S/MIME per Outlook per iOS e Android in Exchange Online

S/MIME (Secure/Multipurpose Internet Mail Extensions) è un protocollo ampiamente accettato per l'invio di messaggi con firma digitale e crittografati. Per altre informazioni, vedere S/MIME per la firma e la crittografia dei messaggi in Exchange Online.

Per sfruttare S/MIME in Outlook per iOS e Android, è necessario configurare prerequisiti S/MIME specifici in Exchange Online. Dopo aver completato questi passaggi, è possibile distribuire i certificati S/MIME in Outlook per iOS e Android usando i metodi seguenti:

• Recapito manuale dei certificati
• Recapito automatico dei certificati

Questo articolo descrive come configurare Exchange Online per S/MIME usando Outlook per iOS e Android e come usare S/MIME in Outlook per iOS e Android.

Prerequisiti S/MIME

Verificare che S/MIME sia stato configurato correttamente in Exchange Online seguendo i passaggi descritti in Configurare S/MIME in Exchange Online. In particolare, questo include:

1. Configurazione della raccolta di certificati virtuali.
2. Pubblicazione dell'elenco di revoche di certificati in Internet.

Nelle soluzioni di recapito dei certificati manuali e automatizzate è previsto che la catena radice attendibile del certificato sia disponibile e individuabile all'interno della raccolta di certificati virtuali del tenant Exchange Online. La verifica dell'attendibilità viene eseguita su tutti i certificati digitali. Exchange Online convalida il certificato convalidando ogni certificato nella catena di certificati finché non raggiunge un certificato radice attendibile. Questa verifica viene eseguita ottenendo i certificati intermedi tramite l'attributo di accesso alle informazioni dell'autorità nel certificato fino a quando non viene individuato un certificato radice attendibile. I certificati intermedi possono anche essere inclusi nei messaggi di posta elettronica firmati digitalmente. Se Exchange Online individua un certificato radice attendibile e può eseguire query sull'elenco di revoche di certificati per l'autorità di certificazione, la catena del certificato digitale per tale certificato digitale viene considerata valida e attendibile e può essere usata. Se Exchange Online non riesce a individuare un certificato radice attendibile o non riesce a contattare l'elenco di revoche di certificati per l'autorità di certificazione, tale certificato viene considerato non valido e non è attendibile.

Outlook per iOS e Android sfrutta l'indirizzo SMTP primario dell'utente per le attività del flusso di posta, configurato durante la configurazione del profilo dell'account. Il certificato S/MIME usato da Outlook per iOS e Android viene calcolato confrontando l'indirizzo SMTP primario dell'utente come definito nel profilo dell'account con il valore soggetto del certificato o il valore del nome alternativo del soggetto; se questi non corrispondono, Outlook per iOS e Android segnalerà che un certificato non è disponibile (vedere la figura 7) e non consentirà all'utente di firmare e/o crittografare i messaggi.

Recapito manuale dei certificati

Outlook per iOS e Outlook per Android supportano entrambi il recapito manuale dei certificati, ovvero quando il certificato viene inviato all'utente tramite posta elettronica e l'utente tocca l'allegato del certificato all'interno dell'app per avviare l'installazione del certificato. L'immagine seguente mostra il funzionamento del recapito manuale dei certificati in iOS.

Un utente può esportare il proprio certificato e inviarlo tramite posta elettronica a se stesso usando Outlook. Per altre informazioni, vedere Esportazione di un certificato digitale.

Importante

Quando si esporta il certificato, assicurarsi che il certificato esportato sia protetto da password con una password complessa.

Recapito automatico dei certificati

Importante

• Outlook per iOS e Android supporta il recapito automatico dei certificati solo quando Microsoft Endpoint Manager è il provider di registrazione.

• Per Outlook per iOS, ciò è dovuto all'architettura del portachiavo iOS. iOS offre un keychain di sistema e keychain dell'editore. iOS impedisce alle app di terze parti di accedere al keychain di sistema (solo le app di prima parte e il controller webview Safari possono accedere al keychain di sistema). Per recapitare i certificati accessibili da Outlook per iOS, i certificati devono risiedere nel keychain dell'editore Microsoft a cui Outlook per iOS ha accesso. Solo le app pubblicate da Microsoft, come il Portale aziendale, possono inserire i certificati nel keychain del server di pubblicazione Microsoft.

• Outlook per Android si basa su Endpoint Manager per distribuire e approvare i certificati S/MIME. Il recapito automatico dei certificati è supportato con scenari di registrazione Android: amministratore del dispositivo, profilo di lavoro Android Enterprise e Android Enterprise completamente gestito.

