Exchange Online 中適用於 iOS 和 Android 版 Outlook 的 S/MIME
S/MIME (安全/多用途因特網郵件擴充功能) 是廣泛接受的通訊協定,可傳送數位簽署和加密的郵件。 如需詳細資訊,請參閱 S/MIME 以在 Exchange Online 中簽署和加密訊息。
若要在 iOS 版和 Android 版 Outlook 中運用 S/MIME,您必須在 Exchange Online 中設定特定的 S/MIME 必要條件。 完成這些步驟之後,您可以使用下列方法,將 S/MIME 憑證部署到 iOS 和 Android 版 Outlook:
- 手動傳遞憑證
- 自動化憑證傳遞
本文說明如何使用 iOS 版和 Android 版 Outlook 設定 S/MIME 的 Exchange Online,以及如何在 iOS 和 Android 版 Outlook 中使用 S/MIME。
S/MIME 必要條件
請遵循在 Exchange Online 中設定 S/MIME 中所述的步驟,確定已在 Exchange Online 中正確設定 S/MIME。 具體而言,這包括:
- 設定 虛擬憑證集合。
- 將證書吊銷清單發佈至因特網。
在手動和自動化的憑證傳遞解決方案中,預期憑證的受信任根鏈結可在您 Exchange Online 租使用者的虛擬憑證集合中使用和探索。 信任驗證會在所有數位證書上執行。 Exchange Online 驗證憑證鏈結中的每個憑證,直到達到受信任的跟證書為止, 這項驗證是透過憑證中的授權單位資訊存取屬性取得中繼憑證來完成,直到找到受信任的跟證書為止。 中繼憑證也可以包含在數位簽名的電子郵件訊息中。 如果 Exchange Online 找到受信任的跟證書,而且可以查詢證書頒發機構單位的證書吊銷清單,則該數位證書的數位證書鏈結會被視為有效且受信任,而且可以使用。 如果 Exchange Online 找不到受信任的跟證書,或無法連絡證書頒發機構單位的證書吊銷清單,該憑證會被視為無效且不受信任。
iOS 和 Android 版 Outlook 會利用使用者的主要 SMTP 位址進行郵件流程活動,這是在帳戶配置檔設定期間設定的。 iOS 版和 Android 版 Outlook 所使用的 S/MIME 憑證是透過比較帳戶配置檔中定義的使用者主要 SMTP 位址與憑證的主體值或主體別名值來計算;如果這些不相符,則 iOS 版和 Android 版 Outlook 會回報憑證無法使用 (請參閱圖 7) ,且不允許使用者簽署和/或加密訊息。
手動傳遞憑證
iOS 版 Outlook 和 Android 版 Outlook 都支援手動憑證傳遞,也就是當憑證以電子郵件傳送給使用者,而使用者點選應用程式內的憑證附件來起始憑證安裝時。 下圖顯示手動憑證傳遞在iOS中的運作方式。
用戶可以匯出自己的憑證,並使用 Outlook 將憑證寄送給自己。 如需詳細資訊,請參閱 匯出數字證書。
重要事項
匯出憑證時,請確定導出的憑證受到強密碼的密碼保護。
自動化憑證傳遞
重要事項
只有當 Microsoft 端點管理員是註冊提供者時,iOS 和 Android 版 Outlook 才支援自動憑證傳遞。
針對 iOS 版 Outlook,這是因為 iOS 金鑰鏈架構所致。 iOS 提供系統金鑰鏈和發行者金鑰鏈。 iOS 可防止第三方應用程式存取系統金鑰鏈 (只有第一方應用程式,而 Safari Webview 控制器可以存取系統密鑰鏈) 。 若要傳遞可由iOS版 Outlook 存取的憑證,憑證必須位於iOS版 Outlook 可存取的Microsoft發行者密鑰鏈中。 只有Microsoft發佈應用程式,例如 公司入口網站,才能將憑證放入Microsoft發行者密鑰鏈。
