在 Exchange Online 中設定 S/MIME

S/MIME (安全/多用途因特網郵件擴充功能) 是廣泛接受的通訊協定，可傳送數位簽署和加密的郵件。 如需詳細資訊，請參閱 S/MIME 以在 Exchange Online 中簽署和加密訊息。

S/MIME 可在 Exchange Online 中使用下列類型的電子郵件用戶端：

• 支援的 Outlook 版本。

• Outlook 網頁版 (先前稱為 Windows 用戶端上的 Outlook Web App) 。 如需詳細資訊，請參閱在 Outlook 網頁版中使用 S/MIME 將郵件加密。

  注意事項

  敏感性原則動作會套用至伺服器後端，而 S/MIME 簽署和/或加密則是在 Outlook 網頁版 用戶端中完成。 由於此架構條件約束，在具有敏感度標籤且具有保護動作的訊息中，Outlook 網頁版 會停用 S/MIME。

• 行動裝置 (例如 iOS 版和 Android 版 Outlook、Exchange ActiveSync 應用程式或原生電子郵件應用程式) 。

如果您是 Exchange Online 系統管理員，您可以針對組織中的信箱啟用 S/MIME 安全性。 下列清單將說明高階步驟，並在本文中加以擴充：

1. 設定和發佈 S/MIME 憑證。
2. 在 Exchange Online 中設定虛擬憑證集合。
3. 將 S/MIME 的用戶憑證同步至 Microsoft 365。
4. 設定原則，以在網頁瀏覽器中安裝適用於 Outlook 網頁版 的 S/MIME 擴充功能。
5. 設定電子郵件用戶端以使用 S/MIME。

如需適用於 iOS 和 Android 版 Outlook 的端對端 S/MIME 設定指示，請參閱 iOS 和 Android 版 Outlook 的 S/MIME。

步驟 1：設定和發佈 S/MIME 憑證

貴組織中的每位使用者都需要自己的憑證，以供簽署和加密之用。 您會將這些憑證發佈至您的 內部部署的 Active Directory 以進行散發。 您的 Active Directory 必須位於您所控制實體位置的電腦上，而不是位於因特網上的遠端設施或雲端式服務。

如需 Active Directory 的詳細資訊，請參閱 Active Directory 網域服務 概觀]。

1. 安裝以 Windows 為基礎的證書頒發機構單位 (CA) ，並設定公鑰基礎結構以發行 S/MIME 憑證。 也支援協力廠商憑證提供者所發出的憑證。 如需詳細資訊，請參閱 Active Directory 憑證服務概觀。

   附註：

   • 第三方 CA 所簽發的憑證具有由所有客戶端和裝置自動信任的優點。 內部、私人 CA 所發行的憑證不會自動受到客戶端和裝置信任，而且並非所有裝置 (例如，電話) 可以設定為信任私人憑證。
   • 請考慮使用中繼憑證，而不是跟證書來發行憑證給使用者。 如此一來，如果您需要撤銷並重新發出憑證，跟證書仍會保持不變。
   • 憑證必須有私鑰，而且必須填入 X509 擴充功能「主體密鑰標識碼」。

2. 在 UserSMIMECertificate 和/或 UserCertificate 屬性的 內部部署的 Active Directory 帳戶中發佈使用者的憑證。

步驟 2：在 Exchange Online 中設定虛擬憑證集合

虛擬憑證集合負責驗證 S/MIME 憑證。 使用下列步驟設定虛擬憑證集合：

1. 將驗證使用者 S/MIME 憑證所需的跟證書和中繼憑證，從受信任的計算機匯出至串行化證書存儲， (SST) 檔案 Windows PowerShell。 例如：

   Get-ChildItem -Path cert:\<StoreCertPath> | Export-Certificate -FilePath "C:\My Documents\Exported Certificate Store.sst" -Type SST
   

   如需詳細的語法和參數資訊，請參閱 Export-Certificate。

2. 在 Exchange Online PowerShell 中執行下列命令，將憑證從 SST 檔案匯入 Exchange Online：

   Set-SmimeConfig -SMIMECertificateIssuingCA ([System.IO.File]::ReadAllBytes('C:\My Documents\Exported Certificate Store.sst'))
   