Con Endpoint Manager, le organizzazioni possono importare le cronologie dei certificati di crittografia da qualsiasi autorità di certificazione. Endpoint Manager recapiterà quindi automaticamente i certificati a qualsiasi dispositivo registrato dall'utente. In genere, il protocollo SCEP (Simple Certificate Enrollment Protocol) viene usato per la firma dei certificati. Con SCEP, la chiave privata viene generata e archiviata nel dispositivo registrato e viene recapitato un certificato univoco a ogni dispositivo registrato da un utente, che può essere usato per il non ripudio. Endpoint Manager supporta infine le credenziali derivate per i clienti che necessitano del supporto per lo standard NIST 800-157. Il Portale aziendale viene usato per recuperare i certificati di firma e crittografia da Intune.

Per distribuire i certificati a Outlook per iOS e Android, è necessario completare i prerequisiti seguenti:

• Distribuire certificati radice attendibili tramite Endpoint Manager. Per altre informazioni, vedere Creare profili certificato attendibili.
• I certificati di crittografia devono essere importati in Endpoint Manager. Per altre informazioni, vedere Configurare e usare certificati PKCS importati con Intune.
• Installare e configurare il connettore PFX per Microsoft Intune. Per altre informazioni, vedere Scaricare, installare e configurare il connettore di certificati PFX per Microsoft Intune.
• I dispositivi devono essere registrati per ricevere automaticamente i certificati radice e S/MIME attendibili da Endpoint Manager.

Recapito automatico dei certificati di Outlook per iOS

Usare la procedura seguente per creare e configurare i criteri S/MIME di Outlook per iOS in Endpoint Manager. Queste impostazioni forniscono il recapito automatico dei certificati di firma e crittografia.

1. Accedere a Microsoft Endpoint Manager.

2. Selezionare App e quindi Criteri di configurazione delle app.

3. Nel pannello criteri Configurazione app scegliere Aggiungi e selezionare Dispositivi gestiti per avviare il flusso di creazione dei criteri di configurazione dell'app.

4. Nella sezione Informazioni di base immettere un Nomee una Descrizione facoltativa per le impostazioni di configurazione dell'app.

5. Per Piattaforma scegliere iOS/iPadOS.

6. Per App di destinazione scegliere Seleziona app e quindi scegliere Microsoft Outlook nel pannello App associata. Fare clic su OK.

   Nota

   Se Outlook non è elencato come app disponibile, è necessario aggiungerla seguendo le istruzioni riportate in Assegnare app ai dispositivi del profilo di lavoro Android con Intune e Aggiungere app dello store iOS a Microsoft Intune.

7. Fare clic su Impostazioni di configurazione per aggiungere le impostazioni di configurazione.

   Selezionare Usa progettazione configurazione accanto a Formato impostazioni di configurazione e accettare o modificare le impostazioni predefinite. Per altre informazioni, vedere Distribuzione delle impostazioni di configurazione delle app di Outlook per iOS e Android.

8. Fare clic su S/MIME per visualizzare le impostazioni S/MIME di Outlook.

9. Impostare Abilita S/MIME su Sì. Quando si seleziona Sì o No, gli amministratori possono scegliere di consentire all'utente di modificare il valore dell'impostazione dell'app. Selezionare Sì (impostazione predefinita dell'app) per consentire all'utente di modificare l'impostazione o scegliere No se si vuole impedire all'utente di modificare il valore dell'impostazione.

10. Scegliere se crittografare tutti i messaggi di posta elettronica selezionando Sì o No. Quando si seleziona Sì o No, gli amministratori possono scegliere di consentire all'utente di modificare il valore dell'impostazione dell'app. Selezionare Sì (impostazione predefinita dell'app) per consentire all'utente di modificare l'impostazione o scegliere No se si vuole impedire all'utente di modificare il valore dell'impostazione.

11. Scegliere se firmare tutti i messaggi di posta elettronica selezionando Sì o No. Quando si seleziona Sì o No, gli amministratori possono scegliere di consentire all'utente di modificare il valore dell'impostazione dell'app. Selezionare Sì (impostazione predefinita dell'app) per consentire all'utente di modificare l'impostazione o scegliere No se si vuole impedire all'utente di modificare il valore dell'impostazione.

12. Se necessario, distribuire un URL LDAP per la ricerca del certificato del destinatario. Per altre informazioni sul formato URL, vedere Supporto LDAP per la ricerca di certificati.

