S/MIME Installazione per Outlook Android e iOS

Requisiti per S/MIME Impostare

Per garantire una sicurezza ottimale in Exchange Online, è fondamentale effettuare la configurazione S/MIME secondo le linee guida indicate nell'Configurazione S/MIME nell'Exchange Online' Manuale. Questo processo prevede la creazione di una raccolta di certificati virtuali e la messa a disposizione pubblica su Internet dell'elenco di revoche di certificati. 

Sia nei metodi di distribuzione dei certificati manuali che in quelli automatizzati, è fondamentale che le catene radice attendibili dei certificati siano accessibili all'interno della raccolta virtuale di Exchange Online per un'efficace verifica dell'attendibilità. Exchange Online conferma la validità di un certificato verificando ogni collegamento nella catena di certificati, con particolare attenzione all'individuazione di un certificato radice attendibile e alla conferma del suo stato rispetto all'elenco di revoche. Per gli utenti di Outlook su iOS e Android, l'app fa un riferimento incrociato all'indirizzo SMTP primario nel profilo dell'account dell'utente con l'oggetto del certificato o il nome alternativo per convalidare il S/MIME certificato; le mancate corrispondenze comportano l'indisponibilità delle opzioni del certificato per la firma o la crittografia dei messaggi.

Distribuzione manuale dei certificati

Outlook per iOS e Android offre una funzionalità per l'installazione manuale dei certificati in cui gli utenti ricevono i propri certificati tramite posta elettronica. Per installarlo, gli utenti devono semplicemente toccare l'allegato all'interno dell'app, avviando il processo di configurazione.  Un utente ha la possibilità di esportare il proprio certificato personale e inviarlo alla propria posta elettronica utilizzando Outlook.  Per ulteriori dettagli fare riferimento a questo articolo: Esportazione di un certificato digitale.

Distribuzione automatizzata dei certificati

Outlook per iOS e Android integra il recapito automatizzato dei certificati esclusivamente tramite Microsoft Endpoint Manager come provider di registrazione.  L'architettura unica del portachiavi iOS, che distingue tra portachiavi di sistema e portachiavi dell'editore e limita l'accesso delle app di terze parti al portachiavi di sistema, richiede che i certificati per Outlook per iOS siano archiviati nel portachiavi dell'editore Microsoft. Ciò consente a Outlook per iOS di accedere a questi certificati, con solo le app di Microsoft, come Portale aziendale, autorizzate a inserire certificati in questo portachiavi.  Al contrario, la consegna e l'approvazione automatizzate di Outlook per Android S/MIME i certificati sono facilitati da Endpoint Manager in vari framework di registrazione Android, tra cui amministratore del dispositivo, profilo di lavoro Android Enterprise e scenari Android Enterprise completamente gestiti. Per consegnare correttamente i certificati a Outlook per iOS e Android, è necessario soddisfare alcuni requisiti chiave:

• I certificati radice attendibili devono essere distribuiti utilizzando Endpoint Manager. È possibile trovare indicazioni sulla creazione di profili di certificato attendibili in questa documentazione pertinente: Crea profili di certificati attendibili. 
• È necessario importare i certificati di crittografia in Endpoint Manager; Le istruzioni possono essere trovate qui: Configura e usa i certificati PKCS importati con Intune.
• Il connettore PFX per Microsoft Intune deve essere installato e configurato. I passaggi possono essere trovati qui: Scarica, installa e configura il connettore di certificato PFX per Microsoft Intune.
• Infine, i dispositivi devono essere registrati per ricevere automaticamente root attendibile e S/MIME certificati da Endpoint Manager.

