Set-SmimeConfig

 

S’applique à :Exchange Online, Exchange Server 2016

Dernière rubrique modifiée :2016-04-08

Cette cmdlet est disponible dans Exchange Server 2016 sur site et dans le service en nuage. Certains paramètres peuvent être propres à un environnement ou à un autre.

La cmdlet Set-SmimeConfig permet de modifier la configuration S/MIME pour MicrosoftOutlook sur le web.

Pour plus d'informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir SyntaxeSyntaxe de cmdlet Exchange.

Set-SmimeConfig [-Identity <OrganizationIdParameter>] [-Confirm [<SwitchParameter>]] [-OWAAllowUserChoiceOfSigningCertificate <$true | $false>] [-OWAAlwaysEncrypt <$true | $false>] [-OWAAlwaysSign <$true | $false>] [-OWABCCEncryptedEmailForking <UInt32>] [-OWACheckCRLOnSend <$true | $false>] [-OWAClearSign <$true | $false>] [-OWACopyRecipientHeaders <$true | $false>] [-OWACRLConnectionTimeout <UInt32>] [-OWACRLRetrievalTimeout <UInt32>] [-OWADisableCRLCheck <$true | $false>] [-OWADLExpansionTimeout <UInt32>] [-OWAEncryptionAlgorithms <String>] [-OWAEncryptTemporaryBuffers <$true | $false>] [-OWAForceSMIMEClientUpgrade <$true | $false>] [-OWAIncludeCertificateChainAndRootCertificate <$true | $false>] [-OWAIncludeCertificateChainWithoutRootCertificate <$true | $false>] [-OWAIncludeSMIMECapabilitiesInMessage <$true | $false>] [-OWAOnlyUseSmartCard <$true | $false>] [-OWASenderCertificateAttributesToDisplay <String>] [-OWASignedEmailCertificateInclusion <$true | $false>] [-OWASigningAlgorithms <String>] [-OWATripleWrapSignedEncryptedMail <$true | $false>] [-OWAUseKeyIdentifier <$true | $false>] [-OWAUseSecondaryProxiesWhenFindingCertificates <$true | $false>] [-SMIMECertificateIssuingCA <Byte[]>] [-WhatIf [<SwitchParameter>]]

Cet exemple définit la configuration S/MIME de sorte à laisser aux utilisateurs le choix de signer ou non le message, limite à 10 secondes la durée de récupération de la liste de révocation des certificats (CRL) et indique d’utiliser l’algorithme de chiffrement RC2 128 bits.

Set-SmimeConfig -OWAAllowUserChoiceOfSigningCertificate $true -OWACRLRetrievalTimeout 10000 -OWAEncryptionAlgorithms 6602:128

warningAvertissement :
La cmdlet Set-SmimeConfig permet de modifier plusieurs paramètres importants pouvant réduire le niveau global de sécurité des messages. Passez en revue la stratégie de sécurité de votre organisation avant d’apporter des modifications.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que tous les paramètres de cette cmdlet soient répertoriés dans cette rubrique, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour voir les autorisations qui vous sont nécessaires, voir l’entrée « Configuration S/MIME » dans la rubrique Autorisations des clients et des périphériques mobiles.

 

Paramètre Obligatoire Type Description

Confirm

Facultatif

System.Management.Automation.SwitchParameter

Ce paramètre est réservé à l’usage interne chez Microsoft.

Identity

Facultatif

Microsoft.Exchange.Configuration.Tasks.OrganizationIdParameter

Ce paramètre est réservé à l’usage interne chez Microsoft.

OWAAllowUserChoiceOfSigningCertificate

Facultatif

System.Boolean

Le paramètre OWAAllowUserChoiceOfSigningCertificate spécifie si les utilisateurs sont autorisés à sélectionner le certificat défini pour apposer une signature numérique aux messages électroniques dans Outlook sur le web.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $false.

