Omówienie protokołu S/MIME w zakresie podpisywania i szyfrowania wiadomości e-mail w usłudze IntuneS/MIME overview to sign and encrypt email in Intune

Certyfikaty poczty e-mail, nazywane też certyfikatami S/MIME, zapewniają dodatkowe zabezpieczenia wiadomości e-mail przy użyciu szyfrowania i odszyfrowywania.Email certificates, also known as S/MIME certificate, provide extra security to your email communications by using encryption and decryption. Usługa Microsoft Intune może używać certyfikatów S/MIME do podpisywania i szyfrowania wiadomości e-mail w urządzeniach przenośnych korzystających z następujących platform:Microsoft Intune can use S/MIME certificates to sign and encrypt emails to mobile devices running the following platforms:

  • AndroidAndroid
  • iOS/iPadOSiOS/iPadOS
  • macOSmacOS
  • Windows 10 lub nowszymWindows 10 and later

Usługa Intune może automatycznie dostarczać certyfikaty szyfrowania S/MIME do wszystkich platform.Intune can automatically deliver S/MIME encryption certificates to all platforms. Certyfikaty S/MIME są automatycznie kojarzone z profilami poczty korzystającymi z natywnego klienta poczty w systemie iOS oraz z programem Outlook na urządzeniach z systemami iOS i Android.S/MIME certificates are automatically associated with mail profiles that use the native mail client on iOS, and with Outlook on iOS and Android devices. Usługa Intune dostarcza certyfikaty w przypadku platform Windows i macOS oraz innych klientów poczty w systemach iOS i Android, ale użytkownicy muszą ręcznie włączyć protokół S/MIME w aplikacji poczty i wybrać certyfikaty S/MIME.For the Windows and macOS platforms, and for other mail clients on iOS and Android, Intune delivers the certificates but users must manually enable S/MIME in their mail app and choose their S/MIME certificates.

Aby uzyskać więcej informacji na temat szyfrowania i podpisywania wiadomości e-mail przy użyciu protokołu S/MIME w programie Exchange, zobacz S/MIME for message signing and encryption (Protokół S/MIME na potrzeby podpisywania i szyfrowania wiadomości).For more information about S/MIME email signing and encryption with Exchange, see S/MIME for message signing and encryption.

W tym artykule omówiono, jak podpisywać i szyfrować wiadomości e-mail w urządzeniach przy użyciu certyfikatów S/MIME.This article provides an overview of using S/MIME certificates to sign and encrypt emails on your devices.

Certyfikaty podpisywaniaSigning certificates

Certyfikaty używane do podpisywania umożliwiają aplikacji poczty e-mail klienta bezpieczne komunikowanie się z serwerem poczty e-mail.Certificates used for signing allow the client email app to communicate securely with the email server.

Aby korzystać z podpisywania certyfikatów, należy utworzyć szablon w obrębie urzędu certyfikacji skoncentrowany na podpisywaniu.To use signing certificates, create a template on your certificate authority (CA) that focuses on signing. Temat Configure the server certificate template (Konfigurowanie szablonu certyfikatu serwera) dla urzędu certyfikacji usługi Microsoft Active Directory zawiera instrukcje dotyczące tworzenia szablonów certyfikatów.On Microsoft Active Directory Certification Authority, Configure the server certificate template lists the steps to create certificate templates.

Certyfikaty podpisywania w usłudze Intune używają certyfikatów PKCS.Signing certificates in Intune use PKCS certificates. W artykule Konfigurowanie certyfikatów PKCS i korzystanie z nich opisano sposób wdrażania i używania certyfikatu PKCS w danym środowisku usługi Intune.Configure and use PKCS certificates describes how to deploy and use PKCS certificate in your Intune environment. Kroki te obejmują:These steps include:

  • Pobieranie i instalowanie łącznika certyfikatów PFX na potrzeby obsługi żądań certyfikatów PKCS.Download and install the PFX Certificate Connector to support PKCS certificate requests. Łącznik ma te same wymagania dotyczące sieci co urządzenia zarządzane.The connector has the same network requirements as managed devices.