Outlook iOS distribuzione automatizzata dei certificati

1. Accedere Gestore endpoint Microsoft.
2. Spostarsi Apps e quindi selezionare Criteri di configurazione dell'app.
3. Sulla Criteri di configurazione dell'app, fare clic su Aggiungi e scegli Dispositivi gestiti per avviare la creazione di un criterio di configurazione dell'app.
4. Nel 'Nozioni di base', inserisci un 'Nome' e, se lo si desidera, un 'Descrizione' per le impostazioni di configurazione dell'app.
5. Seleziona 'iOS / iPadOS' sotto 'Piattaforma'.
6. Per 'Applicazione mirata', clicca su 'Seleziona app', poi sul 'Applicazione associata'pagina, scegli'Microsoft Outlook' e conferma con 'OK'.
7. Procedi a 'Impostazioni di configurazione' per inserire i dettagli della configurazione.
8. Clicca su 'S/MIME' per accedere alle impostazioni specifiche per Outlook S/MIME.
9. Set 'permettere S/MIME' a 'Sì'. Hai la possibilità di consentire agli utenti di modificare questa impostazione selezionando "Sì (impostazione predefinita dell'app)' o limitare le modifiche optando per 'Non'.
10. Decidi se 'Crittografa tutte le email' scegliendo 'Sì' o 'Non' e, allo stesso modo, consentire o limitare la modifica di questa impostazione da parte dell'utente.
11. Determinare se 'Firma tutte le email"selezionando"Sì' o 'Non', con le stesse opzioni per consentire o impedire le regolazioni dell'utente.
12. Se necessario, implementare un URL LDAP per la ricerca del certificato del destinatario.
13. Assicurati di impostare "Schierare S/MIME certificati da Intune' a 'Sì'.
14. Sotto  Firma dei certificati accanto a Tipo di profilo del certificato, considera una di queste tre opzioni:
    • SCEP: questa opzione genera un certificato univoco sia per il dispositivo che per l'utente, adatto agli scopi di firma di Microsoft Outlook. Per comprendere i prerequisiti per i profili dei certificati SCEP, fare riferimento a guida sulla configurazione dell'infrastruttura per supportare SCEP con Intune.
    • Certificati importati PKCS: Optando per questa opzione si utilizza un certificato specifico dell'utente che può essere utilizzato su più dispositivi, essendo stato importato in Endpoint Manager dall'amministratore per l'utente. Questo certificato viene assegnato automaticamente a qualsiasi dispositivo registrato dall'utente, con Endpoint Manager che seleziona il certificato di firma appropriato per ciascun utente registrato. Per i dettagli sull'utilizzo dei certificati importati PKCS, consultare il file istruzioni sulla configurazione e l'uso dei certificati PKCS con Intune.
    • Credenziali derivate: questa scelta comporta l'utilizzo di un certificato preesistente sul dispositivo deputato alla firma. È necessario recuperare il certificato nel dispositivo tramite i processi delle credenziali derivate di Intune.
15. Sotto Certificati di crittografia accanto a Tipo di profilo del certificato, considera una delle seguenti opzioni:
    • Certificati importati PKCS: questa scelta abilita la consegna dei certificati di crittografia, precedentemente importati in Endpoint Manager da un amministratore, su tutti i dispositivi registrati da un utente. Endpoint Manager selezionerà autonomamente il certificato o i certificati importati idonei che facilitano la crittografia, distribuendoli sui dispositivi dell'utente iscritto.
    • Credenziali derivate: questa opzione utilizza un certificato esistente sul dispositivo per scopi di crittografia. Il certificato deve essere ottenuto nel dispositivo tramite i flussi di lavoro delle credenziali derivate in Intune.
16. Per le notifiche agli utenti finali relative al recupero dei certificati, gli amministratori hanno la possibilità di selezionare il Portale aziendale o la posta elettronica come metodo di notifica. In iOS gli utenti devono utilizzare l'app Portale aziendale per recuperare i propri file S/MIME certificati, dove verranno avvisati tramite la sezione Notifiche dell'app, una notifica push o un'e-mail. Queste notifiche indirizzano gli utenti a una pagina di destinazione specifica che mostra l'avanzamento del recupero del certificato, dopodiché possono utilizzarli S/MIME in Microsoft Outlook per iOS per la firma e la crittografia della posta elettronica.
    
