Configurar S/MIME en Exchange Online

S/MIME (extensiones de correo de Internet seguras o multipropósito) es un protocolo ampliamente aceptado para enviar mensajes firmados y cifrados digitalmente. Para obtener más información, consulte S/MIME para la firma de mensajes y el cifrado en Exchange Online.

S/MIME está disponible en Exchange Online con los siguientes tipos de clientes de correo electrónico:

• Versiones admitidas de Outlook.

• Outlook en la Web (anteriormente conocido como Outlook Web App) en clientes Windows. Para obtener más información, consulte Cifrado de mensajes mediante S/MIME en Outlook en la Web.

  Nota:

  Las acciones de directiva confidencial se aplican en el back-end del servidor, mientras que la firma S/MIME o el cifrado se realizan en el cliente Outlook en la Web. Debido a esta restricción arquitectónica, S/MIME se deshabilita en Outlook en la Web en los mensajes donde hay etiquetas de confidencialidad con acciones de protección.

• Dispositivos móviles (por ejemplo, Outlook para iOS y Android, aplicaciones Exchange ActiveSync o aplicaciones de correo electrónico nativas).

Como administrador de Exchange Online, puede habilitar la seguridad basada en S/MIME para los buzones de su organización. Los pasos de alto nivel se describen en la lista siguiente y se amplían en este artículo:

1. Configure y publique certificados S/MIME.
2. Configure una colección de certificados virtuales en Exchange Online.
3. Sincronizar certificados de usuario para S/MIME en Microsoft 365.
4. Configure directivas para instalar extensiones S/MIME en exploradores web para Outlook en la Web.
5. Configure los clientes de correo electrónico para usar S/MIME.

Para obtener instrucciones de configuración S/MIME de un extremo a otro para Outlook para iOS y Android, consulte S/MIME para Outlook para iOS y Android.

Paso 1: Configurar y publicar certificados S/MIME

Cada usuario de la organización requiere su propio certificado que se emite con fines de firma y cifrado. Estos certificados se publican en el Active Directory local para su distribución. Active Directory debe estar ubicado en equipos en una ubicación física que controle y no en una instalación remota o un servicio basado en la nube en Internet.

Para obtener más información sobre Active Directory, consulte introducción a Servicios de dominio de Active Directory.

1. Instale una entidad de certificación (CA) basada en Windows y configure una infraestructura de clave pública para emitir certificados S/MIME. También se admiten certificados emitidos por proveedores de certificados de terceros. Para obtener más información, consulte Información general de Servicios de certificados de Active Directory.

   Notas:

   • Los certificados emitidos por una entidad de certificación de terceros tienen la ventaja de que todos los clientes y dispositivos confían automáticamente en ellos. Los certificados emitidos por una entidad de certificación privada interna no son de confianza automática para los clientes y dispositivos, y no todos los dispositivos (por ejemplo, teléfonos) se pueden configurar para confiar en certificados privados.
   • Considere la posibilidad de usar un certificado intermedio en lugar del certificado raíz para emitir certificados a los usuarios. De este modo, si alguna vez necesita revocar y volver a emitir certificados, el certificado raíz sigue intacto.
   • El certificado debe tener una clave privada y se debe rellenar la extensión X509 "Identificador de clave de firmante".

2. Publique el certificado del usuario en su cuenta de Active Directory local en los atributos UserSMIMECertificate o UserCertificate.

Paso 2: Configurar una colección de certificados virtuales en Exchange Online

La colección de certificados virtuales es responsable de validar los certificados S/MIME. Configure la colección de certificados virtuales mediante los pasos siguientes:

1. Exporte los certificados raíz e intermedios necesarios para validar los certificados S/MIME de usuario de una máquina de confianza a un archivo de almacén de certificados serializado (SST) en Windows PowerShell. Por ejemplo:

   Get-ChildItem -Path cert:\<StoreCertPath> | Export-Certificate -FilePath "C:\My Documents\Exported Certificate Store.sst" -Type SST
   

   Para obtener información detallada sobre la sintaxis y los parámetros, consulte Export-Certificate.