13. Impostare Deploy S/MIME certificates from Intune (Distribuisci certificati S/MIME da Intune ) su Sì.

14. In Certificati di firma accanto a Tipo di profilo certificato scegliere una delle opzioni seguenti:

    • SCEP: crea un certificato univoco per il dispositivo e l'utente che può essere usato da Microsoft Outlook per la firma. Per informazioni su ciò che è necessario per usare i profili certificato SCEP, vedere Configurare l'infrastruttura per supportare SCEP con Intune.
    • Certificati importati PKCS: usa un certificato univoco per l'utente, ma che può essere condiviso tra dispositivi ed è stato importato in Endpoint Manager dall'amministratore per conto dell'utente. Il certificato viene recapitato a qualsiasi dispositivo registrato da un utente. Endpoint Manager selezionerà automaticamente il certificato importato che supporta la firma per il recapito al dispositivo corrispondente all'utente registrato. Per informazioni su ciò che è necessario per usare i certificati importati PKCS, vedere Configurare e usare i certificati PKCS con Intune.
    • Credenziali derivate: usa un certificato già presente nel dispositivo che può essere usato per la firma. Il certificato deve essere recuperato nel dispositivo usando i flussi di credenziali derivate in Intune.

15. In Certificati di crittografia accanto a Tipo di profilo certificato scegliere una delle opzioni seguenti:

    • Certificati importati PKCS: recapita tutti i certificati di crittografia importati in Endpoint Manager dall'amministratore in qualsiasi dispositivo registrato da un utente. Endpoint Manager selezionerà automaticamente il certificato o i certificati importati che supportano la crittografia e recapitano ai dispositivi dell'utente registrato.
    • Credenziali derivate: usa un certificato già presente nel dispositivo che può essere usato per la firma. Il certificato deve essere recuperato nel dispositivo usando i flussi di credenziali derivate in Intune.

16. Accanto alle notifiche dell'utente finale scegliere come notificare agli utenti finali di recuperare i certificati selezionando Portale aziendale o Email.

    In iOS, gli utenti devono usare l'app Portale aziendale per recuperare i certificati S/MIME. Endpoint Manager informerà l'utente che deve avviare il Portale aziendale per recuperare i certificati S/MIME tramite la sezione Notifiche di Portale aziendale, una notifica push e/o un messaggio di posta elettronica. Facendo clic su una delle notifiche, l'utente verrà reindirizzato a una pagina di destinazione che informa l'utente dello stato di avanzamento del recupero dei certificati. Dopo aver recuperato i certificati, l'utente può usare S/MIME da Microsoft Outlook per iOS per firmare e crittografare la posta elettronica.

    Le notifiche dell'utente finale includono le opzioni seguenti:

    • Portale aziendale: se selezionata, gli utenti riceveranno una notifica push sul dispositivo, che li porterà alla pagina di destinazione in Portale aziendale in cui verranno recuperati i certificati S/MIME.
    • Email: invia un messaggio di posta elettronica all'utente finale informandolo che deve avviare Portale aziendale per recuperare i certificati S/MIME. Se l'utente si trova nel dispositivo iOS registrato quando fa clic sul collegamento nel messaggio di posta elettronica, verrà reindirizzato al Portale aziendale per recuperare i certificati.

    Gli utenti finali visualizzeranno un'esperienza simile alla seguente per il recapito automatico dei certificati:

17. Selezionare Assegnazioni per assegnare i criteri di configurazione dell'app ai gruppi di Microsoft Entra. Per altre informazioni, vedere Assegnare app ai gruppi con Microsoft Intune.

Recapito automatico dei certificati in Outlook per Android

Seguire questa procedura per creare e configurare i criteri S/MIME di Outlook per iOS e Android in Endpoint Manager. Queste impostazioni forniscono il recapito automatico dei certificati di firma e crittografia.

1. Accedere a Microsoft Endpoint Manager.

2. Creare un profilo certificato SCEP o un profilo certificato PKCS e assegnarlo agli utenti mobili.

3. Selezionare App e quindi Criteri di configurazione delle app.

4. Nel pannello criteri Configurazione app scegliere Aggiungi e selezionare Dispositivi gestiti per avviare il flusso di creazione dei criteri di configurazione dell'app.

5. Nella sezione Informazioni di base immettere un Nomee una Descrizione facoltativa per le impostazioni di configurazione dell'app.

6. Per Piattaforma scegliere Android Enterprise e in Tipo di profilo scegliere Tutti i tipi di profilo.

7. Per App di destinazione scegliere Seleziona app e quindi scegliere Microsoft Outlook nel pannello App associata. Fare clic su OK.