Android 版 Outlook 依賴端點管理員來傳遞和核准 S/MIME 憑證。 Android 註冊案例支援自動憑證傳遞:裝置系統管理員、Android Enterprise 工作配置檔,以及完全受控的 Android Enterprise。
使用端點管理員,組織可以從任何證書頒發機構單位匯入加密憑證歷程記錄。 端點管理員接著會自動將這些憑證傳遞給用戶註冊的任何裝置。 一般而言,簡單憑證註冊通訊協定 (SCEP) 用於簽署憑證。 使用 SCEP 時,私鑰會產生並儲存在已註冊的裝置上,而且會將唯一憑證傳遞給用戶註冊的每個裝置,以用於不否認性。 最後,端點管理員為需要 NIST 800-157 標準支援的客戶支援衍生認證。 公司入口網站 用來從 Intune 擷取簽署和加密憑證。
若要將憑證傳遞至 iOS 和 Android 版 Outlook,您必須完成下列必要條件:
透過端點管理員部署受信任的跟證書。 如需詳細資訊,請 參閱建立受信任的憑證配置檔。
加密憑證必須匯入端點管理員。 如需詳細資訊,請參閱設定及使用匯入的 PKCS 憑證與 Intune。
安裝和設定適用於 Microsoft Intune的 PFX 連接器。 如需詳細資訊,請參閱下載、安裝及設定適用於 Microsoft Intune 的 PFX 憑證連接器。
裝置必須註冊,才能自動從端點管理員接收受信任的根和 S/MIME 憑證。
iOS 版 Outlook 自動化憑證傳遞
使用下列步驟,在端點管理員中建立及設定iOS版 Outlook S/MIME 原則。 這些設定可自動傳遞簽署和加密憑證。
選取 [應用程式],然後選取 [應用程式組態原則]。
在 [應用程式組態 原則] 刀鋒視窗上,選擇 [新增],然後選取 [受控裝置] 以啟動應用程式設定原則建立流程。
在 [基本] 區段上,輸入應用程式組態設定的 [名稱] 和選擇性 [描述]。
針對 [平臺],選擇 [iOS/iPadOS]。
針對 [目標應用程式], 選擇 [選取應用程式],然後在 [ 相關聯的應用程式 ] 刀鋒視窗上選擇 [Microsoft Outlook]。 按一下確定。
注意事項
如果 Outlook 未列為可用的應用程式,則您必須遵循使用 Intune 將應用程式指派給 Android 工作設定檔裝置和將 iOS 市集應用程式新增至 Microsoft Intune 中的指示來新增它。
按兩下 [組態設定] 以新增組態設定。
選 取 [組 態 設定格式 ] 旁的 [使用設定設計工具],然後接受或修改預設設定。 如需詳細資訊,請 參閱部署 iOS 版 Outlook 和 Android 應用程式組態設定。
按兩下 [S/MIME] 以顯示 Outlook S/MIME 設定。
將 [啟用 S/MIME] 設定為 [是]。 選取 [是] 或 [ 否] 時,系統管理員可以選擇允許使用者變更應用程式設定的值。 選取 [ 是 (應用程式預設) ],以允許使用者變更設定,或者如果您想要防止使用者變更設定的值,請選擇 [ 否 ]。
選取 [是] 或 [否],選擇是否要加密所有電子郵件。 選取 [是] 或 [ 否] 時,系統管理員可以選擇允許使用者變更應用程式設定的值。 選取 [ 是 (應用程式預設) ],以允許使用者變更設定,或者如果您想要防止使用者變更設定的值,請選擇 [ 否 ]。
選取 [是] 或 [否],選擇是否要簽署所有電子郵件。 選取 [是] 或 [ 否] 時,系統管理員可以選擇允許使用者變更應用程式設定的值。 選取 [ 是 (應用程式預設) ],以允許使用者變更設定,或者如果您想要防止使用者變更設定的值,請選擇 [ 否 ]。
