Panoramica di S/MIME per firmare e crittografare la posta elettronica in Intune
Email certificati, noti anche come certificato S/MIME, offrono maggiore sicurezza alle comunicazioni di posta elettronica tramite crittografia e decrittografia. Microsoft Intune possono usare i certificati S/MIME per firmare e crittografare i messaggi di posta elettronica ai dispositivi mobili che eseguono le piattaforme seguenti:
- Android
- iOS/iPadOS
- macOS
- Windows 10/11
Intune possono distribuire automaticamente i certificati di crittografia S/MIME a tutte le piattaforme. I certificati S/MIME vengono associati automaticamente ai profili di posta elettronica che usano il client di posta nativo in iOS e con Outlook nei dispositivi iOS e Android. Per le piattaforme Windows e macOS e per altri client di posta elettronica in iOS e Android, Intune fornisce i certificati, ma gli utenti devono abilitare manualmente S/MIME nell'app di posta elettronica e scegliere i certificati S/MIME.
Per altre informazioni sulla firma e la crittografia della posta elettronica S/MIME con Exchange, vedere S/MIME per la firma e la crittografia dei messaggi.
Questo articolo offre una panoramica dell'uso dei certificati S/MIME per firmare e crittografare i messaggi di posta elettronica nei dispositivi.
Firma dei certificati
I certificati usati per la firma consentono all'app di posta elettronica client di comunicare in modo sicuro con il server di posta elettronica.
Per usare i certificati di firma, creare un modello nell'autorità di certificazione (CA) incentrato sulla firma. In Autorità di certificazione Microsoft Active Directory Configurare il modello di certificato server elenca i passaggi per creare modelli di certificato.
La firma dei certificati in Intune usare i certificati PKCS. Configurare e usare i certificati PKCS descrive come distribuire e usare il certificato PKCS nell'ambiente Intune. Questi passaggi sono:
- Installare e configurare il connettore di certificati per Microsoft Intune per supportare le richieste di certificati PKCS. Il connettore ha gli stessi requisiti di rete dei dispositivi gestiti.
- Creare un profilo certificato radice attendibile per i dispositivi. Questo passaggio include l'uso di certificati radice e intermedi attendibili per l'autorità di certificazione e quindi la distribuzione del profilo nei dispositivi.
- Creare un profilo certificato PKCS usando il modello di certificato creato. Questo profilo rilascia i certificati di firma ai dispositivi e distribuisce il profilo certificato PKCS ai dispositivi.
È anche possibile importare un certificato di firma per un utente specifico. Il certificato di firma viene distribuito in qualsiasi dispositivo registrato da un utente. Per importare certificati in Intune, usare i cmdlet di PowerShell in GitHub. Per distribuire un certificato PKCS importato in Intune da usare per la firma tramite posta elettronica, seguire la procedura descritta in Configurare e usare certificati PKCS con Intune. Questi passaggi sono:
- Scaricare, installare e configurare il connettore di certificati per Microsoft Intune. Questo connettore fornisce certificati PKCS importati ai dispositivi.
- Importare i certificati di firma della posta elettronica S/MIME in Intune.
- Creare un profilo certificato pkcs importato. Questo profilo recapita i certificati PKCS importati ai dispositivi dell'utente appropriato.
Certificati di crittografia
I certificati usati per la crittografia confermano che un messaggio di posta elettronica crittografato può essere decrittografato solo dal destinatario previsto. La crittografia S/MIME è un ulteriore livello di sicurezza che può essere usato nelle comunicazioni di posta elettronica.
Quando si invia un messaggio di posta elettronica crittografato a un altro utente, viene ottenuta la chiave pubblica del certificato di crittografia dell'utente e viene crittografata la posta elettronica inviata. Il destinatario decrittografa il messaggio di posta elettronica usando la chiave privata nel dispositivo. Gli utenti possono avere una cronologia dei certificati usati per crittografare la posta elettronica. Ognuno di questi certificati deve essere distribuito in tutti i dispositivi di un utente specifico in modo che il messaggio di posta elettronica venga decrittografato correttamente.
È consigliabile che i certificati di crittografia della posta elettronica non siano creati in Intune. Anche se Intune supporta l'emissione di certificati PKCS che supportano la crittografia, Intune crea un certificato univoco per ogni dispositivo. Un certificato univoco per dispositivo non è ideale per uno scenario di crittografia S/MIME in cui il certificato di crittografia deve essere condiviso tra tutti i dispositivi dell'utente.
Per distribuire certificati S/MIME usando Intune, è necessario importare tutti i certificati di crittografia di un utente in Intune. Intune quindi distribuisce tutti i certificati in ogni dispositivo registrato da un utente. Per importare certificati in Intune, usare i cmdlet di PowerShell in GitHub.
Per distribuire un certificato PKCS importato in Intune usato per la crittografia della posta elettronica, seguire la procedura descritta in Configurare e usare certificati PKCS con Intune. Questi passaggi sono:
- Installare e configurare il connettore di certificati per Microsoft Intune. Questo connettore fornisce certificati PKCS importati ai dispositivi.
- Importare i certificati di crittografia della posta elettronica S/MIME in Intune.
- Creare un profilo certificato pkcs importato. Questo profilo recapita i certificati PKCS importati ai dispositivi dell'utente appropriato.
Nota
I certificati di crittografia S/MIME importati vengono rimossi da Intune quando i dati aziendali vengono rimossi o quando gli utenti vengono annullati dalla gestione. Tuttavia, i certificati non vengono revocati nell'autorità di certificazione.
Profili di posta elettronica S/MIME
Dopo aver creato profili certificato di firma E crittografia S/MIME, è possibile abilitare S/MIME per la posta nativa di iOS/iPadOS.