Exchange Online中適用于 iOS 和 Android 版 Outlook 的 S/MIME
S/MIME (安全/多用途網際網路郵件擴充功能) 是廣泛接受的通訊協定,可傳送數位簽署和加密的郵件。 如需詳細資訊,請參閱S/MIME 以在Exchange Online中簽署和加密訊息。
若要在 iOS 版和 Android 版 Outlook 中運用 S/MIME,您必須在 Exchange Online 中設定特定的 S/MIME 必要條件。 完成這些步驟之後,您可以使用下列方法,將 S/MIME 憑證部署到 iOS 和 Android 版 Outlook:
- 手動傳遞憑證
- 自動化憑證傳遞
本文說明如何使用 iOS 版和 Android 版 Outlook 設定 S/MIME 的Exchange Online,以及如何在 iOS 和 Android 版 Outlook 中使用 S/MIME。
S/MIME 必要條件
請遵循在 Exchange Online 中設定 S/MIME 中所述的步驟,確定已在 Exchange Online 中正確設定 S/MIME。 具體而言,這包括:
- 設定 虛擬憑證集合。
- 將憑證撤銷清單發佈至網際網路。
在手動和自動化的憑證傳遞解決方案中,預期憑證的受根信任鏈結可在您Exchange Online租使用者的虛擬憑證集合中使用和探索。 信任驗證會在所有數位憑證上執行。 Exchange Online驗證憑證鏈結中的每個憑證,直到達到受信任的根憑證為止, 這項驗證是透過憑證中的授權單位資訊存取屬性取得中繼憑證來完成,直到找到受信任的根憑證為止。 中繼憑證也可以包含在數位簽章的電子郵件訊息中。 如果Exchange Online找到受信任的根憑證,而且可以查詢憑證授權單位單位的憑證撤銷清單,則該數位憑證的數位憑證鏈結會被視為有效且受信任,而且可以使用。 如果Exchange Online找不到受信任的根憑證,或無法連絡憑證授權單位單位的憑證撤銷清單,該憑證會被視為無效且不受信任。
iOS 和 Android 版 Outlook 會利用使用者的主要 SMTP 位址進行郵件流程活動,這是在帳戶設定檔設定期間設定的。 iOS 版和 Android 版 Outlook 所使用的 S/MIME 憑證是透過比較帳戶設定檔中定義的使用者主要 SMTP 位址與憑證的主體值或主體別名值來計算;如果這些不相符,則 iOS 版和 Android 版 Outlook 會回報憑證無法使用 (請參閱圖 7) ,且不允許使用者簽署和/或加密訊息。
手動傳遞憑證
iOS 版 Outlook 和 Android 版 Outlook 都支援手動憑證傳遞,也就是當憑證以電子郵件傳送給使用者,而使用者點選應用程式內的憑證附件來起始憑證安裝時。 下圖顯示手動憑證傳遞在 iOS 中的運作方式。
使用者可以匯出自己的憑證,並使用 Outlook 將憑證寄送給自己。 如需詳細資訊,請參閱 匯出數位憑證。
重要事項
匯出憑證時,請確定匯出的憑證受到強式密碼的密碼保護。
自動化憑證傳遞
重要事項
當 Microsoft 端點管理員是註冊提供者時,iOS 版和 Android 版 Outlook 僅支援自動憑證傳遞。
針對 iOS 版 Outlook,這是因為 iOS 金鑰鏈架構所致。 iOS 提供系統金鑰鏈和發行者金鑰鏈。 iOS 可防止協力廠商應用程式存取系統金鑰鏈 (只有第一方應用程式,而 Safari Webview 控制器可以存取系統金鑰鏈) 。 若要傳遞可由 iOS 版 Outlook 存取的憑證,憑證必須位於 iOS 版 Outlook 可存取的 Microsoft 發行者金鑰鏈中。 只有 Microsoft 發佈的應用程式,例如公司入口網站,才能將憑證放入 Microsoft 發行者金鑰鏈。
