Настройка S/MIME в Exchange Online

  • Статья

S/MIME (безопасные и многоцелевые почтовые расширения Интернета) — это широко распространенный протокол для отправки сообщений с цифровой подписью и зашифрованными. Дополнительные сведения см. в статье S/MIME для подписывания и шифрования сообщений в Exchange Online.

S/MIME доступен в Exchange Online со следующими типами почтовых клиентов:

  • Поддерживаемые версии Outlook.

  • Outlook в Интернете (прежнее название — Outlook Web App) на клиентах Windows. Дополнительные сведения см. в статье Шифрование сообщений с помощью S/MIME в Outlook в Интернете.

    Примечание.

    Действия конфиденциальной политики применяются к серверной части сервера, а подписывание и (или) шифрование S/MIME выполняется в Outlook в Интернете клиенте. Из-за этого ограничения архитектуры S/MIME отключен в Outlook в Интернете в сообщениях, где есть метки конфиденциальности с действиями защиты.

  • Мобильные устройства (например, Outlook для iOS и Android, приложения Exchange ActiveSync или собственные приложения для электронной почты).

Администратор Exchange Online может включить безопасность на основе S/MIME для почтовых ящиков в организации. Общие шаги описаны в следующем списке и расширены в этой статье:

  1. Настройка и публикация сертификатов S/MIME.
  2. Настройте коллекцию виртуальных сертификатов в Exchange Online.
  3. Синхронизация сертификатов пользователей для S/MIME в Microsoft 365.
  4. Настройте политики для установки расширений S/MIME в веб-браузерах для Outlook в Интернете.
  5. Настройте почтовые клиенты для использования S/MIME.

Полные инструкции по настройке S/MIME для Outlook для iOS и Android см. в статье S/MIME для Outlook для iOS и Android.

Шаг 1. Настройка и публикация сертификатов S/MIME

Каждому пользователю в вашей организации требуется собственный сертификат, выданный для подписывания и шифрования. Эти сертификаты публикуются в локальная служба Active Directory для распространения. Служба Active Directory должна находиться на компьютерах в физическом расположении, которое вы контролируете, а не в удаленном объекте или облачной службе в Интернете.

Дополнительные сведения об Active Directory см. в доменные службы Active Directory Обзор.

  1. Установите центр сертификации на основе Windows и настройте инфраструктуру открытых ключей для выдачи сертификатов S/MIME. Также поддерживаются сертификаты, выданные сторонними поставщиками сертификатов. Дополнительные сведения см. в статье Обзор служб сертификатов Active Directory.

    Примечания.

    • Сертификаты, выданные сторонним ЦС, имеют преимущество автоматического доверия для всех клиентов и устройств. Сертификаты, выданные внутренним частным ЦС, не являются автоматически доверенными клиентами и устройствами, и не все устройства (например, телефоны) могут быть настроены на доверие частным сертификатам.
    • Рассмотрите возможность использования промежуточного сертификата вместо корневого сертификата для выдачи сертификатов пользователям. Таким образом, если вам когда-либо потребуется отозвать и перевыпускать сертификаты, корневой сертификат по-прежнему остается нетронутым.
    • Сертификат должен иметь закрытый ключ, а расширение X509 "Идентификатор ключа субъекта" должно быть заполнено.

  2. Опубликуйте сертификат пользователя в учетной записи локальная служба Active Directory в атрибутах UserSMIMECertificate и (или) UserCertificate.

Шаг 2. Настройка коллекции виртуальных сертификатов в Exchange Online

Коллекция виртуальных сертификатов отвечает за проверку сертификатов S/MIME. Настройте коллекцию виртуальных сертификатов, выполнив следующие действия.

  1. Экспортируйте корневые и промежуточные сертификаты, необходимые для проверки пользовательских сертификатов S/MIME, с доверенного компьютера в файл сериализованного хранилища сертификатов (SST) в Windows PowerShell. Например:

    Get-ChildItem -Path cert:\<StoreCertPath> | Export-Certificate -FilePath "C:\My Documents\Exported Certificate Store.sst" -Type SST

    Подробные сведения о синтаксисе и параметрах см. в разделе Export-Certificate.