   如需詳細的語法及參數資訊，請參閱 Set-RoleGroup。

步驟 3：將 S/MIME 的用戶憑證同步至 Microsoft 365

在任何人都可以在 Exchange Online 中傳送受 S/MIME 保護的訊息之前，您必須為每個使用者設定適當的憑證，並將其公用 X.509 憑證發佈至 Microsoft 365。 寄件者的電子郵件用戶端會使用收件者的公開憑證來加密郵件。

1. 簽發憑證，並在本機 Active Directory 中發佈憑證。 如需詳細資訊，請參閱 Active Directory 憑證服務概觀。

2. 發行憑證之後，請使用 Microsoft Entra Connect 將用戶數據從內部部署 Exchange 環境同步至 Microsoft 365。 如需此程式的詳細資訊，請參閱 Microsoft Entra Connect Sync：瞭解和自定義同步處理。

除了同步處理其他目錄數據，Microsoft Entra Connect 會同步處理每個用戶物件的 userCertificate 和 userSMIMECertificate 屬性，以進行電子郵件訊息的 S/MIME 簽署和加密。 如需 Microsoft Entra Connect 的詳細資訊，請參閱什麼是 Microsoft Entra Connect？。

步驟 4：設定原則以在網頁瀏覽器中安裝 S/MIME 擴充功能

Chromium 型 Microsoft Edge 或 Google Chrome 中 Outlook 網頁版 中的 S/MIME 需要系統管理員所設定的特定原則設定。

具體而言，您需要設定名為 ExtensionInstallForcelist 的原則，以在瀏覽器中安裝 S/MIME 擴充功能。 原則值為 maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx。 套用此原則需要已加入網域或 Microsoft Entra 加入的裝置，因此在Edge或 Chrome 中使用 S/MIME 實際上需要已加入網域或 Microsoft Entra 加入的裝置。

如需原則的詳細資訊，請參閱下列主題：

• ExtensionInstallForcelist - Edge
• ExtensionInstallForcelist - Chrome

原則是在 Outlook 網頁版 中使用 S/MIME 的必要條件。 它不會 取代 使用者所安裝的 S/MIME 控制件。 在初次使用 S/MIME 時，系統會提示使用者下載並安裝 Outlook 網頁版中的 S/MIME 控制。 或者，使用者可以主動移至 Outlook 網頁版設定中的 S/MIME，取得控制的下載連結。

步驟 5：設定電子郵件用戶端以使用 S/MIME

如果電子郵件用戶端支援 S/MIME，下一個考慮是該電子郵件用戶端存取使用者的 S/MIME 憑證。 S/MIME 憑證必須安裝在用戶的電腦或裝置上。 您可以自動 (散發 S/MIME 憑證，例如，使用 Microsoft 端點管理員) 或手動 (例如，使用者可以從計算機導出憑證，並將其匯入其行動裝置) 。 憑證可在本機使用之後，您可以在電子郵件客戶端的設定中啟用和設定 S/MIME。

如需電子郵件用戶端中 S/MIME 的詳細資訊，請參閱下列主題：

• Outlook: See the "Encrypting with S/MIME" section in Encrypt email messages.
• iOS 和 Android 版 Outlook： 在用戶端中啟用 S/MIME
• iOS 中的郵件： 使用 S/MIME 在 iOS 的 Exchange 環境中傳送加密的郵件

您也可以在 Exchange Online PowerShell 中的 New-MobileDeviceMailboxPolicy 和 Set-MobileDeviceMailboxPolicy Cmdlet 上使用下列參數來設定行動裝置的 S/MIME 設定：

• AllowSMIMEEncryptionAlgorithmNegotiation
• AllowSMIMESoftCerts
• RequireEncryptedSMIMEMessages
• RequireEncryptionSMIMEAlgorithm
• RequireSignedSMIMEAlgorithm
• RequireSignedSMIMEMessages