2. Importe los certificados del archivo SST en Exchange Online ejecutando el siguiente comando en Exchange Online PowerShell:

   Set-SmimeConfig -SMIMECertificateIssuingCA ([System.IO.File]::ReadAllBytes('C:\My Documents\Exported Certificate Store.sst'))
   

   Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-SmimeConfig.

Paso 3: Sincronización de certificados de usuario para S/MIME en Microsoft 365

Antes de que cualquier usuario pueda enviar mensajes protegidos por S/MIME en Exchange Online, debe configurar y configurar los certificados adecuados para cada usuario y publicar sus certificados X.509 públicos en Microsoft 365. El cliente de correo electrónico del remitente usa el certificado público del destinatario para cifrar el mensaje.

1. Emita certificados y publíquelos en la instancia local de Active Directory. Para obtener más información, vea Información general de Servicios de certificados de Active Directory.

2. Una vez publicados los certificados, use Microsoft Entra Conectar para sincronizar los datos de usuario del entorno local de Exchange con Microsoft 365. Para obtener más información sobre este proceso, consulte Microsoft Entra Connect Sync: Comprender y personalizar la sincronización.

Junto con la sincronización de otros datos de directorio, Microsoft Entra Connect sincroniza los atributos userCertificate y userSMIMECertificate para cada objeto de usuario para la firma S/MIME y el cifrado de mensajes de correo electrónico. Para obtener más información sobre Microsoft Entra Connect, consulte ¿Qué es Microsoft Entra Connect?.

Paso 4: Configurar directivas para instalar las extensiones S/MIME en exploradores web

Nota:

Este paso solo es necesario para Outlook en la Web clientes.

S/MIME en Outlook en la Web en Microsoft Edge basado en Chromium o en Google Chrome requiere una configuración de directiva específica configurada por un administrador.

En concreto, debe establecer y configurar la directiva denominada ExtensionInstallForcelist para instalar la extensión S/MIME en el explorador. El valor de la directiva es maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx. La aplicación de esta directiva requiere dispositivos unidos a un dominio o Microsoft Entra, por lo que el uso de S/MIME en Edge o Chrome requiere eficazmente dispositivos unidos a un dominio o unidos a Microsoft Entra.

Para obtener más información sobre las directivas, consulte los temas siguientes:

• ExtensionInstallForcelist - Edge
• ExtensionInstallForcelist - Chrome

La directiva es un requisito previo para usar S/MIME en Outlook en la Web. No reemplaza el control S/MIME instalado por los usuarios. Se pide a los usuarios que descarguen e instalen el control S/MIME en Outlook en la Web durante su primer uso de S/MIME. O bien, los usuarios pueden ir de forma proactiva a S/MIME en su configuración de Outlook en la Web para obtener el vínculo de descarga del control.

Paso 5: Configuración de clientes de correo electrónico para usar S/MIME

Si un cliente de correo electrónico admite S/MIME, la siguiente consideración es el acceso al certificado S/MIME del usuario por parte de ese cliente de correo electrónico. El certificado S/MIME debe instalarse en el equipo o dispositivo del usuario. Puede distribuir certificados S/MIME automáticamente (por ejemplo, mediante Microsoft Endpoint Manager) o manualmente (por ejemplo, el usuario puede exportar el certificado desde su equipo e importarlo en su dispositivo móvil). Una vez que el certificado está disponible localmente, puede habilitar y configurar S/MIME en la configuración del cliente de correo electrónico.

Para obtener más información sobre S/MIME en los clientes de correo electrónico, consulte los temas siguientes:

• Outlook: vea la sección "Cifrado con S/MIME" en Cifrar mensajes de correo electrónico.
• Outlook para iOS y Android: habilitación de S/MIME en el cliente
• Correo en iOS: use S/MIME para enviar mensajes cifrados en un entorno de Exchange en iOS

También puede usar los parámetros siguientes en los cmdlets New-MobileDeviceMailboxPolicy y Set-MobileDeviceMailboxPolicy de Exchange Online PowerShell para configurar la configuración de S/MIME para dispositivos móviles:

• AllowSMIMEEncryptionAlgorithmNegotiation
• AllowSMIMESoftCerts
• RequireEncryptedSMIMEMessages
• RequireEncryptionSMIMEAlgorithm
• RequireSignedSMIMEAlgorithm
• RequireSignedSMIMEMessages