  2. Импортируйте сертификаты из SST-файла в Exchange Online, выполнив следующую команду в Exchange Online PowerShell:

    Set-SmimeConfig -SMIMECertificateIssuingCA ([System.IO.File]::ReadAllBytes('C:\My Documents\Exported Certificate Store.sst'))

    Подробные сведения о синтаксисе и параметрах см. в разделе Set-SmimeConfig.

Шаг 3. Синхронизация сертификатов пользователей для S/MIME в Microsoft 365

Прежде чем любой пользователь сможет отправлять защищенные S/MIME сообщения в Exchange Online, необходимо настроить соответствующие сертификаты для каждого пользователя и опубликовать общедоступные сертификаты X.509 в Microsoft 365. Почтовый клиент отправителя использует общедоступный сертификат получателя для шифрования сообщения.

  1. Выдача сертификатов и их публикация в локальной службе Active Directory. Дополнительные сведения см. в статье Обзор служб сертификатов Active Directory.

  2. После публикации сертификатов используйте Microsoft Entra Connect, чтобы синхронизировать данные пользователей из локальной среды Exchange с Microsoft 365. Дополнительные сведения об этом процессе см. в статье Microsoft Entra Connect Sync: Общие сведения о синхронизации и настройке синхронизации.

Наряду с синхронизацией других данных каталога Microsoft Entra Connect синхронизирует атрибуты userCertificate и userSMIMECertificate для каждого объекта пользователя для подписывания и шифрования сообщений электронной почты S/MIME. Дополнительные сведения о Microsoft Entra Connect см. в статье Что такое Microsoft Entra Connect?.

Шаг 4. Настройка политик для установки расширений S/MIME в веб-браузерах

Примечание.

Этот шаг необходим только для Outlook в Интернете клиентов.

Для S/MIME в Outlook в Интернете в Microsoft Edge на основе Chromium или в Google Chrome требуются определенные параметры политики, настроенные администратором.

В частности, необходимо задать и настроить политику с именем ExtensionInstallForcelist , чтобы установить расширение S/MIME в браузере. Значение политики — maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx. Для применения этой политики требуются присоединенные к домену или Microsoft Entra устройства, поэтому использование S/MIME в Edge или Chrome требует присоединения к домену или Microsoft Entra присоединенных устройств.

Дополнительные сведения о политиках см. в следующих разделах:

Политика является необходимым условием для использования S/MIME в Outlook в Интернете. Он не заменяет элемент управления S/MIME, установленный пользователями. Пользователям предлагается скачать и установить элемент управления S/MIME в Outlook в Интернете во время первого использования S/MIME. Кроме того, пользователи могут заранее перейти к S/MIME в параметрах Outlook в Интернете, чтобы получить ссылку для скачивания элемента управления.

Шаг 5. Настройка почтовых клиентов для использования S/MIME

Если клиент электронной почты поддерживает S/MIME, следует рассмотреть вопрос о доступе этого почтового клиента к сертификату S/MIME пользователя. Сертификат S/MIME должен быть установлен на компьютере или устройстве пользователя. Сертификаты S/MIME можно распространять автоматически (например, с помощью Microsoft Endpoint Manager) или вручную (например, пользователь может экспортировать сертификат со своего компьютера и импортировать его на мобильном устройстве). После того как сертификат будет доступен локально, вы можете включить и настроить S/MIME в параметрах почтового клиента.

Дополнительные сведения о S/MIME в почтовых клиентах см. в следующих разделах:

Вы также можете использовать следующие параметры в командлетах New-MobileDeviceMailboxPolicy и Set-MobileDeviceMailboxPolicy в Exchange Online PowerShell, чтобы настроить параметры S/MIME для мобильных устройств:

  • AllowSMIMEEncryptionAlgorithmNegotiation
  • AllowSMIMESoftCerts
  • RequireEncryptedSMIMEMessages
  • RequireEncryptionSMIMEAlgorithm
  • RequireSignedSMIMEAlgorithm
  • RequireSignedSMIMEMessages