Android 版 Outlook 依賴端點管理員來傳遞和核准 S/MIME 憑證。 Android 註冊案例支援自動憑證傳遞:裝置系統管理員、Android Enterprise 工作設定檔,以及完全受控的 Android Enterprise。
使用端點管理員,組織可以從任何憑證授權單位單位匯入加密憑證歷程記錄。 端點管理員接著會自動將這些憑證傳遞給使用者註冊的任何裝置。 一般而言,簡單憑證註冊通訊協定 (SCEP) 用於簽署憑證。 使用 SCEP 時,私密金鑰會產生並儲存在已註冊的裝置上,而且會將唯一憑證傳遞給使用者註冊的每個裝置,以用於不否認性。 最後,端點管理員為需要 NIST 800-157 標準支援的客戶支援衍生認證。 公司入口網站用來從 Intune 擷取簽署和加密憑證。
若要將憑證傳遞至 iOS 和 Android 版 Outlook,您必須完成下列必要條件:
- 透過端點管理員部署受信任的根憑證。 如需詳細資訊,請 參閱建立受信任的憑證設定檔。
- 加密憑證必須匯入端點管理員。 如需詳細資訊, 請參閱使用 Intune 設定和使用匯入的 PKCS 憑證。
- 安裝和設定適用于 Microsoft Intune 的 PFX 連接器。 如需詳細資訊,請參閱下載、安裝及設定適用于 Microsoft Intune 的 PFX 憑證連接器。
- 裝置必須註冊,才能自動從端點管理員接收受信任的根和 S/MIME 憑證。
iOS 版 Outlook 自動化憑證傳遞
使用下列步驟,在端點管理員中建立及設定 iOS 版 Outlook S/MIME 原則。 這些設定可自動傳遞簽署和加密憑證。
登入 Microsoft 端點管理員。
選取 [應用程式],然後選取 [應用程式組態原則]。
在 [應用程式組態 原則] 刀鋒視窗上,選擇 [新增],然後選取 [受控裝置] 以啟動應用程式設定原則建立流程。
在 [基本] 區段上,輸入應用程式組態設定的 [名稱] 和選擇性 [描述]。
針對 [平臺],選擇 [iOS/iPadOS]。
針對 [目標應用程式], 選擇 [選取應用程式],然後在 [ 相關聯的應用程式 ] 刀鋒視窗上選擇 [Microsoft Outlook]。 按一下確定。
注意事項
如果 Outlook 未列為可用的應用程式,則您必須遵循使用Intune 將應用程式指派給 Android 工作設定檔裝置和將iOS 市集應用程式新增至Microsoft Intune中的指示來新增它。
按一下 [組態設定] 以新增組態設定。
選 取 [組 態 設定格式 ] 旁的 [使用設定設計工具],然後接受或修改預設設定。 如需詳細資訊,請 參閱部署 iOS 版 Outlook 和 Android 應用程式組態設定。
按一下 [S/MIME] 以顯示 Outlook S/MIME 設定。
將 [啟用 S/MIME] 設定為 [是]。 選取 [是] 或 [ 否]時,系統管理員可以選擇允許使用者變更應用程式設定的值。 選取 [ 是 (應用程式預設) ],以允許使用者變更設定,或者如果您想要防止使用者變更設定的值,請選擇 [ 否 ]。
選取 [是] 或 [否],選擇是否要加密所有電子郵件。 選取 [是] 或 [ 否]時,系統管理員可以選擇允許使用者變更應用程式設定的值。 選取 [ 是 (應用程式預設) ],以允許使用者變更設定,或者如果您想要防止使用者變更設定的值,請選擇 [ 否 ]。
選取 [是] 或 [否],選擇是否要簽署所有電子郵件。 選取 [是] 或 [ 否]時,系統管理員可以選擇允許使用者變更應用程式設定的值。 選取 [ 是 (應用程式預設) ],以允許使用者變更設定,或者如果您想要防止使用者變更設定的值,請選擇 [ 否 ]。
