S/MIME-overzicht voor het ondertekenen en versleutelen van e-mail in Intune

  • Artikel

Email certificaten, ook wel bekend als S/MIME-certificaat, bieden extra beveiliging voor uw e-mailcommunicatie met behulp van versleuteling en ontsleuteling. Microsoft Intune kunt S/MIME-certificaten gebruiken om e-mailberichten te ondertekenen en te versleutelen op mobiele apparaten waarop de volgende platforms worden uitgevoerd:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10/11

Intune kunt automatisch S/MIME-versleutelingscertificaten leveren aan alle platforms. S/MIME-certificaten worden automatisch gekoppeld aan e-mailprofielen die gebruikmaken van de systeemeigen e-mailclient op iOS en met Outlook op iOS- en Android-apparaten. Voor de Windows- en macOS-platforms en voor andere e-mailclients op iOS en Android levert Intune de certificaten, maar gebruikers moeten S/MIME handmatig inschakelen in hun e-mail-app en hun S/MIME-certificaten kiezen.

Zie S/MIME voor berichtondertekening en -versleuteling voor meer informatie over S/MIME-e-mailondertekening en -versleuteling met Exchange.

Dit artikel bevat een overzicht van het gebruik van S/MIME-certificaten voor het ondertekenen en versleutelen van e-mailberichten op uw apparaten.

Certificaten ondertekenen

Met certificaten die voor ondertekening worden gebruikt, kan de client-e-mail-app veilig communiceren met de e-mailserver.

Als u handtekeningcertificaten wilt gebruiken, maakt u een sjabloon voor uw certificeringsinstantie (CA) die is gericht op ondertekening. In Microsoft Active Directory-certificeringsinstantie bevat De servercertificaatsjabloon configureren de stappen voor het maken van certificaatsjablonen.

Het ondertekenen van certificaten in Intune PKCS-certificaten gebruiken. Pkcs-certificaten configureren en gebruiken beschrijft hoe u PKCS-certificaat implementeert en gebruikt in uw Intune-omgeving. Deze stappen omvatten:

  • Installeer en configureer de certificaatconnector voor Microsoft Intune om PKCS-certificaataanvragen te ondersteunen. De connector heeft dezelfde netwerkvereisten als beheerde apparaten.
  • Maak een vertrouwd basiscertificaatprofiel voor uw apparaten. Deze stap omvat het gebruik van vertrouwde basis- en tussenliggende certificaten voor uw certificeringsinstantie en vervolgens het implementeren van het profiel op apparaten.
  • Maak een PKCS-certificaatprofiel met behulp van de certificaatsjabloon die u hebt gemaakt. Met dit profiel worden certificaten voor apparaten ondertekend en wordt het PKCS-certificaatprofiel geïmplementeerd op apparaten.

U kunt ook een handtekeningcertificaat voor een specifieke gebruiker importeren. Het handtekeningcertificaat wordt geïmplementeerd op elk apparaat dat een gebruiker inschrijft. Als u certificaten wilt importeren in Intune, gebruikt u de PowerShell-cmdlets in GitHub. Als u een PKCS-certificaat wilt implementeren dat is geïmporteerd in Intune voor e-mailondertekening, volgt u de stappen in PKCS-certificaten configureren en gebruiken met Intune. Deze stappen omvatten:

  • Download, installeer en configureer de certificaatconnector voor Microsoft Intune. Deze connector levert geïmporteerde PKCS-certificaten aan apparaten.
  • S/MIME-e-mailondertekeningscertificaten importeren in Intune.
  • Maak een geïmporteerd PKCS-certificaatprofiel. Dit profiel levert geïmporteerde PKCS-certificaten aan de juiste apparaten van de gebruiker.

Versleutelingscertificaten

Certificaten die worden gebruikt voor versleuteling bevestigen dat een versleutelde e-mail alleen kan worden ontsleuteld door de beoogde ontvanger. S/MIME-versleuteling is een extra beveiligingslaag die kan worden gebruikt in e-mailcommunicatie.

Wanneer u een versleuteld e-mailbericht naar een andere gebruiker verzendt, wordt de openbare sleutel van het versleutelingscertificaat van die gebruiker verkregen en wordt de e-mail die u verzendt versleuteld. De geadresseerde ontsleutelt de e-mail met behulp van de persoonlijke sleutel op het apparaat. Gebruikers kunnen beschikken over een geschiedenis van certificaten die worden gebruikt voor het versleutelen van e-mail. Elk van deze certificaten moet worden geïmplementeerd op alle apparaten van een specifieke gebruiker, zodat hun e-mail kan worden ontsleuteld.

Het wordt aanbevolen dat e-mailversleutelingscertificaten niet worden gemaakt in Intune. Hoewel Intune ondersteuning biedt voor het uitgeven van PKCS-certificaten die versleuteling ondersteunen, maakt Intune een uniek certificaat per apparaat. Een uniek certificaat per apparaat is niet ideaal voor een S/MIME-versleutelingsscenario waarbij het versleutelingscertificaat moet worden gedeeld op alle apparaten van de gebruiker.

Als u S/MIME-certificaten wilt implementeren met behulp van Intune, moet u alle versleutelingscertificaten van een gebruiker importeren in Intune. Intune implementeert vervolgens al deze certificaten op elk apparaat dat een gebruiker inschrijft. Als u certificaten wilt importeren in Intune, gebruikt u de PowerShell-cmdlets in GitHub.

Als u een PKCS-certificaat wilt implementeren dat is geïmporteerd in Intune gebruikt voor e-mailversleuteling, volgt u de stappen in PKCS-certificaten configureren en gebruiken met Intune. Deze stappen omvatten:

  • Installeer en configureer de certificaatconnector voor Microsoft Intune. Deze connector levert geïmporteerde PKCS-certificaten aan apparaten.
  • S/MIME-e-mailversleutelingscertificaten importeren in Intune.
  • Maak een geïmporteerd PKCS-certificaatprofiel. Dit profiel levert geïmporteerde PKCS-certificaten aan de juiste apparaten van de gebruiker.

Opmerking

Geïmporteerde S/MIME-versleutelingscertificaten worden verwijderd door Intune wanneer bedrijfsgegevens worden verwijderd of wanneer gebruikers worden uitgeschreven bij het beheer. Maar certificaten worden niet ingetrokken door de certificeringsinstantie.

S/MIME-e-mailprofielen

Nadat u S/MIME-handtekening- en versleutelingscertificaatprofielen hebt gemaakt, kunt u S/MIME inschakelen voor systeemeigen iOS-/iPadOS-e-mail.

Volgende stappen