    Le notifiche all'utente finale per il recupero del certificato sono disponibili in due opzioni distinte:
    • Portale aziendale: scegliendo questa opzione verrà inviata una notifica push al dispositivo dell'utente, indirizzandolo alla pagina di destinazione del Portale aziendale dove potrà accedere ai propri S/MIME certificati.
    • E-mail: selezionando la notifica tramite posta elettronica verrà inviato un messaggio all'utente finale, chiedendogli di aprire il Portale aziendale per recuperare i propri S/MIME certificati. 

Outlook-Android distribuzione automatizzata dei certificati

1. Accedere Gestore endpoint Microsoft.
2. Crea un profilo di certificato SCEP o PKCS e assegnalo ai tuoi utenti mobili.
3. Vai a 'Apps‘, quindi seleziona ‘Criteri di configurazione dell'app'.
4. Nel 'Criteri di configurazione dell'appsezione ', fare clic su 'Aggiungi'e scegli'Dispositivi gestiti' per avviare l'impostazione dei criteri di configurazione dell'app.
5. Nel 'Nozioni di base', fornire un 'Nome' e un facoltativo 'Descrizione' per le impostazioni di configurazione dell'app.
6. Seleziona 'Impresa Android' come il 'Piattaforma' e 'Tutti i tipi di profilo' come il 'Tipo profilo'.
7. Sotto 'Applicazione mirata', scegli'Seleziona app', poi sul 'Applicazione associata'pagina, seleziona'Microsoft Outlook' e conferma con 'OK'.
8. Clicca su 'Impostazioni di configurazione' per inserire impostazioni specifiche. Scegliere 'Utilizzare Progettazione configurazione' accanto a 'Formato delle impostazioni di configurazione', modificando le impostazioni predefinite come richiesto. 
9. Accedi al 'S/MIME' per modificare i file di Outlook S/MIME e socievole.
10. Set 'permettere S/MIME' a 'Sì', con la possibilità per gli amministratori di consentire o impedire agli utenti di modificare questa impostazione.
11. Decidi se vuoi 'Crittografa tutte le email', offrendo agli amministratori la possibilità di consentire agli utenti di modificare questa impostazione.
12. Scegli se'Firma tutte le email', sempre con la possibilità per gli amministratori di controllare l'accesso degli utenti a questa impostazione.
13. Infine, usa 'Assegnazioni' per allocare i criteri di configurazione dell'app ai gruppi Microsoft Entra appropriati. 

Attivazione S/MIME nel cliente

Per consentire agli utenti di visualizzare o creare contenuti correlati S/MIME in Outlook per iOS e Android è essenziale che S/MIME è attivato. Ciò richiede che gli utenti finali si accendano manualmente S/MIME funzionalità nelle impostazioni dell'account accedendo alla sezione Sicurezza e attivando la funzionalità S/MIME controllo, che inizialmente è impostato su off.

Supporto LDAP

LDAP (Lightweight Directory Access Protocol) è un protocollo standard del settore per l'accesso e la gestione dei servizi di informazioni sulle directory. Viene comunemente utilizzato per archiviare e recuperare informazioni su utenti, gruppi, strutture organizzative e altre risorse in un ambiente di rete. Integrazione di LDAP con S/MIME implica l'utilizzo di LDAP come servizio di directory per archiviare e gestire i certificati utente. Integrando LDAP con S/MIME certificati, le organizzazioni possono centralizzare la gestione dei certificati, migliorare la sicurezza e semplificare il processo di recupero e autenticazione dei certificati in varie applicazioni e servizi che sfruttano LDAP come servizio di directory.

Per una guida sull'integrazione LDAP con SSL.com S/MIME certificati, fare riferimento a questo articolo: Integrazione LDAP con S/MIME Certificati.