如有需要,請部署收件者憑證查閱的 LDAP URL 。 如需 URL 格式的詳細資訊,請參閱 憑證查閱的 LDAP 支援。
將 [從 Intune 部署 S/MIME 憑證 ] 設定為 [ 是]。
在 [憑證配置檔案類型] 旁的 [簽署憑證] 下,選擇下列其中一個選項:
- SCEP:建立可供 Microsoft Outlook 用來簽署之裝置和使用者唯一的憑證。 如需使用 SCEP 憑證設定檔所需專案的資訊,請參閱設定 基礎結構以支援搭配 Intune 的 SCEP。
- PKCS 匯入的憑證:使用使用者唯一的憑證,但可能會在裝置之間共用,而且系統管理員已代表使用者匯入端點管理員。 憑證會傳遞至使用者註冊的任何裝置。 端點管理員會自動挑選支援簽署的匯入憑證,以傳遞至對應至已註冊使用者的裝置。 如需使用 PKCS 匯入憑證所需的資訊,請參閱搭配 Intune 設定和使用 PKCS 憑證。
- 衍生認證:使用已在裝置上可用於簽署的憑證。 您必須在裝置上使用 Intune 中的衍生認證流程來擷取憑證。
在 [憑證配置檔案類型] 旁的 [加密憑證] 下,選擇下列其中一個選項:
- PKCS 匯入的憑證:在使用者註冊的任何裝置上,傳遞系統管理員已匯入端點管理員的任何加密憑證。 端點管理員會自動挑選支援加密的匯入憑證或憑證,並傳遞至已註冊使用者的裝置。
- 衍生認證:使用已在裝置上可用於簽署的憑證。 您必須在裝置上使用 Intune 中的衍生認證流程來擷取憑證。
在使用者通知旁,選擇如何藉由選取 [公司入口網站] 或 [Email] 來通知使用者擷取憑證。
在 iOS 上,使用者必須使用公司入口網站應用程式來擷取其 S/MIME 憑證。 端點管理員會通知使用者,他們必須啟動公司入口網站,才能透過公司入口網站的通知區段、推播通知和/或電子郵件擷取其 S/MIME 憑證。 按一下其中一個通知會將使用者帶至登陸頁面,告知他們擷取憑證的進度。 擷取憑證之後,使用者就可以從 Microsoft Outlook for iOS 內使用 S/MIME 來簽署和加密電子郵件。
使用者通知包含下列選項:
- 公司入口網站:如果選取,使用者會在其裝置上收到推播通知,這會將他們帶至將擷取 S/MIME 憑證之公司入口網站登陸頁面。
- Email:傳送電子郵件給使用者,通知他們必須啟動公司入口網站以擷取其 S/MIME 憑證。 如果使用者在按一下電子郵件中的連結時,在其註冊的 iOS 裝置上,系統會將他們重新導向至公司入口網站以擷取其憑證。
終端使用者會看到類似以下的自動化憑證傳遞體驗:
選取 [指派],將應用程式設定原則指派給Microsoft Entra群組。 如需詳細資訊,請參閱使用 Microsoft Intune 將應用程式指派給群組。
Android 版 Outlook 自動化憑證傳遞
使用下列步驟,在端點管理員中建立和設定 iOS 版 Outlook 和 Android S/MIME 原則。 這些設定可自動傳遞簽署和加密憑證。
登入 Microsoft 端點管理員。
建立 SCEP 憑證設定檔 或 PKCS 憑證設定檔 ,並將其指派給行動使用者。
選取 [應用程式],然後選取 [應用程式組態原則]。
在 [應用程式組態 原則] 刀鋒視窗上,選擇 [新增],然後選取 [受控裝置] 以啟動應用程式設定原則建立流程。
在 [基本] 區段上,輸入應用程式組態設定的 [名稱] 和選擇性 [描述]。
針對 [平臺],選擇 [Android Enterprise ],然後針對 [ 配置檔案類型]選擇 [ 所有配置檔案類型]。
針對 [目標應用程式], 選擇 [選取應用程式],然後在 [ 相關聯的應用程式 ] 刀鋒視窗上選擇 [Microsoft Outlook]。 按一下確定。