OWAAlwaysEncrypt

Facultatif

System.Boolean

Le paramètre OWAAlwaysEncrypt spécifie si tous les messages sortants sont automatiquement chiffrés dans Outlook sur le web.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $false.

OWAAlwaysSign

Facultatif

System.Boolean

Le paramètre OWAAlwaysSign spécifie si tous les messages sortants sont automatiquement signés dans Outlook sur le web.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $false.

OWABCCEncryptedEmailForking

Facultatif

System.UInt32

Le paramètre OWABCCEncryptedEmailForking permet d’indiquer le mode de chiffrement des messages Cci dans Outlook sur le web. Ce paramètre utilise les valeurs suivantes :

  • 0 = Un message chiffré par destinataire Cci.

  • 1 = Un message chiffré pour tous les destinataires Cci.

  • 2 = Un message chiffré sans réplication Cci.

La valeur par défaut est 0.

noteRemarque :
Ce paramètre a une incidence sur la sécurité et la confidentialité d’Outlook sur le web. Consultez la stratégie de sécurité de votre organisation avant de modifier ce paramètre.

OWACheckCRLOnSend

Facultatif

System.Boolean

Le paramètre OWACheckCRLOnSend indique le mode d’application de la liste de révocation de certificats (CRL) quand un message électronique est envoyé à Outlook sur le web.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $false.

Lorsque ce paramètre est défini sur $false et que le point de distribution de la liste de révocation des certificats n’est pas accessible, Outlook sur le web autorise l’envoi des messages signés ou chiffrés. Lorsque ce paramètre est défini sur $true, Outlook sur le web affiche une boîte de dialogue d’avertissement et empêche l’envoi les messages signés ou chiffrés.

OWAClearSign

Facultatif

System.Boolean

Le paramètre OWAClearSign permet d’indiquer le mode de signature des messages électroniques dans Outlook sur le web.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $true.

Lorsque ce paramètre est défini sur $true, les messages signés numériquement sont signés en clair. Lorsque ce paramètre est défini sur $false, la signature des messages signés numériquement est opaque. Les messages signés en clair sont plus volumineux que ceux dont la signature est opaque ; en revanche, les messages signés en clair peuvent être lus dans la plupart des clients de messagerie, y compris ceux qui ne prennent pas en charge S/MIME.

OWACopyRecipientHeaders

Facultatif

System.Boolean

Ce paramètre est réservé à l’usage interne chez Microsoft.

OWACRLConnectionTimeout

Facultatif

System.UInt32

Le paramètre OWACRLConnectionTimeout spécifie le délai de connexion maximal d’Outlook sur le web, en millisecondes, pour la récupération d’une liste de révocation de certificats dans le cadre de la validation d’un certificat.

L’entrée valide pour ce paramètre est un entier compris entre 0 et 4294967295 (UInt32). La valeur par défaut est 60 000 (60 secondes).

Lorsque plusieurs listes de révocation d’une chaîne de certificats doivent être récupérées, le délai spécifié par ce paramètre s’applique à chaque connexion. Par exemple, si un certificat exige la récupération de trois listes de révocation de certificats, et que ce paramètre est défini sur 60 000 (60 secondes), chaque opération de récupération doit être effectuée dans un délai de 60 secondes. Si l’une des listes de révocation de certificats n’est pas récupérée avant l’expiration de ce délai, l’ensemble de l’opération échoue. Le délai total pour toutes les extractions est contrôlé par le paramètre OWACRLRetrievalTimeout.

OWACRLRetrievalTimeout

Facultatif

System.UInt32

Le paramètre OWACRLRetrievalTimeout spécifie le délai d’attente maximal d’Outlook sur le web, en millisecondes, pour la récupération de toutes les listes de révocation de certificats, lors de la validation d’un certificat.

L’entrée valide pour ce paramètre est un entier compris entre 0 et 4294967295 (UInt32). La valeur par défaut est 10000 (10 secondes).