如有需要,請部署收件者憑證查閱的 LDAP URL 。 如需 URL 格式的詳細資訊,請參閱 憑證查閱的 LDAP 支援。
將 [從 Intune 部署 S/MIME 憑證] 設定為 [是]。
在 [憑證配置檔類型] 旁的 [簽署憑證] 下,選擇下列其中一個選項:
- SCEP:建立裝置和使用者唯一的憑證,供 Microsoft Outlook 用來簽署。 如需使用 SCEP 憑證設定檔所需專案的資訊,請參閱使用 Intune 設定基礎結構以支援 SCEP。
- PKCS 匯入的憑證:使用使用者唯一的憑證,但可能會在裝置之間共用,而且系統管理員已代表用戶匯入端點管理員。 憑證會傳遞至用戶註冊的任何裝置。 端點管理員會自動挑選支援簽署的匯入憑證,以傳遞至對應至已註冊用戶的裝置。 如需使用 PKCS 匯入憑證所需的資訊,請參閱設定及使用 PKCS 憑證與 Intune。
- 衍生認證:使用已在裝置上可用於簽署的憑證。 您必須在裝置上使用 Intune 中的衍生認證流程來擷取憑證。
在 [憑證配置檔類型] 旁的 [加密憑證] 下,選擇下列其中一個選項:
- PKCS 匯入的憑證:在用戶註冊的任何裝置上,傳遞系統管理員已匯入端點管理員的任何加密憑證。 端點管理員會自動挑選支援加密的匯入憑證或憑證,並傳遞至已註冊用戶的裝置。
- 衍生認證:使用已在裝置上可用於簽署的憑證。 您必須在裝置上使用 Intune 中的衍生認證流程來擷取憑證。
在使用者通知旁,選擇如何藉由選取 [公司入口網站] 或 [Email] 來通知使用者擷取憑證。
在 iOS 上,用戶必須使用 公司入口網站 應用程式來擷取其 S/MIME 憑證。 端點管理員會通知使用者,他們必須啟動 公司入口網站,才能透過 公司入口網站 的通知區段、推播通知和/或電子郵件擷取其 S/MIME 憑證。 按兩下其中一個通知會將使用者帶至登陸頁面,告知他們擷取憑證的進度。 擷取憑證之後,使用者就可以從iOS版 Outlook Microsoft內使用 S/MIME 來簽署和加密電子郵件。
使用者通知包含下列選項:
- 公司入口網站:如果選取,使用者會在其裝置上收到推播通知,這會將他們帶至將擷取 S/MIME 憑證之 公司入口網站 登陸頁面。
- Email:傳送電子郵件給使用者,通知他們必須啟動 公司入口網站 以擷取其 S/MIME 憑證。 如果使用者在單擊電子郵件中的連結時,在其註冊的 iOS 裝置上,系統會將他們重新導向至 公司入口網站 以擷取其憑證。
終端使用者會看到類似以下的自動化憑證傳遞體驗:
選取 [指派],將應用程式設定原則指派給 Microsoft Entra 群組。 如需詳細資訊,請參閱使用 Microsoft Intune 將應用程式指派給群組。
Android 版 Outlook 自動化憑證傳遞
使用下列步驟,在端點管理員中建立和設定iOS版 Outlook 和 Android S/MIME 原則。 這些設定可自動傳遞簽署和加密憑證。
建立 SCEP 憑證配置檔 或 PKCS 憑證配置檔 ,並將其指派給行動使用者。
選取 [應用程式],然後選取 [應用程式組態原則]。
在 [應用程式組態 原則] 刀鋒視窗上,選擇 [新增],然後選取 [受控裝置] 以啟動應用程式設定原則建立流程。
在 [基本] 區段上,輸入應用程式組態設定的 [名稱] 和選擇性 [描述]。
針對 [平臺],選擇 [Android Enterprise ],然後針對 [ 配置檔類型] 選擇 [ 所有配置檔類型]。
針對 [目標應用程式], 選擇 [選取應用程式],然後在 [ 相關聯的應用程式 ] 刀鋒視窗上選擇 [Microsoft Outlook]。 按一下確定。