   Nota

   Se Outlook non è elencato come app disponibile, è necessario aggiungerla seguendo le istruzioni riportate in Assegnare app ai dispositivi del profilo di lavoro Android con Intune e Aggiungere app dello store iOS a Microsoft Intune.

8. Fare clic su Impostazioni di configurazione per aggiungere le impostazioni di configurazione.

   Selezionare Usa progettazione configurazione accanto a Formato impostazioni di configurazione e accettare o modificare le impostazioni predefinite. Per altre informazioni, vedere Distribuzione delle impostazioni di configurazione delle app di Outlook per iOS e Android.

9. Fare clic su S/MIME per visualizzare le impostazioni S/MIME di Outlook.

10. Impostare Abilita S/MIME su Sì. Quando si seleziona Sì o No, gli amministratori possono scegliere di consentire all'utente di modificare il valore dell'impostazione dell'app. Selezionare Sì (impostazione predefinita dell'app) per consentire all'utente di modificare l'impostazione o scegliere No se si vuole impedire all'utente di modificare il valore dell'impostazione.

11. Scegliere se crittografare tutti i messaggi di posta elettronica selezionando Sì o No. Quando si seleziona Sì o No, gli amministratori possono scegliere di consentire all'utente di modificare il valore dell'impostazione dell'app. Selezionare Sì (impostazione predefinita dell'app) per consentire all'utente di modificare l'impostazione o scegliere No se si vuole impedire all'utente di modificare il valore dell'impostazione.

12. Scegliere se firmare tutti i messaggi di posta elettronica selezionando Sì o No. Quando si seleziona Sì o No, gli amministratori possono scegliere di consentire all'utente di modificare il valore dell'impostazione dell'app. Selezionare Sì (impostazione predefinita dell'app) per consentire all'utente di modificare l'impostazione o scegliere No se si vuole impedire all'utente di modificare il valore dell'impostazione.

13. Selezionare Assegnazioni per assegnare i criteri di configurazione dell'app ai gruppi di Microsoft Entra. Per altre informazioni, vedere Assegnare app ai gruppi con Microsoft Intune.

Abilitazione di S/MIME nel client

È necessario abilitare S/MIME per Outlook per iOS e Android per visualizzare o creare contenuto correlato a S/MIME.

Gli utenti finali dovranno abilitare manualmente la funzionalità S/MIME accedendo alle impostazioni dell'account, toccando Sicurezza e toccando il controllo S/MIME, disattivato per impostazione predefinita. L'impostazione di sicurezza S/MIME di Outlook per iOS è simile alla seguente:

Quando l'impostazione S/MIME è abilitata, Outlook per iOS e Android disabiliterà automaticamente l'impostazione Organizza per thread . Questo perché la crittografia S/MIME diventa più complessa man mano che cresce un thread di conversazione. Rimuovendo la visualizzazione conversazione in thread, Outlook per iOS e Android riduce la possibilità di problemi con i certificati tra i destinatari durante la firma e la crittografia. Poiché si tratta di un'impostazione a livello di app, questa modifica influisce su tutti gli account aggiunti all'app. Il rendering di questa finestra di dialogo di conversazione in thread in iOS è il seguente:

Dopo aver abilitato S/MIME e aver installato i certificati S/MIME, gli utenti possono visualizzare i certificati installati accedendo alle impostazioni dell'account e toccando Sicurezza. Inoltre, gli utenti possono toccare ogni singolo certificato S/MIME e visualizzare i dettagli del certificato, incluse informazioni come l'utilizzo della chiave e il periodo di validità.

Gli utenti possono configurare Outlook per firmare o crittografare automaticamente i messaggi. Ciò consente agli utenti di risparmiare tempo durante l'invio di messaggi di posta elettronica, pur avendo la certezza che i messaggi di posta elettronica vengano firmati/crittografati.

Supporto LDAP per la ricerca di certificati

Outlook per iOS e Android supporta l'accesso alle chiavi del certificato utente pubblico dagli endpoint di directory LDAP sicuri durante la risoluzione dei destinatari. Per usare un endpoint LDAP, è necessario soddisfare i requisiti seguenti:

• L'endpoint LDAP non richiede l'autenticazione.
• La configurazione dell'endpoint LDAP viene recapitata a Outlook per iOS e ANdroid tramite un criterio di configurazione dell'app. Per altre informazioni, vedere Impostazioni S/MIME.
• La configurazione dell'endpoint LDAP è supportata usando i formati seguenti:
  • ldaps://contoso.com
  • ldap://contoso.com
  • ldap://contoso.com:389
  • ldaps://contoso.com:636
  • contoso.com
  • contoso.com:389
  • contoso.com:636

Quando Outlook per iOS e Android esegue una ricerca di certificati per un destinatario, l'app eseguirà prima una ricerca nel dispositivo locale, quindi eseguirà una query Microsoft Entra ID e quindi valuterà qualsiasi endpoint della directory LDAP. Quando Outlook per iOS e Android si connette all'endpoint della directory LDAP per cercare il certificato pubblico di un destinatario, viene eseguita la convalida del certificato per assicurarsi che il certificato non venga revocato. Il certificato viene considerato valido dall'app solo se la convalida del certificato viene completata correttamente.