注意事項
如果 Outlook 未列為可用的應用程式,則您必須遵循使用Intune 將應用程式指派給 Android 工作設定檔裝置和將iOS 市集應用程式新增至Microsoft Intune中的指示來新增它。
按一下 [組態設定] 以新增組態設定。
選 取 [組 態 設定格式 ] 旁的 [使用設定設計工具],然後接受或修改預設設定。 如需詳細資訊,請 參閱部署 iOS 版 Outlook 和 Android 應用程式組態設定。
按一下 [S/MIME] 以顯示 Outlook S/MIME 設定。
將 [啟用 S/MIME] 設定為 [是]。 選取 [是] 或 [ 否]時,系統管理員可以選擇允許使用者變更應用程式設定的值。 選取 [ 是 (應用程式預設) ],以允許使用者變更設定,或者如果您想要防止使用者變更設定的值,請選擇 [ 否 ]。
選取 [是] 或 [否],選擇是否要加密所有電子郵件。 選取 [是] 或 [ 否]時,系統管理員可以選擇允許使用者變更應用程式設定的值。 選取 [ 是 (應用程式預設) ],以允許使用者變更設定,或者如果您想要防止使用者變更設定的值,請選擇 [ 否 ]。
選取 [是] 或 [否],選擇是否要簽署所有電子郵件。 選取 [是] 或 [ 否]時,系統管理員可以選擇允許使用者變更應用程式設定的值。 選取 [ 是 (應用程式預設) ],以允許使用者變更設定,或者如果您想要防止使用者變更設定的值,請選擇 [ 否 ]。
選取 [指派],將應用程式設定原則指派給Microsoft Entra群組。 如需詳細資訊,請參閱使用 Microsoft Intune 將應用程式指派給群組。
在用戶端中啟用 S/MIME
必須為 iOS 和 Android 版 Outlook 啟用 S/MIME,才能檢視或建立 S/MIME 相關內容。
終端使用者必須手動啟用 S/MIME 功能,方法是存取其帳戶設定、點選 [安全性],然後點選預設關閉的 S/MIME 控制項。 iOS 版 Outlook S/MIME 安全性設定如下所示:
啟用 S/MIME 設定時,iOS 和 Android 版 Outlook 會自動停用 [依 執行緒組織 ] 設定。 這是因為 S/MIME 加密會隨著交談執行緒的成長而變得更複雜。 藉由移除執行緒交談檢視,iOS 和 Android 版 Outlook 可減少在簽署和加密期間,跨收件者發生憑證問題的機會。 由於這是應用層級設定,這項變更會影響新增至應用程式的所有帳戶。 這個執行緒對話方塊會在 iOS 中轉譯,如下所示:
啟用 S/MIME 並安裝 S/MIME 憑證之後,使用者可以存取其帳戶設定並點選 [安全性] 來檢視已安裝的憑證。 此外,使用者可以點選每個個別的 S/MIME 憑證,並檢視憑證的詳細資料,包括金鑰使用量和有效期間等資訊。
使用者可以設定 Outlook 自動簽署或加密訊息。 這可讓使用者節省傳送電子郵件的時間,同時確信其電子郵件已簽署/加密。
憑證查閱的 LDAP 支援
iOS 和 Android 版 Outlook 支援在收件者解析期間,從安全的 LDAP 目錄端點存取公用使用者憑證金鑰。 若要利用 LDAP 端點,必須符合下列需求:
- LDAP 端點不需要驗證。
- LDAP 端點設定會透過應用程式設定原則傳遞至 iOS 版 Outlook 和 ANdroid。 如需詳細資訊,請參閱 S/MIME 設定。
- 使用下列格式支援 LDAP 端點設定:
ldaps://contoso.comldap://contoso.comldap://contoso.com:389ldaps://contoso.com:636contoso.comcontoso.com:389contoso.com:636