注意事項
如果 Outlook 未列為可用的應用程式,則您必須遵循使用 Intune 將應用程式指派給 Android 工作設定檔裝置和將 iOS 市集應用程式新增至 Microsoft Intune 中的指示來新增它。
按兩下 [組態設定] 以新增組態設定。
選 取 [組 態 設定格式 ] 旁的 [使用設定設計工具],然後接受或修改預設設定。 如需詳細資訊,請 參閱部署 iOS 版 Outlook 和 Android 應用程式組態設定。
按兩下 [S/MIME] 以顯示 Outlook S/MIME 設定。
將 [啟用 S/MIME] 設定為 [是]。 選取 [是] 或 [ 否] 時,系統管理員可以選擇允許使用者變更應用程式設定的值。 選取 [ 是 (應用程式預設) ],以允許使用者變更設定,或者如果您想要防止使用者變更設定的值,請選擇 [ 否 ]。
選取 [是] 或 [否],選擇是否要加密所有電子郵件。 選取 [是] 或 [ 否] 時,系統管理員可以選擇允許使用者變更應用程式設定的值。 選取 [ 是 (應用程式預設) ],以允許使用者變更設定,或者如果您想要防止使用者變更設定的值,請選擇 [ 否 ]。
選取 [是] 或 [否],選擇是否要簽署所有電子郵件。 選取 [是] 或 [ 否] 時,系統管理員可以選擇允許使用者變更應用程式設定的值。 選取 [ 是 (應用程式預設) ],以允許使用者變更設定,或者如果您想要防止使用者變更設定的值,請選擇 [ 否 ]。
選取 [指派],將應用程式設定原則指派給 Microsoft Entra 群組。 如需詳細資訊,請參閱使用 Microsoft Intune 將應用程式指派給群組。
在客戶端中啟用 S/MIME
必須為 iOS 和 Android 版 Outlook 啟用 S/MIME,才能檢視或建立 S/MIME 相關內容。
終端用戶必須手動啟用 S/MIME 功能,方法是存取其帳戶設定、點選 [安全性],然後點選默認關閉的 S/MIME 控制件。 iOS 版 Outlook S/MIME 安全性設定如下所示:
啟用 S/MIME 設定時,iOS 和 Android 版 Outlook 會自動停用 [依 線程組織 ] 設定。 這是因為 S/MIME 加密會隨著交談線程的成長而變得更複雜。 藉由移除線程交談檢視,iOS 和 Android 版 Outlook 可減少在簽署和加密期間,跨收件者發生憑證問題的機會。 由於這是應用層級設定,這項變更會影響新增至應用程式的所有帳戶。 這個線程對話框會在 iOS 中轉譯,如下所示:
啟用 S/MIME 並安裝 S/MIME 憑證之後,使用者可以存取其帳戶設定並點選 [安全性] 來檢視已安裝的憑證。 此外,使用者可以點選每個個別的 S/MIME 憑證,並檢視憑證的詳細數據,包括密鑰使用量和有效期間等資訊。
用戶可以設定 Outlook 自動簽署或加密訊息。 這可讓使用者節省傳送電子郵件的時間,同時確信其電子郵件已簽署/加密。
憑證查閱的LDAP支援
iOS 和 Android 版 Outlook 支援在收件者解析期間,從安全的 LDAP 目錄端點存取公用使用者憑證密鑰。 若要利用LDAP端點,必須符合下列需求:
- LDAP 端點不需要驗證。
- LDAP 端點設定會透過應用程式設定原則傳遞至 iOS 版 Outlook 和 ANdroid。 如需詳細資訊,請參閱 S/MIME 設定。
- 使用下列格式支援 LDAP 端點設定:
ldaps://contoso.comldap://contoso.comldap://contoso.com:389ldaps://contoso.com:636contoso.comcontoso.com:389contoso.com:636