    Ważne

    Począwszy od wersji 6.2008.60.607 łącznika certyfikatów PFX (wydanej w sierpniu 2020 r.), ten łącznik obsługuje wdrażanie certyfikatów dla żądań certyfikatów PCKS #12 oraz żądania dotyczące plików PFX zaimportowanych do usługi Intune na potrzeby szyfrowania wiadomości e-mail za pomocą protokołu S/MIME dla określonego użytkownika.Beginning with the PFX Certificate Connector version 6.2008.60.607 (released in August of 2020), this connector supports certificate deployment for PCKS #12 certificate requests and handles requests for PFX files imported to Intune for S/MIME email encryption for a specific user. Już nie musisz korzystać z łącznika usługi Microsoft Intune w przypadku korzystania z profilów certyfikatów PKCS.You no longer need to use the Microsoft Intune Connector when you use PKCS certificate profiles.

    Aby uzyskać więcej informacji, zobacz Łączniki certyfikatówFor more information, see Certificate connectors

  • Tworzenie profilu zaufanego certyfikatu głównego dla urządzeń.Create a trusted root certificate profile for your devices. Ten krok obejmuje używanie zaufanych certyfikatów głównych i certyfikatów pośrednich dla urzędu certyfikacji, a następnie wdrażanie profilu do urządzeń.This step includes using trusted root and intermediate certificates for your certification authority, and then deploying the profile to devices.
  • Tworzenie profilu certyfikatu PKCS przy użyciu utworzonego szablonu certyfikatu.Create a PKCS certificate profile using the certificate template you created. Ten profil wystawia certyfikaty podpisywania dla urządzeń i wdraża profil certyfikatu PKCS na urządzeniach.This profile issues signing certificates to devices, and deploys the PKCS certificate profile to devices.

Można również zaimportować certyfikat podpisywania dla określonego użytkownika.You can also import a signing certificate for a specific user. Certyfikat podpisywania jest wdrażany na dowolnym urządzeniu rejestrowanym przez użytkownika.The signing certificate is deployed across any device that a user enrolls. Aby importować certyfikaty w usłudze Intune, należy używać poleceń cmdlet programu PowerShell w usłudze GitHub.To import certificates into Intune, use the PowerShell cmdlets in GitHub. Aby wdrożyć certyfikat PKCS zaimportowany w usłudze Intune w celu używania go do podpisywania wiadomości e-mail, należy wykonać kroki opisane w temacie Konfigurowanie certyfikatów PKCS i korzystanie z nich za pomocą usługi Intune.To deploy a PKCS certificate imported in Intune to be used for email signing, follow the steps in Configure and use PKCS certificates with Intune. Kroki te obejmują:These steps include:

  • Pobieranie i instalowanie łącznika certyfikatów PFX w usłudze Microsoft Intune.Download and install the PFX Certificate Connector for Microsoft Intune. Ten łącznik dostarcza importowane certyfikaty PKCS na urządzenia.This connector delivers imported PKCS certificates to devices.
  • Importowanie certyfikatów podpisywania wiadomości e-mail w ramach protokołu S/MIME do usługi Intune.Import S/MIME email signing certificates to Intune.
  • Tworzenie profilu zaimportowanego certyfikatu PKCS.Create a PKCS imported certificate profile. Ten profil dostarcza zaimportowane certyfikaty PKCS na urządzenia odpowiedniego użytkownika.This profile delivers imported PKCS certificates to the appropriate user's devices.

Certyfikaty szyfrowaniaEncryption certificates

Certyfikaty używane do szyfrowania potwierdzają, że zaszyfrowane wiadomości e-mail mogą zostać odszyfrowane tylko przez zamierzonego odbiorcę.Certificates used for encryption confirm that an encrypted email can only be decrypted by the intended recipient. Szyfrowanie S/MIME to dodatkowa warstwa zabezpieczeń, która może być używana na potrzeby komunikacji za pośrednictwem wiadomości e-mail.S/MIME encryption is an extra layer of security that can be used in email communications.

