在 Exchange Online 中配置 S/MIME

S/MIME (安全/多用途 Internet 邮件扩展) 是一种广泛接受的协议，用于发送数字签名和加密邮件。 有关详细信息，请参阅 Exchange Online 中用于消息签名和加密的 S/MIME。

S/MIME 在 Exchange Online 中提供，其中包含以下类型的电子邮件客户端：

• 支持的 Outlook 版本。

• Outlook 网页版 (以前称为 Windows 客户端上的Outlook Web App) 。 有关详细信息，请参阅 Outlook 网页版 中使用 S/MIME 加密邮件。

  注意

  敏感策略操作在服务器后端应用，而 S/MIME 签名和/或加密在 Outlook 网页版 客户端中完成。 由于此体系结构约束，在Outlook 网页版具有保护操作的敏感度标签的消息中禁用 S/MIME。

• 移动设备 (例如 Outlook for iOS 和 Android、Exchange ActiveSync应用或本机电子邮件应用) 。

作为Exchange Online管理员，可以为组织中的邮箱启用基于 S/MIME 的安全性。 以下列表中介绍了高级步骤，并在本文中进行了扩展：

1. 设置和发布 S/MIME 证书。
2. 在 Exchange Online 中设置虚拟证书集合。
3. 将 S/MIME 的用户证书同步到 Microsoft 365。
4. 配置策略以在 Web 浏览器中安装 S/MIME 扩展，以便Outlook 网页版。
5. 将电子邮件客户端配置为使用 S/MIME。

有关适用于 Outlook for iOS 和 Android 的端到端 S/MIME 配置说明，请参阅 适用于 Outlook for iOS 和 Android 的 S/MIME。

步骤 1：设置和发布 S/MIME 证书

组织中的每个用户都需要自己颁发的证书，以便进行签名和加密。 将这些证书发布到本地 Active Directory以供分发。 Active Directory 必须位于你控制的物理位置的计算机上，而不是位于 Internet 上的远程设施或基于云的服务。

有关 Active Directory 的详细信息，请参阅Active Directory 域服务概述。

1. 安装基于 Windows 的证书颁发机构 (CA) 并设置公钥基础结构来颁发 S/MIME 证书。 还支持由第三方证书提供程序颁发的证书。 有关详细信息，请参阅 Active Directory 证书服务概述。

   注意：

   • 第三方 CA 颁发的证书的优点是自动受到所有客户端和设备的信任。 客户端和设备不会自动信任内部专用 CA 颁发的证书，并且并非所有设备都 (例如，电话) 可以配置为信任专用证书。
   • 请考虑使用中间证书而不是根证书向用户颁发证书。 这样，如果需要吊销和重新颁发证书，根证书仍然完好无损。
   • 证书必须具有私钥，并且必须填充 X509 扩展“使用者密钥标识符”。

2. 在 UserSMIMECertificate 和/或 UserCertificate 属性的 本地 Active Directory 帐户中发布用户的证书。

步骤 2：在 Exchange Online 中设置虚拟证书集合

虚拟证书集合负责验证 S/MIME 证书。 使用以下步骤设置虚拟证书集合：

1. 将验证用户 S/MIME 证书所需的根证书和中间证书从受信任的计算机导出到Windows PowerShell中的序列化证书存储 (SST) 文件。 例如：

   Get-ChildItem -Path cert:\<StoreCertPath> | Export-Certificate -FilePath "C:\My Documents\Exported Certificate Store.sst" -Type SST
   

   有关详细语法和参数信息，请参阅 Export-Certificate。

2. 通过在 PowerShell Exchange Online 运行以下命令，将证书从 SST 文件导入到 Exchange Online：

   Set-SmimeConfig -SMIMECertificateIssuingCA ([System.IO.File]::ReadAllBytes('C:\My Documents\Exported Certificate Store.sst'))
   

   有关详细语法和参数信息，请参阅 Set-SmimeConfig。

步骤 3：将 S/MIME 的用户证书同步到 Microsoft 365

在任何人都可以在 Exchange Online 中发送受 S/MIME 保护的邮件之前，需要为每个用户设置和配置相应的证书，并将其公共 X.509 证书发布到 Microsoft 365。 发件人的电子邮件客户端使用收件人的公共证书对邮件进行加密。

1. 颁发证书并将其发布到本地 Active Directory 中。 有关详细信息，请参阅 Active Directory 证书服务概述。

2. 发布证书后，使用 Microsoft Entra Connect 将用户数据从本地 Exchange 环境同步到 Microsoft 365。 有关此过程的详细信息，请参阅 Microsoft Entra Connect Sync：了解和自定义同步。

除了同步其他目录数据外，Microsoft Entra Connect 还同步每个用户对象的 userCertificate 和 userSMIMECertificate 属性，以便对电子邮件进行 S/MIME 签名和加密。 有关 Microsoft Entra Connect 的详细信息，请参阅什么是 Microsoft Entra Connect？。

步骤 4：配置策略以在 Web 浏览器中安装 S/MIME 扩展

基于Chromium的 Microsoft Edge 或 Google Chrome 中Outlook 网页版中的 S/MIME 需要管理员配置的特定策略设置。

具体而言，需要设置并配置名为 ExtensionInstallForcelist 的策略，以在浏览器中安装 S/MIME 扩展。 策略值为 maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx。 应用此策略需要已加入域或已加入Microsoft Entra的设备，因此在 Edge 或 Chrome 中使用 S/MIME 实际上需要已加入域或Microsoft Entra加入的设备。

有关策略的详细信息，请参阅以下主题：

• ExtensionInstallForcelist - Edge
• ExtensionInstallForcelist - Chrome

策略是在 Outlook 网页版 中使用 S/MIME 的先决条件。 它 不会替换 用户安装的 S/MIME 控件。 首次使用 S/MIME 时，系统会提示用户在 Outlook 网页版 中下载并安装 S/MIME 控件。 或者，用户可以在其Outlook 网页版设置中主动转到 S/MIME，以获取控件的下载链接。

步骤 5：将电子邮件客户端配置为使用 S/MIME

如果电子邮件客户端支持 S/MIME，则下一个注意事项是通过该电子邮件客户端访问用户的 S/MIME 证书。 需要在用户的计算机或设备上安装 S/MIME 证书。 可以自动分发 S/MIME 证书 (例如，使用 Microsoft Endpoint Manager) 或手动 (例如，用户可以从其计算机导出证书并将其导入其移动设备) 。 在本地提供证书后，可以在电子邮件客户端的设置中启用和配置 S/MIME。

有关电子邮件客户端中的 S/MIME 的详细信息，请参阅以下主题：

• Outlook：请参阅加密电子邮件中的“使用 S/MIME 加密”部分。
• Outlook for iOS 和 Android： 在客户端中启用 S/MIME
• iOS 中的邮件： 使用 S/MIME 在 iOS 的 Exchange 环境中发送加密邮件

还可以在 Exchange Online PowerShell 中的 New-MobileDeviceMailboxPolicy 和 Set-MobileDeviceMailboxPolicy cmdlet 上使用以下参数，为移动设备配置 S/MIME 设置：

• AllowSMIMEEncryptionAlgorithmNegotiation
• AllowSMIMESoftCerts
• RequireEncryptedSMIMEMessages
• RequireEncryptionSMIMEAlgorithm
• RequireSignedSMIMEAlgorithm
• RequireSignedSMIMEMessages