Configurer S/MIME dans Exchange Online

S/MIME (Secure/Multipurpose Internet Mail Extensions) est un protocole largement accepté pour l’envoi de messages signés numériquement et chiffrés. Pour plus d’informations, consultez S/MIME pour la signature et le chiffrement des messages dans Exchange Online.

S/MIME est disponible dans Exchange Online avec les types de clients de messagerie suivants :

• Versions prises en charge d’Outlook.

• Outlook sur le web (anciennement Outlook Web App) sur les clients Windows. Pour plus d’informations, consultez Chiffrer des messages à l’aide de S/MIME dans Outlook sur le web.

  Remarque

  Les actions de stratégie sensibles sont appliquées sur le serveur principal, tandis que la signature et/ou le chiffrement S/MIME sont effectués dans le client Outlook sur le web. En raison de cette contrainte architecturale, S/MIME est désactivé dans Outlook sur le web dans les messages où il existe des étiquettes de confidentialité avec des actions de protection.

• Appareils mobiles (par exemple, Outlook pour iOS et Android, applications Exchange ActiveSync ou applications de messagerie natives).

En tant qu’administrateur Exchange Online, vous pouvez activer la sécurité basée sur S/MIME pour les boîtes aux lettres de votre organization. Les étapes générales sont décrites dans la liste suivante et sont développées dans cet article :

1. Configurer et publier des certificats S/MIME.
2. Configurez une collection de certificats virtuels dans Exchange Online.
3. Synchronisez les certificats utilisateur pour S/MIME dans Microsoft 365.
4. Configurez des stratégies pour installer des extensions S/MIME dans les navigateurs web pour Outlook sur le web.
5. Configurez les clients de messagerie pour qu’ils utilisent S/MIME.

Pour obtenir des instructions de configuration S/MIME de bout en bout pour Outlook pour iOS et Android, voir S/MIME pour Outlook pour iOS et Android.

Étape 1 : Configurer et publier des certificats S/MIME

Chaque utilisateur de votre organization a besoin de son propre certificat émis à des fins de signature et de chiffrement. Vous publiez ces certificats sur votre Active Directory local à des fins de distribution. Votre annuaire Active Directory doit se trouver sur des ordinateurs situés à un emplacement physique que vous contrôlez et non sur une installation distante ou un service cloud sur Internet.

Pour plus d’informations sur Active Directory, consultez services de domaine Active Directory Vue d’ensemble.

1. Installez une autorité de certification windows et configurez une infrastructure à clé publique pour émettre des certificats S/MIME. Les certificats émis par des fournisseurs de certificats tiers sont également pris en charge. Pour plus de détails, reportez-vous à Vue d'ensemble des services de certificats Active Directory.

   Remarques :

   • Les certificats émis par une autorité de certification tierce ont l’avantage d’être automatiquement approuvés par tous les clients et appareils. Les certificats émis par une autorité de certification privée interne ne sont pas automatiquement approuvés par les clients et les appareils, et tous les appareils (par exemple, les téléphones) ne peuvent pas être configurés pour approuver des certificats privés.
   • Envisagez d’utiliser un certificat intermédiaire au lieu du certificat racine pour émettre des certificats aux utilisateurs. De cette façon, si vous avez besoin de révoquer et de réémettre des certificats, le certificat racine est toujours intact.
   • Le certificat doit avoir une clé privée et l’extension X509 « Subject Key Identifier » doit être renseignée.

2. Publiez le certificat de l’utilisateur dans son compte Active Directory local dans les attributs UserSMIMECertificate et/ou UserCertificate.

Étape 2 : Configurer une collection de certificats virtuels dans Exchange Online

La collection de certificats virtuels est chargée de valider les certificats S/MIME. Configurez la collection de certificats virtuels en procédant comme suit :

1. Exportez les certificats racine et intermédiaires requis pour valider les certificats S/MIME utilisateur d’un ordinateur approuvé vers un fichier de magasin de certificats sérialisé (SST) dans Windows PowerShell. Par exemple :

   Get-ChildItem -Path cert:\<StoreCertPath> | Export-Certificate -FilePath "C:\My Documents\Exported Certificate Store.sst" -Type SST
   

   Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Export-Certificate.

2. Importez les certificats du fichier SST dans Exchange Online en exécutant la commande suivante dans Exchange Online PowerShell :

   Set-SmimeConfig -SMIMECertificateIssuingCA ([System.IO.File]::ReadAllBytes('C:\My Documents\Exported Certificate Store.sst'))
   

   Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-SmimeConfig.

