S/MIME Instalación para Outlook Android e iOS

Requisitos para S/MIME Preparar

Para garantizar una seguridad óptima en Exchange Online, es fundamental configurar S/MIME de acuerdo con las pautas especificadas en el 'Configurar S/MIME en intercambio en línea' manual. Este proceso implica establecer una colección de certificados virtuales y hacer que la lista de revocación de certificados esté disponible públicamente en Internet. 

Tanto en los métodos de distribución de certificados manuales como automatizados, es vital que se pueda acceder a las cadenas raíz confiables de los certificados dentro de la colección virtual de Exchange Online para una verificación de confianza efectiva. Exchange Online confirma la validez de un certificado verificando cada enlace de la cadena de certificados, centrándose en localizar un certificado raíz confiable y confirmar su estado con la lista de revocación. Para los usuarios de Outlook en iOS y Android, la aplicación hace una referencia cruzada de la dirección SMTP principal en el perfil de la cuenta del usuario con el asunto del certificado o el nombre alternativo para validar el S/MIME certificado; Las discrepancias dan como resultado la falta de disponibilidad de opciones de certificado para firmar o cifrar mensajes.

Distribución manual de certificados

Outlook para iOS y Android ofrece una función para la instalación manual de certificados donde los usuarios reciben sus certificados por correo electrónico. Para instalar, los usuarios simplemente tocan el archivo adjunto dentro de la aplicación, iniciando el proceso de configuración.  Un usuario tiene la capacidad de exportar su certificado personal y enviarlo a su propio correo electrónico mediante Outlook.  Para obtener detalles adicionales, consulte este artículo: Exportar un certificado digital.

Distribución automatizada de certificados

Outlook para iOS y Android integra la entrega automatizada de certificados exclusivamente a través de Microsoft Endpoint Manager como proveedor de inscripción.  La arquitectura única del llavero de iOS, que diferencia entre llaveros del sistema y del editor y restringe el acceso de aplicaciones de terceros al llavero del sistema, requiere que los certificados de Outlook para iOS se almacenen en el llavero del editor de Microsoft. Esto permite que Outlook para iOS acceda a estos certificados, y solo las aplicaciones propias de Microsoft, como Portal de empresa, están autorizadas para colocar certificados en este llavero.  Por el contrario, la entrega y aprobación automatizadas de Outlook para Android de S/MIME Endpoint Manager facilita los certificados en varios marcos de inscripción de Android, incluido el administrador de dispositivos, el perfil de trabajo de Android Enterprise y los escenarios de Android Enterprise totalmente administrados. Para entregar certificados correctamente a Outlook para iOS y Android, se deben cumplir ciertos requisitos clave:

• Los certificados raíz confiables deben implementarse mediante Endpoint Manager. Puede encontrar orientación sobre la creación de perfiles de certificados confiables en esta documentación relevante: Cree perfiles de certificados confiables. 
• Es necesario importar certificados de cifrado a Endpoint Manager; Las instrucciones se pueden encontrar aquí: Configurar y usar certificados PKCS importados con Intune.
• El conector PFX para Microsoft Intune debe estar instalado y configurado. Los pasos se pueden encontrar aquí: Descargue, instale y configure el conector de certificado PFX para Microsoft Intune.
• Finalmente, los dispositivos deben estar inscritos para recibir automáticamente acceso raíz y de confianza. S/MIME certificados de Endpoint Manager.

Distribución automatizada de certificados de Outlook iOS

1. Iniciar sesión en Administrador de endpoint de Microsoft.
2. Navegue hasta Apps Y luego seleccione Políticas de configuración de aplicaciones.
3. En Políticas de configuración de aplicaciones, haga clic Añada y elige Dispositivos administrados para iniciar la creación de una política de configuración de la aplicación.
4. En el 'conceptos básicos' sección, ingrese un 'Nombre' y, si lo desea, un 'Descripción' para los ajustes de configuración de su aplicación.
5. Seleccione 'iOS / iPadOS' debajo 'Productos'.
6. Por 'Aplicación dirigida', haga clic en 'Seleccionar aplicación', luego en el 'Aplicación asociada'página, elegir'microsoft Outlook' y confirma con 'OK'.
7. Proceder a 'Ajustes de configuración' para ingresar sus detalles de configuración.
8. Haga clic en 'S/MIME'para acceder a la configuración específica de Outlook S/MIME.
9. Colocar 'permitir S/MIME' a 'Sí'. Tiene la opción de permitir a los usuarios modificar esta configuración seleccionando 'Sí (valor predeterminado de la aplicación)', o para restringir los cambios optando por 'No'.
10. Decide si 'Cifrar todos los correos electrónicos' por elección 'Sí'o'No', y de manera similar, permitir o restringir la modificación de esta configuración por parte del usuario.
11. Determinar si 'Firmar todos los correos electrónicos' seleccionando 'Sí'o'No', con las mismas opciones para permitir o impedir ajustes del usuario.
12. Si es necesario, implemente una URL LDAP para la búsqueda del certificado del destinatario.
13. Asegúrese de configurar 'Despliegue S/MIME certificados de Intune' a 'Sí'.
14. under  Firma de certificados al lado de Tipo de perfil de certificado, considere una de estas tres opciones:
    • SCEP: esta opción genera un certificado único tanto para el dispositivo como para el usuario, adecuado para fines de firma de Microsoft Outlook. Para comprender los requisitos previos para los perfiles de certificado SCEP, consulte la guía sobre la configuración de la infraestructura para admitir SCEP con Intune.
    • Certificados importados PKCS: Optar por esto utiliza un certificado específico del usuario que se puede usar en múltiples dispositivos, habiendo sido importado a Endpoint Manager por el administrador del usuario. Este certificado se asigna automáticamente a cualquier dispositivo registrado por el usuario, y Endpoint Manager selecciona el certificado de firma apropiado para cada usuario inscrito. Para obtener detalles sobre el uso de certificados importados PKCS, consulte la Instrucciones sobre la configuración y el uso de certificados PKCS con Intune.
    • Credenciales derivadas: esta elección implica el uso de un certificado preexistente en el dispositivo designado para la firma. Requiere recuperar el certificado en el dispositivo a través de los procesos de credenciales derivadas de Intune.
15. under Certificados de cifrado al lado de Tipo de perfil de certificado, considere una de las siguientes opciones:
    • Certificados importados PKCS: esta opción permite la entrega de certificados de cifrado, previamente importados a Endpoint Manager por un administrador, en todos los dispositivos inscritos por un usuario. Endpoint Manager seleccionará de forma autónoma el certificado o certificados importados adecuados que faciliten el cifrado, distribuyéndolos a los dispositivos del usuario inscrito.
    • Credenciales derivadas: esta opción utiliza un certificado existente en el dispositivo para fines de cifrado. El certificado debe obtenerse en el dispositivo mediante los flujos de trabajo de credenciales derivadas en Intune.
16. Para las notificaciones al usuario final sobre la recuperación de certificados, los administradores tienen la opción de seleccionar Portal de empresa o Correo electrónico como método de notificación. En iOS, los usuarios deben utilizar la aplicación Portal de empresa para recuperar sus S/MIME certificados, donde serán alertados a través de la sección de Notificaciones de la aplicación, una notificación push o un correo electrónico. Estas notificaciones dirigen a los usuarios a una página de inicio específica que muestra el progreso de la recuperación del certificado, después de lo cual pueden utilizar S/MIME en Microsoft Outlook para iOS para firmar y cifrar correos electrónicos.
    