當 iOS 版 Outlook 和 Android 版針對收件者執行憑證查閱時,應用程式會先搜尋本機裝置,然後查詢 Microsoft Entra ID,然後評估任何 LDAP 目錄端點。 當 iOS 和 Android 版 Outlook 連線到 LDAP 目錄端點以搜尋收件者的公用憑證時,會執行憑證驗證以確保憑證不會被撤銷。 只有在憑證驗證成功完成時,應用程式才會將憑證視為有效。
在 iOS 版和 Android 版 Outlook 中使用 S/MIME
部署憑證並在應用程式中啟用 S/MIME 之後,使用者可以使用 S/MIME 憑證來取用 S/MIME 相關內容和撰寫內容。 如果未啟用 S/MIME 設定,則使用者將無法取用 S/MIME 內容。
檢視 S/MIME 訊息
在訊息檢視中,使用者可以檢視已簽署或加密 S/MIME 的訊息。 此外,使用者可以點選 S/MIME 狀態列來檢視訊息 S/MIME 狀態的詳細資訊。 下列螢幕快照顯示如何在Android中使用S/MIME訊息的範例。
重要事項
若要讀取加密的郵件,裝置上必須提供收件者的私人憑證密鑰。
用戶可以點選 S/MIME 狀態列來安裝發件者的公用憑證密鑰。 憑證會安裝在使用者的裝置上,特別是在 iOS 中的Microsoft發行者 密鑰鏈 或 Android 中的系統 KeyStore 中。 Android 版本如下所示:
如果發生憑證錯誤,iOS 和 Android 版 Outlook 會警告使用者。 用戶可以點選 S/MIME 狀態列通知,以檢視憑證錯誤的詳細資訊,如下列範例所示。
建立 S/MIME 訊息
在使用者可以傳送已簽署和/或加密的訊息之前,iOS 和 Android 版 Outlook 會對憑證執行有效性檢查,以確保其適用於簽署或加密作業。 如果憑證即將到期,iOS 版 Outlook 和 Android 版會在使用者嘗試簽署或加密訊息時,於到期前 30 天開始警示使用者取得新的憑證。
在iOS和 Android 版 Outlook 撰寫電子郵件時,寄件者可以選擇加密和/或簽署郵件。 點選 省略 號,然後點選 [ 簽署並加密],即會顯示各種 S/MIME 選項。 選取 S/MIME 選項可在儲存或傳送郵件後立即啟用電子郵件的個別編碼,前提是寄件者具有有效的憑證。
iOS 和 Android 版 Outlook 可以將 S/MIME 簽署和加密的訊息傳送至通訊群組。 iOS 和 Android 版 Outlook 會列舉通訊群組中定義之使用者的憑證,包括巢狀散發群組中的憑證,但應小心限制巢狀散發群組的數目,以將處理影響降到最低。
重要事項
- iOS 和 Android 版 Outlook 僅支援傳送已清除簽署的訊息。
- 若要撰寫加密的郵件,目標收件者的公用憑證密鑰必須可在全域通訊清單中使用,或儲存在本機裝置上。 若要撰寫已簽署的訊息,裝置上必須提供寄件者的私人憑證密鑰。
以下是 S/MIME 選項在 Android 版 Outlook 中的顯示方式:
iOS 版和 Android 版 Outlook 會在傳送加密郵件之前評估所有收件者,並確認每個收件者都有有效的公開憑證金鑰。 系統會先檢查 GAL) (全域通訊清單;如果 GAL 中沒有收件者的憑證,Outlook 會查詢 iOS 中的Microsoft發行者密鑰鏈或 Android 中的系統 KeyStore,以找出收件者的公用憑證密鑰。 對於沒有公用憑證金鑰 (或金鑰) 無效的收件者,Outlook 會提示其移除。 除非寄件人在撰寫期間停用加密選項,否則不會在沒有加密的情況下將郵件傳送給任何收件者。