Si toutes les listes de révocation de certificats ne sont pas récupérées dans le délai imparti, l’opération échoue. Supposons que vous deviez récupérer trois listes de révocation de certificats, que la valeur OWACRLConnectionTimeout est définie sur 60 000 (60 secondes) et que la valeur OWACRLRetrievalTimeout est définie sur 120 000 (2 minutes). Dans cet exemple, si l’une des récupérations dépasse le délai imparti de 60 secondes, la récupération échoue. De plus, si l’ensemble des récupérations de listes de révocation prend plus de 120 secondes, l’opération échoue également.

OWADisableCRLCheck

Facultatif

System.Boolean

Le paramètre OWADisableCRLCheck active ou désactive la vérification de liste de révocation des certificats dans Outlook sur le web.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $false. Lorsqu’il est défini sur $true, ce paramètre désactive les vérifications de liste de révocation lors de la validation des certificats. La désactivation de ces vérifications réduit le temps nécessaire à la validation des signatures de messages électroniques mais, en contrepartie, valide des messages électroniques signés avec des certificats révoqués.

OWADLExpansionTimeout

Facultatif

System.UInt32

Le paramètre OWADLExpansionTimeout spécifie le délai maximal accordé par Outlook sur le web pour l’envoi de messages chiffrés aux membres d’un groupe de distribution devant être étendu.

L’entrée valide pour ce paramètre est un entier compris entre 0 et 4294967295 (UInt32). La valeur par défaut est 60 000 (60 secondes). Si l’opération n’est pas terminée dans le délai fixé par ce paramètre, l’opération échoue et le message n’est pas envoyé.

Lors de l’envoi d’un message chiffré à un groupe de distribution, Exchange étend le groupe de distribution pour récupérer le certificat de cryptage de chaque destinataire. Lors de l’extension du groupe de distribution, l’expéditeur ne reçoit aucune réponse d’Outlook sur le web.

Le délai spécifié par le paramètre est appliqué à l’extension de chaque groupe de distribution. Par exemple, si un message chiffré est envoyé à trois groupes de distribution et que la valeur de ce paramètre est 60 000 (60 secondes), l’ensemble de l’opération ne doit pas prendre plus de 180 secondes.

OWAEncryptionAlgorithms

Facultatif

System.String

Le paramètre OWAEncryptionAlgorithms spécifie la liste des algorithmes utilisés par Outlook sur le web pour chiffrer les messages.

La valeur valide pour ce paramètre est une liste d’identificateurs d’algorithme de chiffrement symétriques, séparés par des points-virgules. Lorsque vous utilisez un algorithme qui prend en charge plusieurs longueurs de clé, vous devez spécifier la longueur de clé à utiliser. Notez que RC2 est le seul algorithme pris en charge qui propose plusieurs longueurs de clé.

Vous pouvez spécifier l’identificateur d’objet (OID) du fournisseur de services de chiffrement (CSP) lorsque vous utilisez des CSP tiers. L’ID d’objet doit être spécifié avec un ID d’algorithme. Outlook sur le web requiert un ID d’algorithme pour savoir comment utiliser l’algorithme. Par exemple, pour fournir un remplacement personnalisé pour l’algorithme 3DES, vous devez spécifier l’ID d’algorithme de 3DES (6603) et l’ID d’objet personnalisé de l’algorithme de remplacement, en utilisant la valeur 6603,<OID>.

Les algorithmes de chiffrement, les valeurs de longueur de clé et les ID d’algorithme que vous pouvez utiliser avec ce paramètre sont décrits dans la liste suivante :

  • ID de l’algorithme RC2 6602 (longueurs de clé prises en charge : 40, 56, 64 et 128)

  • ID de l’algorithme DES (56 bits)   6601

  • ID de l’algorithme 3DES (168 bits)   6603

  • ID de l’algorithme AES128   660E

  • ID de l’algorithme AES192   660F

  • ID de l’algorithme AES256   6610

Ce paramètre utilise la syntaxe suivante :

{Algorithm ID} |; [Algorithm ID] | [,Custom replacement algorithm OID] |; [Algorithm ID[:key length]] ....