當 iOS 版 Outlook 和 Android 版針對收件者執行憑證查閱時,應用程式會先搜尋本機裝置,然後查詢Microsoft Entra識別碼,然後評估任何 LDAP 目錄端點。 當 iOS 和 Android 版 Outlook 連線到 LDAP 目錄端點以搜尋收件者的公用憑證時,會執行憑證驗證以確保憑證不會被撤銷。 只有在憑證驗證成功完成時,應用程式才會將憑證視為有效。
在 iOS 版和 Android 版 Outlook 中使用 S/MIME
部署憑證並在應用程式中啟用 S/MIME 之後,使用者可以使用 S/MIME 憑證來取用 S/MIME 相關內容和撰寫內容。 如果未啟用 S/MIME 設定,則使用者將無法取用 S/MIME 內容。
檢視 S/MIME 訊息
在訊息檢視中,使用者可以檢視已簽署或加密 S/MIME 的訊息。 此外,使用者可以點選 S/MIME 狀態列來檢視訊息 S/MIME 狀態的詳細資訊。 下列螢幕擷取畫面顯示如何在 Android 中使用 S/MIME 訊息的範例。
重要事項
若要讀取加密的郵件,裝置上必須提供收件者的私人憑證金鑰。
使用者可以點選 S/MIME 狀態列來安裝寄件者的公用憑證金鑰。 憑證會安裝在使用者的裝置上,特別是在 iOS 中的 Microsoft 發行者 金鑰鏈 或 Android 中的系統 KeyStore中。 Android 版本如下所示:
如果發生憑證錯誤,iOS 和 Android 版 Outlook 會警告使用者。 使用者可以點選 S/MIME 狀態列通知,以檢視憑證錯誤的詳細資訊,如下列範例所示。
建立 S/MIME 訊息
在使用者可以傳送已簽署和/或加密的訊息之前,iOS 和 Android 版 Outlook 會對憑證執行有效性檢查,以確保其適用于簽署或加密作業。 如果憑證即將到期,iOS 版 Outlook 和 Android 版會在使用者嘗試簽署或加密訊息時,于到期前 30 天開始警示使用者取得新的憑證。
在 iOS 和 Android 版 Outlook 中撰寫電子郵件時,寄件者可以選擇加密和/或簽署郵件。 點選 省略 號,然後點選 [ 簽署並加密],即會顯示各種 S/MIME 選項。 選取 S/MIME 選項可在儲存或傳送郵件後立即啟用電子郵件的個別編碼,前提是寄件者具有有效的憑證。
iOS 和 Android 版 Outlook 可以將 S/MIME 簽署和加密的訊息傳送至通訊群組。 iOS 和 Android 版 Outlook 會列舉通訊群組中定義之使用者的憑證,包括巢狀散發群組中的憑證,但應小心限制巢狀散發群組的數目,以將處理影響降到最低。
重要事項
- iOS 和 Android 版 Outlook 僅支援傳送已清除簽署的訊息。
- 若要撰寫加密的郵件,目標收件者的公用憑證金鑰必須可在全域通訊清單中使用,或儲存在本機裝置上。 若要撰寫已簽署的訊息,裝置上必須提供寄件者的私人憑證金鑰。
以下是 S/MIME 選項在 Android 版 Outlook 中的顯示方式:
iOS 版和 Android 版 Outlook 會在傳送加密郵件之前評估所有收件者,並確認每個收件者都有有效的公開憑證金鑰。 系統會先檢查 GAL) (全域通訊清單;如果 GAL 中沒有收件者的憑證,Outlook 會查詢 iOS 中的 Microsoft 發行者金鑰鏈或 Android 中的系統 KeyStore,以找出收件者的公用憑證金鑰。 對於沒有公用憑證金鑰 (或金鑰) 不正確收件者,Outlook 會提示其移除。 除非寄件者在撰寫期間停用加密選項,否則不會在沒有加密的情況下將郵件傳送給任何收件者。