    Las notificaciones al usuario final para la recuperación de certificados están disponibles en dos opciones distintas:
    • Portal de empresa: Al elegir esta opción, se enviará una notificación automática al dispositivo del usuario, dirigiéndolo a la página de inicio del Portal de empresa donde podrá acceder a su S/MIME Certificados.
    • Correo electrónico: Al seleccionar la notificación por correo electrónico se enviará un mensaje al usuario final, solicitándole que abra el Portal de empresa para recuperar su S/MIME Certificados. 

perspectiva android distribución automatizada de certificados

1. Inicia sesión en Administrador de endpoint de Microsoft.
2. Cree un perfil de certificado SCEP o PKCS y asígnelo a sus usuarios móviles.
3. Ir 'Apps', luego seleccione 'Políticas de configuración de aplicaciones'.
4. En el 'Políticas de configuración de aplicaciones' sección, haga clic en 'Añada' y elige 'Dispositivos administrados' para iniciar la configuración de la política de configuración de la aplicación.
5. En el 'conceptos básicos' área, proporcione un 'Nombre'y un opcional'Descripción' para los ajustes de configuración de su aplicación.
6. Seleccione 'Android Enterprise' como el 'Productos'Y'Todos los tipos de perfil' como el 'Tipo de perfil'.
7. Debajo 'Aplicación dirigida', escoger 'Seleccionar aplicación', luego en el 'Aplicación asociada' página, seleccione 'microsoft Outlook' y confirma con 'OK'.
8. Haga clic en 'Ajustes de configuración' para ingresar configuraciones específicas. Optar por 'Usar diseñador de configuración' cerca de 'Formato de ajustes de configuración', ajustando la configuración predeterminada según sea necesario. 
9. Acceder al 'S/MIME' sección para ajustar Outlook S/MIME configuración.
10. Colocar 'permitir S/MIME' a 'Sí', con la opción para que los administradores permitan o restrinjan a los usuarios para que no cambien esta configuración.
11. Decide si quieres'Cifrar todos los correos electrónicos', dando a los administradores la opción de permitir a los usuarios modificar esta configuración.
12. Elija si desea 'Firmar todos los correos electrónicos', nuevamente con la capacidad de que los administradores controlen el acceso de los usuarios a esta configuración.
13. Finalmente, use 'Asignaciones' para asignar la política de configuración de la aplicación a los grupos de Microsoft Entra adecuados. 

Activación S/MIME en el cliente

Para que los usuarios vean o creen contenido relacionado con S/MIME en Outlook para iOS y Android, es esencial que S/MIME Está activado. Esto requiere que los usuarios finales activen manualmente S/MIME funcionalidad dentro de la configuración de su cuenta navegando a la sección Seguridad y alternando el S/MIME control, que inicialmente está desactivado.

Soporte LDAP

LDAP (Protocolo ligero de acceso a directorios) es un protocolo estándar de la industria para acceder y administrar servicios de información de directorio. Se utiliza comúnmente para almacenar y recuperar información sobre usuarios, grupos, estructuras organizativas y otros recursos en un entorno de red. Integración de LDAP con S/MIME Los certificados implican el uso de LDAP como servicio de directorio para almacenar y administrar certificados de usuario. Al integrar LDAP con S/MIME certificados, las organizaciones pueden centralizar la gestión de certificados, mejorar la seguridad y agilizar el proceso de recuperación y autenticación de certificados en diversas aplicaciones y servicios que aprovechan LDAP como servicio de directorio.

Para obtener una guía sobre la integración LDAP con SSL.com S/MIME certificados, consulte este artículo: Integración LDAP con S/MIME Certificados.