Par exemple, pour définir les algorithmes de chiffrement sur 3DES, RC2-128, RC2-64, DES et RC2-56, utilisez la valeur suivante : 6603;6602:128;6602:64;6601;6602:56.

L’algorithme spécifié par OWAEncryptionAlgorithms est toujours utilisé. Si le paramètre n’est pas spécifié ou que son format n’est pas correct, Outlook sur le web utilise 6610 (AES256) comme valeur par défaut. Si l’algorithme de chiffrement ou la longueur de clé minimale n’est pas disponible sur un client, Outlook sur le web n’autorise pas le chiffrement.

OWAEncryptTemporaryBuffers

Facultatif

System.Boolean

Le paramètre OWAEncryptTemporaryBuffers indique si les mémoires tampon temporaires côté client pour le stockage des messages Outlook sur le web sont chiffrées.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $true.

Par défaut, toutes les mémoires tampon temporaires côté client utilisées pour enregistrer les données de message sont chiffrées à l’aide d’une clé éphémère et de l’algorithme 3DES. Si ce paramètre est défini sur $false, le chiffrement de la mémoire tampon temporaire est désactivé.

noteRemarque :
La désactivation du chiffrement des tampons permet d’améliorer les performances du client Outlook sur le web, mais elle présente l’inconvénient de laisser des données non chiffrées dans le tampon du client. Consultez la stratégie de sécurité de votre organisation avant de désactiver cette fonctionnalité.

OWAForceSMIMEClientUpgrade

Facultatif

System.Boolean

Le paramètre OWAForceSMIMEClientUpgrade indique si les utilisateurs doivent mettre à niveau un contrôle S/MIME plus ancien que leur version actuelle dans Outlook sur le web.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $true.

Si le paramètre est défini sur $true, les utilisateurs doivent télécharger et installer le nouveau contrôle avant de pouvoir utiliser S/MIME. Quand ce paramètre est défini sur $false, les utilisateurs reçoivent un avertissement si le contrôle S/MIME qui se trouve sur leur ordinateur n’est pas à jour, mais ils peuvent quand même l’utiliser.

OWAIncludeCertificateChainAndRootCertificate

Facultatif

System.Boolean

Le paramètre OWAIncludeCertificateChainAndRootCertificate indique si les chaînes de certificat et les certificats racines des certificats de signature ou de chiffrement sont inclus dans le message dans Outlook sur le web.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $false.

OWAIncludeCertificateChainWithoutRootCertificate

Facultatif

System.Boolean

Le paramètre OWAIncludeCertificateChainWithoutRootCertificate indique si les chaînes des certificats de signature ou de chiffrement sont incluses dans le message dans Outlook sur le web.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $false.

Par défaut, Outlook sur le web inclut uniquement les certificats de signature et de chiffrement, sans les chaînes de certificats correspondantes. Lorsque ce paramètre est défini sur $true, les messages signés ou chiffrés contiennent la chaîne de certificats complète, mais pas le certificat racine.

OWAIncludeSMIMECapabilitiesInMessage

Facultatif

System.Boolean

Le paramètre OWAIncludeSMIMECapabilitiesInMessage indique si les messages signés et chiffrés dans Outlook sur le web contiennent des attributs décrivant les algorithmes de chiffrement et de signature pris en charge.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $false.

Cette option accroît la taille des messages, mais peut faciliter l’interaction avec les messages chiffrés dans Outlook sur le web pour certains clients de messagerie.

OWAOnlyUseSmartCard

Facultatif

System.Boolean

Le paramètre OWAOnlyUseSmartCard indique si des certificats utilisant une carte à puce sont requis pour la signature et le déchiffrement des messages Outlook sur le web.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $false.

