats.On Microsoft Active Directory Certification Authority, Configure the server certificate template lists the steps to create certificate templates.

Les certificats de signature dans Intune utilisent des certificats PKCS.Signing certificates in Intune use PKCS certificates. Configurer et utiliser des certificats PKCS explique comment déployer et utiliser un certificat PKCS dans votre environnement Intune.Configure and use PKCS certificates describes how to deploy and use PKCS certificate in your Intune environment. Ces étapes sont les suivantes :These steps include:

  • Téléchargez et installez PFX Certificate Connector pour prendre en charge les demandes de certificat PKCS.Download and install the PFX Certificate Connector to support PKCS certificate requests. Le connecteur impose la même configuration réseau requise que les appareils gérés.The connector has the same network requirements as managed devices.

    Important

    À compter de la version 6.2008.60.607 de PFX Certificate Connector (publiée en août 2020), ce connecteur prend en charge le déploiement de certificats pour les demandes de certificat PCKS #12 et gère les demandes de fichiers PFX importés dans Intune pour le chiffrement S/MIME des e-mails pour un utilisateur spécifique.Beginning with the PFX Certificate Connector version 6.2008.60.607 (released in August of 2020), this connector supports certificate deployment for PCKS #12 certificate requests and handles requests for PFX files imported to Intune for S/MIME email encryption for a specific user. Vous n’avez plus besoin d’utiliser Microsoft Intune Connector quand vous utilisez des profils de certificat PKCS.You no longer need to use the Microsoft Intune Connector when you use PKCS certificate profiles.

    Pour plus d’informations, consultez Connecteurs de certificat.For more information, see Certificate connectors

  • Créez un profil de certificat racine approuvé pour vos appareils.Create a trusted root certificate profile for your devices. Cette étape inclut l’utilisation de certificats racine approuvé et intermédiaire pour votre autorité de certification, puis le déploiement du profil sur les appareils.This step includes using trusted root and intermediate certificates for your certification authority, and then deploying the profile to devices.
  • Créez un profil de certificat PKCS en utilisant le modèle de certificat que vous avez créé.Create a PKCS certificate profile using the certificate template you created. Ce profil émet des certificats de signatures à destination des appareils et déploie le profil de certificat PKCS sur des appareils.This profile issues signing certificates to devices, and deploys the PKCS certificate profile to devices.

Vous pouvez également importer un certificat de signature pour un utilisateur spécifique.You can also import a signing certificate for a specific user. Le certificat de signature est déployé sur n’importe quel appareil qu’un utilisateur inscrit.The signing certificate is deployed across any device that a user enrolls. Pour importer des certificats dans Intune, utilisez les applets de commande PowerShell dans GitHub.To import certificates into Intune, use the PowerShell cmdlets in GitHub. Pour déployer un certificat PKCS importé dans Intune à utiliser pour la signature des e-mails, suivez les étapes de Configurer et utiliser des certificats PKCS avec Intune.To deploy a PKCS certificate imported in Intune to be used for email signing, follow the steps in Configure and use PKCS certificates with Intune. Ces étapes sont les suivantes :These steps include:

  • Téléchargez et installez PFX Certificate Connector pour Microsoft Intune.Download and install the PFX Certificate Connector for Microsoft Intune. Ce connecteur fournit des certificats PKCS importés aux appareils.This connector delivers imported PKCS certificates to devices.
  • Importez des certificats de signature S/MIME des e-mails dans Intune.Import S/MIME email signing certificates to Intune.
  • Créez un profil de certificat importé PKCS.Create a PKCS imported certificate profile. Ce profil fournit des certificats PKCS importés aux appareils de l’utilisateur approprié.This profile delivers imported PKCS certificates to the appropriate user's devices.

Certificats de chiffrementEncryption certificates

Les certificats utilisés pour le chiffrement confirment qu’un e-mail chiffré peut uniquement être déchiffré par le destinataire souhaité.Certificates used for encryption confirm that an encrypted email can only be decrypted by the intended recipient. Le chiffrement S/MIME est une couche supplémentaire de sécurité qui peut être utilisée dans des communications par e-mail.S/MIME encryption is an extra layer of security that can be used in email communications.

Quand vous envoyez un e-mail chiffré à un autre utilisateur, la clé publique du certificat de chiffrement de cet utilisateur est obtenue et chiffre l’e-mail que vous envoyez.When sending an encrypted email to another user, the public key of that user's encryption certificate is obtained, and encrypts the email you send. Le destinataire déchiffre l’e-mail à l’aide de la clé privée sur son appareil.The recipient decrypts the email using the private key on their device. Les utilisateurs peuvent avoir un historique des certificats utilisés pour chiffrer un e-mail.Users can have a history of certificates used to encrypt email. Chacun de ces certificats doit être déployé sur l’ensemble des appareils d’un utilisateur spécifique afin que l’e-mail soit correctement déchiffré.Each of those certificates must be deployed to all of a specific user's devices so their email is successfully decrypted.

Il est recommandé de ne pas créer les certificats de chiffrement des e-mails dans Intune.It's recommended that email encryption certificates aren't created in Intune. Même si Intune accepte l’émission de certificats PKCS qui prennent en charge le chiffrement, Intune crée un certificat unique par appareil.While Intune supports issuing PKCS certificates that support encryption, Intune creates a unique certificate per device. Un certificat unique par appareil n’est pas idéal pour un scénario de chiffrement S/MIME où le certificat de chiffrement doit être partagé entre tous les appareils de l’utilisateur.A unique certificate per device isn't ideal for an S/MIME encryption scenario where the encryption certificate should be shared across all the user's devices.

Pour déployer des certificats S/MIME à l’aide d’Intune, vous devez importer tous les certificats de chiffrement d’un utilisateur dans Intune.To deploy S/MIME certificates using Intune, you must import all of a user's encryption certificates to Intune. Intune déploie ensuite tous ces certificats sur chaque appareil qu’un utilisateur inscrit.Intune then deploys all of those certificates to each device that a user enrolls. Pour importer des certificats dans Intune, utilisez les applets de commande PowerShell dans GitHub.To import certificates into Intune, use the PowerShell cmdlets in GitHub.

Pour déployer un certificat PKCS importé dans Intune à utiliser pour le chiffrement des e-mails, suivez les étapes de Configurer et utiliser des certificats PKCS avec Intune.To deploy a PKCS certificate imported in Intune used for email encryption, follow the steps in Configure and use PKCS certificates with Intune. Ces étapes sont les suivantes :These steps include:

  • Téléchargez et installez PFX Certificate Connector pour Microsoft Intune.Download and install the PFX Certificate Connector for Microsoft Intune. Ce connecteur fournit des certificats PKCS importés aux appareils.This connector delivers imported PKCS certificates to devices.
  • Importez des certificats de chiffrement S/MIME des e-mails dans Intune.Import S/MIME email encryption certificates to Intune.
  • Créez un profil de certificat importé PKCS.Create a PKCS imported certificate profile. Ce profil fournit des certificats PKCS importés aux appareils de l’utilisateur approprié.This profile delivers imported PKCS certificates to the appropriate user's devices.

Notes

Les certificats de chiffrement S/MIME importés sont supprimés par Intune quand les données d’entreprise sont supprimées ou que les utilisateurs sont désinscrits de la gestion.Imported S/MIME encryption certificates are removed by Intune when company data is removed, or when users are unenrolled from management. Toutefois, les certificats ne sont pas révoqués sur l’autorité de certification.But, certificates aren't revoked on the certification authority.

Profils e-mail S/MIMES/MIME email profiles

Une fois que vous avez créé des profils de certificat de chiffrement et de signature S/MIME, vous pouvez activer S/MIME pour l’application de messagerie native iOS/iPadOS.Once you have created S/MIME signing and encryption certificate profiles, you can enable S/MIME for iOS/iPadOS native mail.

Étapes suivantesNext steps