Podczas wysyłania zaszyfrowanych wiadomości e-mail do innego użytkownika jest uzyskiwany klucz publiczny certyfikatu szyfrowania tego użytkownika, a wysyłana wiadomość e-mail jest szyfrowana.When sending an encrypted email to another user, the public key of that user's encryption certificate is obtained, and encrypts the email you send. Odbiorca odszyfrowuje wiadomość e-mail przy użyciu klucza prywatnego na swoim urządzeniu.The recipient decrypts the email using the private key on their device. Użytkownicy mogą mieć historię certyfikatów używanych do szyfrowania poczty e-mail.Users can have a history of certificates used to encrypt email. Każdy z tych certyfikatów musi zostać wdrożony do wszystkich urządzeń określonego użytkownika, aby ich adres e-mail mógł być pomyślnie odszyfrowywany.Each of those certificates must be deployed to all of a specific user's devices so their email is successfully decrypted.

Zaleca się, aby certyfikaty szyfrowania wiadomości e-mail nie były tworzone w usłudze Intune.It's recommended that email encryption certificates aren't created in Intune. Jeśli usługa Intune obsługuje wystawianie certyfikatów PKCS, które obsługują szyfrowanie, tworzy ona unikatowy certyfikat na każdym urządzeniu.While Intune supports issuing PKCS certificates that support encryption, Intune creates a unique certificate per device. Unikatowy certyfikat na poszczególnych urządzeniach nie jest idealnym rozwiązaniem w przypadku scenariusza szyfrowania S/MIME, w którym certyfikat szyfrowania powinien być udostępniany na wszystkich urządzeniach użytkownika.A unique certificate per device isn't ideal for an S/MIME encryption scenario where the encryption certificate should be shared across all the user's devices.

Aby wdrażać certyfikaty szyfrowania S/MIME przy użyciu usługi Intune, należy zaimportować wszystkie certyfikaty szyfrowania użytkownika do usługi Intune.To deploy S/MIME certificates using Intune, you must import all of a user's encryption certificates to Intune. Usługa Intune następnie wdraża wszystkie te certyfikaty do każdego urządzenia rejestrowanego przez użytkownika.Intune then deploys all of those certificates to each device that a user enrolls. Aby importować certyfikaty w usłudze Intune, należy używać poleceń cmdlet programu PowerShell w usłudze GitHub.To import certificates into Intune, use the PowerShell cmdlets in GitHub.

Aby wdrożyć certyfikat PKCS zaimportowany w usłudze Intune i używany do szyfrowania wiadomości e-mail, należy wykonać kroki opisane w temacie Konfigurowanie certyfikatów PKCS i korzystanie z nich za pomocą usługi Intune.To deploy a PKCS certificate imported in Intune used for email encryption, follow the steps in Configure and use PKCS certificates with Intune. Kroki te obejmują:These steps include:

  • Pobieranie i instalowanie łącznika certyfikatów PFX w usłudze Microsoft Intune.Download and install the PFX Certificate Connector for Microsoft Intune. Ten łącznik dostarcza importowane certyfikaty PKCS na urządzenia.This connector delivers imported PKCS certificates to devices.
  • Importowanie certyfikatów szyfrowania wiadomości e-mail w ramach protokołu S/MIME do usługi Intune.Import S/MIME email encryption certificates to Intune.
  • Tworzenie profilu zaimportowanego certyfikatu PKCS.Create a PKCS imported certificate profile. Ten profil dostarcza zaimportowane certyfikaty PKCS na urządzenia odpowiedniego użytkownika.This profile delivers imported PKCS certificates to the appropriate user's devices.

Uwaga

Zaimportowane certyfikaty szyfrowania S/MIME są usuwane przez usługę Intune po usunięciu danych firmowych lub gdy użytkownicy zostaną wyrejestrowani z zarządzania.Imported S/MIME encryption certificates are removed by Intune when company data is removed, or when users are unenrolled from management. Certyfikaty nie są jednak odwoływane w urzędzie certyfikacji.But, certificates aren't revoked on the certification authority.

Profile poczty e-mail protokołu S/MIMES/MIME email profiles

Po utworzeniu profilów certyfikatów podpisywania i szyfrowania S/MIME można włączyć protokół S/MIME na potrzeby natywnej poczty e-mail systemu iOS/iPadOS.Once you have created S/MIME signing and encryption certificate profiles, you can enable S/MIME for iOS/iPadOS native mail.

Następne krokiNext steps