Si ce paramètre est défini sur $true, l’utilisation de certificats basés sur une carte à puce est requise pour la signature et le déchiffrement lorsque vous utilisez Outlook sur le web et le contrôle S/MIME.

OWASenderCertificateAttributesToDisplay

Facultatif

System.String

Le paramètre OWASenderCertificateAttributesToDisplay détermine les attributs de certificat qui sont affichés lorsque la vérification de signature est poursuivie alors que l’adresse de messagerie de l’expéditeur ne correspond pas à celle indiquée par son certificat.

Le paramètre accepte une liste d’identificateurs d’objet (OID) séparés par des virgules. Ce paramètre est vide ($null) par défaut.

OWASignedEmailCertificateInclusion

Facultatif

System.Boolean

Le paramètre OWASignedEmailCertificateInclusion indique si le certificat de chiffrement de l’expéditeur est exclu des messages électroniques signés dans Outlook sur le web.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $true.

Par défaut, Outlook sur le web et le contrôle S/MIME incluent tous les deux des certificats de signature et de chiffrement avec les messages électroniques signés. Lorsque ce paramètre est défini sur $false, la taille des messages chiffrés diminue. Toutefois, les destinataires n’ont pas accès au certificat de chiffrement de l’expéditeur dans le message. Ils doivent le récupérer à partir d’un répertoire ou auprès de l’expéditeur.

OWASigningAlgorithms

Facultatif

System.String

Le paramètre OWASigningAlgorithms spécifie la liste des algorithmes de signature utilisés par Outlook sur le web pour signer des messages avec le contrôle S/MIME.

La valeur valide pour ce paramètre est une liste d’identificateurs d’algorithme de chiffrement symétriques, séparés par des points-virgules.

Vous pouvez spécifier l’identificateur d’objet (OID) du fournisseur de services de chiffrement (CSP) lorsque vous utilisez des CSP tiers. L’ID d’objet doit être spécifié avec un ID d’algorithme. Outlook sur le web requiert un ID d’algorithme pour savoir comment utiliser l’algorithme. Par exemple, pour fournir un remplacement personnalisé pour l’algorithme 3SHA1, vous devez spécifier l’ID d’algorithme de 3SHA1 (8804) et l’ID d’objet personnalisé de l’algorithme de remplacement, en utilisant la valeur 8804.

Ce paramètre prend en charge les algorithmes suivants.

  • CALG_SHA_512   Type : algorithme de hachage sécurisé (SHA), 512 bits. ID d’algorithme : 800E.

  • CALG_SHA_384   Type : SHA, 384 bits. ID d’algorithme : 800D.

  • CALG_SHA_256   Type : SHA, 256 bits. ID d’algorithme : 800C.

  • SHA1   Type : SHA. ID d’algorithme : 8004.

  • CALG_MD5   Type : algorithme de hachage MD5. ID d’algorithme : 8003.

Ce paramètre utilise la syntaxe suivante :

{Algorithm ID} |; [Algorithm ID] | [,Custom replacement algorithm OID] |; [Algorithm ID[:key length]] ...

Par exemple, pour définir les algorithmes de signature sur CALG_SHA_512, SHA1 et CALG_MD5, utilisez la valeur 800E;8004;8003.

L’algorithme spécifié par OWASigningAlgorithms est toujours utilisé. Si ce paramètre n’est pas précisé ou que son format n’est pas correct, Outlook sur le web utilise la valeur 8004 (SHA1) par défaut.

OWATripleWrapSignedEncryptedMail

Facultatif

System.Boolean

Le paramètre OWATripleWrapSignedEncryptedMail indique si les messages signés et chiffrés dans Outlook sur le web doivent être soumis à un triple traitement.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $false.

Un message à traitement triple est un message qui est signé, puis chiffré, puis signé de nouveau (signé-chiffré-signé). Lorsque ce paramètre est défini sur $false, le message signé est simplement chiffré (le message chiffré n’est pas signé ensuite). Les messages soumis à un triple traitement offrent le niveau de sécurité le plus élevé pour les messages signés et chiffrés utilisant la norme S/MIME, toutefois leur taille est plus élevée.