Étape 3 : Synchroniser les certificats utilisateur pour S/MIME dans Microsoft 365

Pour que tout le monde puisse envoyer des messages protégés par S/MIME dans Exchange Online, vous devez configurer et configurer les certificats appropriés pour chaque utilisateur et publier ses certificats X.509 publics sur Microsoft 365. Le client de messagerie de l’expéditeur utilise le certificat public du destinataire pour chiffrer le message.

1. Émettez des certificats et publiez-les dans votre annuaire Active Directory local. Pour plus d'informations, reportez-vous à la rubrique Vue d'ensemble des services de certificats Active Directory.

2. Une fois vos certificats publiés, utilisez Microsoft Entra Connect pour synchroniser les données utilisateur de votre environnement Exchange local avec Microsoft 365. Pour plus d’informations sur ce processus, consultez Microsoft Entra Connect Sync : Comprendre et personnaliser la synchronisation.

En plus de la synchronisation d’autres données d’annuaire, Microsoft Entra Connect synchronise les attributs userCertificate et userSMIMECertificate pour chaque objet utilisateur pour la signature S/MIME et le chiffrement des messages électroniques. Pour plus d’informations sur Microsoft Entra Connect, consultez Qu’est-ce que Microsoft Entra Connect ?.

Étape 4 : Configurer des stratégies pour installer les extensions S/MIME dans les navigateurs web

S/MIME dans Outlook sur le web dans Microsoft Edge basé sur Chromium ou dans Google Chrome nécessite des paramètres de stratégie spécifiques qui sont configurés par un administrateur.

Plus précisément, vous devez définir et configurer la stratégie nommée ExtensionInstallForcelist pour installer l’extension S/MIME dans le navigateur. La valeur de stratégie est maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx. L’application de cette stratégie nécessite des appareils joints à un domaine ou Microsoft Entra, de sorte que l’utilisation de S/MIME dans Edge ou Chrome nécessite effectivement des appareils joints à un domaine ou Microsoft Entra joints.

Pour plus d’informations sur les stratégies, consultez les rubriques suivantes :

• ExtensionInstallForcelist - Edge
• ExtensionInstallForcelist - Chrome

La stratégie est une condition préalable à l’utilisation de S/MIME dans Outlook sur le web. Il ne remplace pas le contrôle S/MIME installé par les utilisateurs. Les utilisateurs sont invités à télécharger et installer le contrôle S/MIME dans Outlook sur le web lors de leur première utilisation de S/MIME. Ou bien, les utilisateurs peuvent accéder de manière proactive à S/MIME dans leurs paramètres de Outlook sur le web pour obtenir le lien de téléchargement du contrôle.

Étape 5 : Configurer les clients de messagerie pour utiliser S/MIME

Si un client de messagerie prend en charge S/MIME, la considération suivante est l’accès au certificat S/MIME de l’utilisateur par ce client de messagerie. Le certificat S/MIME doit être installé sur l’ordinateur ou l’appareil de l’utilisateur. Vous pouvez distribuer des certificats S/MIME automatiquement (par exemple, à l’aide de Microsoft Endpoint Manager) ou manuellement (par exemple, l’utilisateur peut exporter le certificat à partir de son ordinateur et l’importer sur son appareil mobile). Une fois le certificat disponible localement, vous pouvez activer et configurer S/MIME dans les paramètres du client de messagerie.

Pour plus d’informations sur S/MIME dans les clients de messagerie, consultez les rubriques suivantes :

• Outlook : consultez la section « Chiffrement avec S/MIME » dans Chiffrer les messages électroniques.
• Outlook pour iOS et Android : activation de S/MIME dans le client
• Courrier dans iOS : utiliser S/MIME pour envoyer des messages chiffrés dans un environnement Exchange dans iOS

Vous pouvez également utiliser les paramètres suivants sur les applets de commande New-MobileDeviceMailboxPolicy et Set-MobileDeviceMailboxPolicy dans Exchange Online PowerShell pour configurer les paramètres S/MIME pour les appareils mobiles :

• AllowSMIMEEncryptionAlgorithmNegotiation
• AllowSMIMESoftCerts
• RequireEncryptedSMIMEMessages
• RequireEncryptionSMIMEAlgorithm
• RequireSignedSMIMEAlgorithm
• RequireSignedSMIMEMessages