在 Intune 中簽署和加密電子郵件的 S/MIME 概觀

  • 發行項

Email憑證也稱為 S/MIME 憑證,可使用加密和解密,為您的電子郵件通訊提供額外的安全性。 Microsoft Intune可以使用 S/MIME 憑證來簽署電子郵件,並將電子郵件加密到執行下列平臺的行動裝置:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10/11

Intune可以自動將 S/MIME 加密憑證傳遞給所有平臺。 S/MIME 憑證會自動與在 iOS 上使用原生郵件用戶端的郵件設定檔相關聯,以及與 iOS 和 Android 裝置上的 Outlook 相關聯。 針對 Windows 和 macOS 平臺,以及 iOS 和 Android 上的其他郵件用戶端,Intune傳遞憑證,但使用者必須在其郵件應用程式中手動啟用 S/MIME,並選擇其 S/MIME 憑證。

如需有關使用 Exchange 進行 S/MIME 電子郵件簽署和加密的詳細資訊,請參閱 訊息簽署和加密的 S/MIME

本文提供使用 S/MIME 憑證來簽署和加密裝置上電子郵件的概觀。

簽署憑證

用於簽署的憑證可讓用戶端電子郵件應用程式安全地與電子郵件伺服器通訊。

若要使用簽署憑證,請在憑證授權單位單位 (CA) 上建立以簽署為焦點的範本。 在 Microsoft Active Directory 憑證授權單位單位上,設定伺服器憑證範本會列出建立憑證範本的步驟。

在 中簽署憑證Intune使用 PKCS 憑證。 設定和使用 PKCS 憑證說明如何在Intune環境中部署和使用 PKCS 憑證。 這些步驟包括:

  • 安裝並設定適用于 Microsoft Intune 的憑證連接器,以支援 PKCS 憑證要求。 連接器與受 控裝置具有相同的網路需求。
  • 為您的裝置建立受信任的根憑證設定檔。 此步驟包括為您的憑證授權單位單位使用受信任的根憑證和中繼憑證,然後將設定檔部署至裝置。
  • 使用您建立的憑證範本建立 PKCS 憑證設定檔。 此設定檔會將簽署憑證簽發給裝置,並將 PKCS 憑證設定檔部署至裝置。

您也可以匯入特定使用者的簽署憑證。 簽署憑證會部署在使用者註冊的任何裝置上。 若要將憑證匯入Intune,請使用GitHub 中的 PowerShell Cmdlet。 若要部署匯入Intune中的 PKCS 憑證以用於電子郵件簽署,請遵循設定及使用 PKCS 憑證與Intune中的步驟。 這些步驟包括:

  • 下載、安裝及設定適用于 Microsoft Intune 的憑證連接器。 此連接器會將匯入的 PKCS 憑證傳遞給裝置。
  • 將 S/MIME 電子郵件簽署憑證匯入至 Intune。
  • 建立 PKCS 匯入的憑證設定檔。 此設定檔會將匯入的 PKCS 憑證傳遞給適當的使用者裝置。

加密憑證

用於加密的憑證會確認加密的電子郵件只能由預定的收件者解密。 S/MIME 加密是額外的安全性層級,可用於電子郵件通訊。

將加密的電子郵件傳送給另一位使用者時,會取得該使用者加密憑證的公開金鑰,並加密您傳送的電子郵件。 收件者會使用其裝置上的私密金鑰來解密電子郵件。 使用者可以擁有用來加密電子郵件的憑證歷程記錄。 每個憑證都必須部署到所有特定使用者的裝置,才能成功解密其電子郵件。

建議您不要在Intune中建立電子郵件加密憑證。 雖然Intune支援發行支援加密的 PKCS 憑證,Intune為每個裝置建立唯一的憑證。 每個裝置的唯一憑證不適用於應該在所有使用者裝置上共用加密憑證的 S/MIME 加密案例。

若要使用 Intune 部署 S/MIME 憑證,您必須將使用者的所有加密憑證匯入至 Intune。 然後Intune將所有這些憑證部署到使用者註冊的每部裝置。 若要將憑證匯入Intune,請使用GitHub 中的 PowerShell Cmdlet

若要部署匯入Intune用於電子郵件加密的 PKCS 憑證,請遵循設定及使用 PKCS 憑證與Intune中的步驟。 這些步驟包括:

  • 安裝和設定適用于 Microsoft Intune 的憑證連接器。 此連接器會將匯入的 PKCS 憑證傳遞給裝置。
  • 將 S/MIME 電子郵件加密憑證匯入至 Intune。
  • 建立 PKCS 匯入的憑證設定檔。 此設定檔會將匯入的 PKCS 憑證傳遞給適當的使用者裝置。

注意事項

當移除公司資料或使用者從管理中取消註冊時,Intune會移除匯入的 S/MIME 加密憑證。 但是,憑證授權單位單位不會撤銷憑證。

S/MIME 電子郵件設定檔

建立 S/MIME 簽署和加密憑證設定檔之後,您可以 為 iOS/iPadOS 原生郵件啟用 S/MIME

後續步驟