OWAUseKeyIdentifier

Facultatif

System.Boolean

Le paramètre OWAUseKeyIdentifier indique si l’identificateur de clé d’un certificat doit être utilisé pour encoder le jeton chiffré asymétriquement dans Outlook sur le web.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $false.

Par défaut, Outlook sur le web encode le jeton chiffré asymétriquement (parfois appelé référentiel sécurisé) requis pour déchiffrer le reste du message en indiquant l’émetteur et le numéro de série du certificat de chaque destinataire. L’émetteur et le numéro de série peuvent alors être utilisés pour trouver le certificat et la clé privée permettant de décrypter le message.

Ce paramètre requiert l’utilisation de l’identificateur de clé d’un certificat pour encoder le jeton chiffré asymétriquement. Une paire de clés pouvant être réutilisée avec de nouveaux certificats, l’utilisation de l’identificateur de clé pour les messages chiffrés permet aux utilisateurs de ne conserver que le certificat et la clé privée associée les plus récents, au lieu de devoir garder tous les anciens certificats. Étant donné que certains clients de messagerie ne prennent pas en charge la recherche de certificats à l’aide d’un identificateur de clé, par défaut, Outlook sur le web utilise l’émetteur et le numéro de série du certificat de chaque destinataire.

OWAUseSecondaryProxiesWhenFindingCertificates

Facultatif

System.Boolean

Le paramètre OWAUseSecondaryProxiesWhenFindingCertificates indique si d’autres proxys doivent être utilisés lors de la recherche de certificat dans Outlook sur le web.

L’entrée valide pour ce paramètre est $true ou $false. La valeur par défaut est $true.

Lors de l’envoi de messages chiffrés, Outlook sur le web tente de trouver le certificat approprié pour le destinataire. L’objet du certificat ou l’autre nom de l’objet du certificat peuvent contenir chacun une adresse de messagerie. Un destinataire pouvant avoir plusieurs adresses proxy, l’objet du certificat ou l’autre nom de l’objet du certificat peuvent ne pas correspondre à l’adresse SMTP principale du destinataire. Lorsque ce paramètre est défini sur $true et que les valeurs de l’objet du certificat ou de l’autre nom de l’objet du certificat ne correspondent pas à l’adresse SMTP principale du destinataire, Outlook sur le web essaie d’associer l’objet du certificat à l’une des adresses proxy du destinataire.

SMIMECertificateIssuingCA

Facultatif

System.Byte[]

Le paramètre SMIMECertificateIssuingCA indique le magasin de certificats sérialisés (SST) contenant les informations de certificats intermédiaires et de signature de l’autorité de certification (CA).

Vous devez lire le fichier dans un objet codé en octets, au moyen de la cmdlet Get-Content. Par exemple : -SMIMECertificateIssuingCA $([byte[]](Get-Content -Encoding byte -Path "C:\Temp\CACertificateSerializedStore.sst" -ReadCount 0)

Chaque certificat est vérifié. Si l’un d’entre est arrivé à expiration, l’opération échoue.

WhatIf

Facultatif

System.Management.Automation.SwitchParameter

Le commutateur WhatIf simule les actions de la commande. Vous pouvez utiliser ce commutateur pour afficher les modifications qui se produiraient sans réellement appliquer ces modifications. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

Pour visualiser les types d’entrées acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type d’entrée pour une cmdlet est vide, la cmdlet n’accepte pas les données d’entrée.

Pour visualiser les types de retours, également appelés types de sorties, acceptés par cette cmdlet, consultez la rubrique Types d’entrée et de sortie de la cmdlet d’Exchange Management Shell. Si le champ Type de sortie est vide, la cmdlet ne renvoie pas de données.

 
Afficher: