Az S/MIME áttekintése az e-mailek Intune való aláírásához és titkosításához

  • Cikk

Email tanúsítványok, más néven S/MIME-tanúsítványok titkosítással és visszafejtéssel biztosítanak fokozott biztonságot az e-mail-kommunikációhoz. Microsoft Intune S/MIME-tanúsítványokkal írhat alá és titkosíthat e-maileket az alábbi platformokat futtató mobileszközökre:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10/11

Intune képes automatikusan S/MIME titkosítási tanúsítványokat továbbítani az összes platformra. Az S/MIME-tanúsítványok automatikusan társítva vannak az iOS-en a natív levelezőprogramot használó levelezési profilokkal, valamint az iOS- és Android-eszközökön futó Outlookkal. A Windows- és macOS-platformokon, valamint az iOS-en és Androidon futó egyéb levelezőprogramok esetében Intune kézbesíti a tanúsítványokat, de a felhasználóknak manuálisan engedélyezniük kell az S/MIME-t a levelezőalkalmazásban, és ki kell választaniuk az S/MIME-tanúsítványaikat.

Az S/MIME e-mail-aláírással és exchange-titkosítással kapcsolatos további információkért lásd: S/MIME az üzenetaláíráshoz és -titkosításhoz.

Ez a cikk áttekintést nyújt arról, hogy az S/MIME-tanúsítványok használatával írhat alá és titkosíthat e-maileket az eszközein.

Aláíró tanúsítványok

Az aláíráshoz használt tanúsítványok lehetővé teszik, hogy az ügyfél levelezőalkalmazása biztonságosan kommunikáljon a levelezési kiszolgálóval.

Aláíró tanúsítványok használatához hozzon létre egy sablont a hitelesítésszolgáltatón (CA), amely az aláírásra összpontosít. Az Active Directory hitelesítésszolgáltató Microsoft A kiszolgálói tanúsítványsablon konfigurálása című témakörben megtalálja a tanúsítványsablonok létrehozásának lépéseit.

Az aláíró tanúsítványok Intune PKCS-tanúsítványokat használnak. A PKCS-tanúsítványok konfigurálása és használata ismerteti, hogyan helyezhet üzembe és használhat PKCS-tanúsítványokat a Intune környezetben. E lépések az alábbiak:

  • Telepítse és konfigurálja az Microsoft Intune tanúsítvány-összekötőt a PKCS-tanúsítványkérelmek támogatásához. Az összekötőre ugyanazok a hálózati követelmények vonatkoznak, mint a felügyelt eszközökre.
  • Hozzon létre egy megbízható főtanúsítvány-profilt az eszközeihez. Ez a lépés magában foglalja megbízható legfelső szintű és köztes tanúsítványok használatát a hitelesítésszolgáltató számára, majd a profil eszközökre történő üzembe helyezését.
  • Hozzon létre egy PKCS-tanúsítványprofilt a létrehozott tanúsítványsablon használatával. Ez a profil tanúsítvány-aláírási hibákat ad ki az eszközöknek, és telepíti a PKCS-tanúsítványprofilt az eszközökre.

Egy adott felhasználó aláíró tanúsítványát is importálhatja. Az aláíró tanúsítvány minden olyan eszközön üzembe lesz helyezve, amelyet a felhasználó regisztrál. A tanúsítványok Intune való importálásához használja a GitHub PowerShell-parancsmagjait. Az e-mail-aláíráshoz Intune importált PKCS-tanúsítvány üzembe helyezéséhez kövesse a PKCS-tanúsítványok konfigurálása és használata Intune. E lépések az alábbiak:

  • Töltse le, telepítse és konfigurálja a tanúsítvány-összekötőt a Microsoft Intune. Ez az összekötő importált PKCS-tanúsítványokat kézbesít az eszközöknek.
  • S/MIME e-mail aláíró tanúsítványok importálása Intune.
  • Hozzon létre egy importált PKCS-tanúsítványprofilt. Ez a profil importált PKCS-tanúsítványokat kézbesít a megfelelő felhasználó eszközeire.

Titkosítási tanúsítványok

A titkosításhoz használt tanúsítványok megerősítik, hogy a titkosított e-maileket csak a kívánt címzett fejtheti vissza. Az S/MIME-titkosítás egy további biztonsági réteg, amely az e-mail-kommunikációban használható.

Ha titkosított e-mailt küld egy másik felhasználónak, a rendszer beolvasja a felhasználó titkosítási tanúsítványának nyilvános kulcsát, és titkosítja az Elküldött e-mailt. A címzett az eszközén található titkos kulccsal fejti vissza az e-mailt. A felhasználók rendelkezhetnek az e-mailek titkosításához használt tanúsítványelőzményekkel. Az egyes tanúsítványokat egy adott felhasználó összes eszközén üzembe kell helyezni, hogy az e-mail-címük visszafejthető legyen.

Javasoljuk, hogy az e-mail titkosítási tanúsítványokat ne hozza létre a Intune. Bár a Intune támogatja a titkosítást támogató PKCS-tanúsítványok kiállítását, Intune egyedi tanúsítványt hoz létre eszközönként. Az eszközönkénti egyedi tanúsítvány nem ideális olyan S/MIME-titkosítási forgatókönyvekhez, ahol a titkosítási tanúsítványt meg kell osztani a felhasználó összes eszközén.

Ha S/MIME-tanúsítványokat szeretne üzembe helyezni Intune használatával, importálnia kell egy felhasználó összes titkosítási tanúsítványát a Intune. Intune ezután telepíti az összes tanúsítványt minden olyan eszközön, amelyet a felhasználó regisztrál. A tanúsítványok Intune való importálásához használja a GitHub PowerShell-parancsmagjait.

Az e-mail-titkosításhoz használt Intune importált PKCS-tanúsítvány üzembe helyezéséhez kövesse a PKCS-tanúsítványok konfigurálása és használata Intune. E lépések az alábbiak:

  • Telepítse és konfigurálja a tanúsítvány-összekötőt a Microsoft Intune számára. Ez az összekötő importált PKCS-tanúsítványokat kézbesít az eszközöknek.
  • S/MIME e-mail titkosítási tanúsítványok importálása Intune.
  • Hozzon létre egy importált PKCS-tanúsítványprofilt. Ez a profil importált PKCS-tanúsítványokat kézbesít a megfelelő felhasználó eszközeire.

Megjegyzés:

Az importált S/MIME titkosítási tanúsítványokat a Intune eltávolítja a vállalati adatok eltávolításakor vagy a felhasználók felügyelet alóli regisztrációjának törlésekor. A tanúsítványokat azonban nem vonják vissza a hitelesítésszolgáltatótól.

S/MIME e-mail-profilok

Miután létrehozta az S/MIME aláírási és titkosítási tanúsítványprofilokat, engedélyezheti az S/MIME-t az iOS/iPadOS natív levelekhez.

Következő lépések