Uso di S/MIME in Outlook per iOS e Android

Dopo la distribuzione dei certificati e l'abilitazione di S/MIME nell'app, gli utenti possono usare il contenuto correlato A/MIME e comporre il contenuto usando certificati S/MIME. Se l'impostazione S/MIME non è abilitata, gli utenti non potranno usare il contenuto S/MIME.

Visualizzare i messaggi S/MIME

Nella visualizzazione dei messaggi gli utenti possono visualizzare i messaggi con firma S/MIME o crittografati. Inoltre, gli utenti possono toccare la barra di stato S/MIME per visualizzare altre informazioni sullo stato S/MIME del messaggio. Gli screenshot seguenti mostrano esempi di utilizzo dei messaggi S/MIME in Android.

Importante

Per leggere un messaggio crittografato, la chiave del certificato privato del destinatario deve essere disponibile nel dispositivo.

Gli utenti possono installare la chiave del certificato pubblico di un mittente toccando la barra di stato S/MIME. Il certificato verrà installato nel dispositivo dell'utente, in particolare nel keychain di Microsoft Publisher in iOS o nel KeyStore di sistema in Android. La versione di Android è simile alla seguente:

In caso di errori di certificato, Outlook per iOS e Android avviserà l'utente. L'utente può toccare la notifica della barra di stato S/MIME per visualizzare altre informazioni sull'errore del certificato, ad esempio nell'esempio seguente.

Creare messaggi S/MIME

Prima che un utente possa inviare un messaggio firmato e/o crittografato, Outlook per iOS e Android esegue un controllo di validità sul certificato per assicurarsi che sia valido per le operazioni di firma o crittografia. Se il certificato è vicino alla scadenza, Outlook per iOS e Android avviserà l'utente a ottenere un nuovo certificato quando l'utente tenta di firmare o crittografare un messaggio, a partire da 30 giorni prima della scadenza.

Quando si compone un messaggio di posta elettronica in Outlook per iOS e Android, il mittente può scegliere di crittografare e/o firmare il messaggio. Toccando i puntini di sospensione e quindi Firma e crittografa, vengono presentate le varie opzioni S/MIME. La selezione di un'opzione S/MIME abilita la rispettiva codifica nel messaggio di posta elettronica non appena il messaggio viene salvato o inviato, presupponendo che il mittente disponga di un certificato valido.

Outlook per iOS e Android può inviare messaggi S/MIME firmati e crittografati ai gruppi di distribuzione. Outlook per iOS e Android enumera i certificati per gli utenti definiti nel gruppo di distribuzione, inclusi quelli nei gruppi di distribuzione annidati, anche se è necessario prestare attenzione a limitare il numero di gruppi di distribuzione annidati per ridurre al minimo l'impatto sull'elaborazione.

Importante

• Outlook per iOS e Android supporta solo l'invio di messaggi non firmati.
• Per comporre un messaggio crittografato, la chiave del certificato pubblico del destinatario di destinazione deve essere disponibile nell'elenco indirizzi globale o archiviata nel dispositivo locale. Per comporre un messaggio firmato, la chiave del certificato privato del mittente deve essere disponibile nel dispositivo.

Ecco come vengono visualizzate le opzioni S/MIME in Outlook per Android:

Outlook per iOS e Android valuterà tutti i destinatari prima di inviare un messaggio crittografato e confermerà che esiste una chiave di certificato pubblico valida per ogni destinatario. L'elenco indirizzi globale (GAL) viene controllato per primo; se non esiste un certificato per il destinatario nell'elenco indirizzi globale, Outlook esegue una query sul keychain di Microsoft Publisher in iOS o sul KeyStore di sistema in Android per individuare la chiave del certificato pubblico del destinatario. Per i destinatari senza una chiave di certificato pubblica (o una chiave non valida), Outlook richiederà la rimozione. Il messaggio non verrà inviato senza crittografia a nessun destinatario a meno che l'opzione di crittografia non sia disabilitata dal mittente durante la composizione.