Información general sobre S/MIME para firmar y cifrar el correo electrónico en Intune

  • Artículo

Los certificados de correo electrónico, también conocidos como certificados S/MIME, proporcionan seguridad adicional a las comunicaciones de correo electrónico mediante el cifrado y el descifrado. Microsoft Intune puede usar certificados S/MIME para firmar y cifrar el correo electrónico de los dispositivos móviles con las siguientes plataformas:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10/11

Intune puede proporcionar automáticamente certificados de cifrado S/MIME a todas las plataformas. Los certificados S/MIME se asocian automáticamente a los perfiles de correo que usan el cliente de correo nativo en iOS y a Outlook en dispositivos iOS y Android. En el caso de las plataformas Windows y macOS, así como otros clientes de correo en iOS y Android, Intune entrega los certificados, pero los usuarios deben habilitar manualmente S/MIME en su aplicación de correo y elegir los certificados S/MIME.

Para obtener más información sobre la firma y el cifrado de correo electrónico con S/MIME, vea S/MIME para la firma y el cifrado de mensajes.

En este artículo se proporciona información general sobre el uso de certificados S/MIME para firmar y cifrar el correo electrónico de los dispositivos.

Certificados de firma

Los certificados que se usan para la firma permiten que la aplicación de correo electrónico cliente se comunique de forma segura con el servidor de correo electrónico.

Para usar certificados de firma, cree una plantilla centrada en la firma en la entidad de certificación (CA). En la entidad de certificación de Microsoft Active Directory, en Configurar la plantilla de certificado de servidor se enumeran los pasos para crear plantillas de certificado.

Los certificados de firma en Intune usan certificados PKCS. En Configuración y uso de certificados PKCS con Intune se describe cómo implementar y usar el certificado PKCS en el entorno de Intune. Estos pasos incluyen:

  • Instale y configure Certificate Connector para Microsoft Intune a fin de admitir solicitudes de certificados PKCS. El conector tiene los mismos requisitos de red que los dispositivos administrados.
  • Crear un perfil de certificado raíz de confianza para los dispositivos. Este paso incluye el uso de certificados raíz de confianza e intermedios para la entidad de certificación y, después, la implementación del perfil en los dispositivos.
  • Crear un perfil de certificado PKCS mediante la plantilla de certificado que se creó. Este perfil emite certificados de firma para los dispositivos e implementa el perfil de certificado PKCS en los dispositivos.

También se puede importar un certificado de firma para un usuario específico. El certificado de firma se implementa en todos los dispositivos inscritos por un usuario. Para importar certificados en Intune, use los cmdlets de PowerShell de GitHub. Para implementar un certificado PKCS importado en Intune que se usará para la firma de correo electrónico, siga los pasos descritos en Configuración y uso de certificados PKCS con Intune. Estos pasos incluyen:

  • Descargar, instalar y configurar Certificate Connector para Microsoft Intune. Este conector proporciona certificados PKCS importados a los dispositivos.
  • Importar certificados de firma de correo electrónico S/MIME a Intune.
  • Crear un perfil de certificado PKCS importado. Este perfil proporciona los certificados PKCS importados a los dispositivos del usuario adecuado.

Certificados de cifrado

Los certificados que se usan para el cifrado confirman que un correo electrónico cifrado solo se puede descifrar por el destinatario previsto. El cifrado S/MIME es una capa adicional de seguridad que se puede usar en las comunicaciones por correo electrónico.

Al enviar un correo electrónico cifrado a otro usuario, se obtiene la clave pública del certificado de cifrado de ese usuario y se cifra el correo electrónico que se envía. El destinatario descifra el correo electrónico con la clave privada en su dispositivo. Los usuarios pueden tener un historial de los certificados usados para cifrar el correo electrónico. Cada uno de esos certificados se debe implementar en todos los dispositivos de un usuario específico para que su correo electrónico se descifre de forma correcta.

Se recomienda que los certificados de cifrado de correo electrónico no se creen en Intune. Aunque Intune es compatible con la emisión de certificados PKCS que admiten el cifrado, Intune crea un certificado único por dispositivo. Un certificado único por dispositivo no es ideal para un escenario de cifrado S/MIME, donde el certificado de cifrado se debe compartir entre todos los dispositivos del usuario.

Para implementar certificados S/MIME con Intune, debe importar a Intune todos los certificados de cifrado de un usuario. Luego Intune implementa todos esos certificados en cada dispositivo que el usuario inscribe. Para importar certificados en Intune, use los cmdlets de PowerShell de GitHub.

Para implementar un certificado PKCS importado en Intune que se usa para el cifrado de correo electrónico, siga los pasos descritos en Configuración y uso de certificados PKCS con Intune. Estos pasos incluyen:

  • Instalar y configurar Certificate Connector para Microsoft Intune. Este conector proporciona certificados PKCS importados a los dispositivos.
  • Importar los certificados de cifrado de correo electrónico S/MIME a Intune.
  • Crear un perfil de certificado PKCS importado. Este perfil proporciona los certificados PKCS importados a los dispositivos del usuario adecuado.

Nota:

Intune elimina los certificados S/MIME importados cuando se quitan los datos de la empresa, o bien cuando se anula la inscripción de los usuarios de la administración. Pero los certificados no se revocan en la entidad de certificación.

Perfiles de correo electrónico S/MIME

Después de crear los perfiles de certificado de firma y cifrado S/MIME, puede habilitar S/MIME para el correo electrónico nativo de iOS/iPadOS.

Siguientes pasos