Microsoft Outlook の設定
このスクリプトは、DigiCert 発行の証明書を使用して Microsoft Outlook のS/MIME(Secure/Multipurpose Internet Mail Extensions)設定を自動化します。これは、デジタル署名と暗号化の証明書を Outlook プロファイルに割り当てるプロセスを効率化し、エンドユーザーに安全なメール通信を確保するよう設計されています。
このスクリプトは次の機能を提供します。
証明書のキー使用(KU)および拡張キー使用(EKU)の各フィールドに基づき、署名および/または暗号化用に新規発行された DigiCert S/MIME 証明書の識別と割り当てを行います。
既存の Outlook S/MIME プロファイルと統合し、複数の S/MIME プロファイルに対応するとともに、必要に応じて DigiCert プロファイルの作成または更新を行います。
誤設定防止のため、証明書内のメールアドレスがユーザーの設定済み Outlook アカウントのいずれか 1 つと一致することを検証します。
発行された S/MIME 証明書の有効性と信頼性を保証するため、完全な X.509 トラストチェーン認証を実行します。
設定可能なスクリプトパラメータを使用し、管理者がすべての送信メールへの署名および/または暗号化を強制できるようにします。
注記
このスクリプトはクラシック版 Outlook のみに対応し、Windows 向けの新しい Outlook には対応しません。
対応するオペレーティングシステムとアプリケーション
オペレーティングシステム | アプリケーション |
|---|---|
Windows(特定のバージョンについては「Prerequisites」を参照) | Microsoft Outlook 2016 以降(32 ビット版と 64 ビット版の両方に対応) 注記32 ビット版の Outlook では、DigiCert Software KeyStore 内の証明書にアクセスできません。そのため、32 ビット版 Outlook で DigiCert Software KeyStore を使用することはお勧めしません。管理者は、64 ビット版 Outlook に切り替えるか、証明書インストールにオペレーティングシステムのキーストアを使用する必要があります。 |
パラメータ
このスクリプトは以下のパラメータに対応します。
名前 | デフォルト* | パス | 注記 |
|---|---|---|---|
送信メッセージに電子署名を追加します | 有効 | [トラストセンター]>[メールセキュリティ]>[送信メッセージにデジタル署名を追加] | 証明書のキー使用(KU)に |
送信メッセージのコンテンツと添付ファイルを暗号化します | 無効 | [トラストセンター]>[メールセキュリティ]>[送信メッセージの内容と添付ファイルの暗号化] | 証明書のキー使用(KU)に |
* デフォルト設定を変更した場合、ユーザーは新しい設定を処理するために DigiCert Trust Assistant をバージョン 1.2.6 以降に更新する必要があります。この要件は、Windows 以外のオペレーティングシステム上で動作する DigiCert Trust Assistant にも適用されます。 | |||
前提条件のチェック
証明書設定を進める前に、スクリプトは環境が準備できていることを確認するため、次のとおりいくつかのチェックを実行します。
システムに Microsoft Outlook 2016 以降がインストールされていることを確認します。32 ビット版と 64 ビット版の両方に対応します。ただし、32 ビット版 Outlook を使用する場合、特定の制限があります。詳細については、「Microsoft Outlook Configuration」を参照してください。
証明書の X.509 トラストチェーンを検証し、信頼のある認証局(CA)によって発行されたことを確認します。
証明書が次の S/MIME 要件(プロファイル作成時に強制適用される)を満たしていることを検証します。
証明書の[Key Usage](KU)フィールドに
digitalSignatureおよび/またはkeyEnciphermentが含まれていること。証明書の[拡張キー使用(EKU)]フィールドに
id-kp-emailProtection(1.3.6.1.5.5.7.3.4)が含まれていること。
SAN: RFC822 Name エントリと SubjectDN: Email(フォールバックとして)の両方を使用して証明書からメールアドレスを抽出し、ユーザーの設定済み Outlook アカウントとの照合を試みます。最初に一致した結果を使用して、
DigiCert Outlook Configuration (<matched email>)という名前の S/MIME プロファイルが作成されます。
注記
SAN: RFC822 Name が S/MIME メールアドレスの推奨場所ですが、互換性のためスクリプトは[Subject DN: Email]フィールドも考慮します。ただし、Outlook は将来のリリースで Subject DN: Email への対応を終了する可能性があります。
複数のメールアドレスが存在する場合、照合処理は順番に進み、SAN フィールドか Subject DN フィールドかに関係なく、最初に照合が一致した時点で停止します。
しくみ
このスクリプトは次の手順を実行します。
前提条件のチェックがすべて満たされていることを確認します。
既存の S/MIME Outlook プロファイルを取得します。
DigiCert S/MIME プロファイルが存在する場合、署名および/または暗号化に適切な証明書を使用して更新します。
存在しない場合は、新しいプロファイルを作成し、必要な証明書を割り当てます。
更新済みまたは新規作成した DigiCert プロファイルを、Outlook メールセキュリティ設定の S/MIME 用デフォルトプロファイルとして設定します。
正常に実行された場合、[ファイル]>[オプション]>[トラストセンター]>[トラストセンターの設定]>[メールセキュリティ]に移動し、新規作成された DigiCert プロファイルを確認できます。[暗号化されたメール]セクションで、DigiCert Outlook Configuration (<matched email>) がデフォルトとして設定されていることを確認します。
トラブルシューティング
システムの後処理スクリプトに関連する問題のトラブルシューティングに役立つ詳細については、「Common issues」を参照してください。
Microsoft Outlook 設定に関連する問題のトラブルシューティングに役立つ詳細については、「Microsoft Outlook Configuration」を参照してください。