Compartilhar via


Configurar S/MIME no Exchange Online

S/MIME (Extensões seguras/multiuso do Internet Mail) é um protocolo amplamente aceito para o envio de mensagens assinadas digitalmente e criptografadas. Para obter mais informações, consulte S/MIME para assinatura de mensagens e criptografia em Exchange Online.

O S/MIME está disponível em Exchange Online com os seguintes tipos de clientes de email:

  • Versões com suporte do Outlook.

  • Outlook na Web (anteriormente conhecido como Outlook Web App) em clientes Windows. Para obter mais informações, consulte Criptografar mensagens usando S/MIME em Outlook na Web.

    Observação

    Ações de políticas confidenciais são aplicadas no back-end do servidor, enquanto a assinatura E/ou criptografia S/MIME é feita no Outlook na Web cliente. Devido a essa restrição arquitetônica, o S/MIME está desabilitado em Outlook na Web em mensagens em que há rótulos de confidencialidade com ações de proteção.

  • Dispositivos móveis (por exemplo, Outlook para iOS e Android, aplicativos Exchange ActiveSync ou aplicativos de email nativos).

Como administrador Exchange Online, você pode habilitar a segurança baseada em S/MIME para as caixas de correio em sua organização. As etapas de alto nível são descritas na lista a seguir e são expandidas neste artigo:

  1. Configure e publique certificados S/MIME.
  2. Configure uma coleção de certificados virtuais no Exchange Online.
  3. Sincronizar certificados de usuário para S/MIME no Microsoft 365.
  4. Configure políticas para instalar extensões S/MIME em navegadores da Web para Outlook na Web.
  5. Configure clientes de email para usar o S/MIME.

Para obter instruções de configuração de S/MIME de ponta a ponta para o Outlook para iOS e Android, consulte S/MIME para Outlook para iOS e Android.

Etapa 1: Configurar e publicar certificados S/MIME

Cada usuário em sua organização requer seu próprio certificado emitido para fins de assinatura e criptografia. Você publica esses certificados no Active Directory local para distribuição. Seu Active Directory deve estar localizado em computadores em um local físico que você controla e não em uma instalação remota ou serviço baseado em nuvem na Internet.

Para obter mais informações sobre o Active Directory, consulte Visão geral Active Directory Domain Services.

  1. Instale uma AC (Autoridade de Certificação) baseada no Windows e configure uma infraestrutura de chave pública para emitir certificados S/MIME. Também há suporte para certificados emitidos por provedores de certificados de terceiros. Para obter detalhes, consulte Visão Geral dos Serviços de Certificados do Active Directory.

    Observações:

    • Certificados emitidos por uma AC de terceiros têm a vantagem de serem automaticamente confiáveis por todos os clientes e dispositivos. Certificados emitidos por uma AC interna e privada não são automaticamente confiáveis por clientes e dispositivos, e nem todos os dispositivos (por exemplo, telefones) podem ser configurados para confiar em certificados privados.
    • Considere usar um certificado intermediário em vez do certificado raiz para emitir certificados aos usuários. Dessa forma, se você precisar revogar e reemissar certificados, o certificado raiz ainda estará intacto.
    • O certificado deve ter uma chave privada e a extensão X509 "Subject Key Identifier" deve ser preenchida.
  2. Publique o certificado do usuário em sua conta Active Directory local nos atributos UserSMIMECertificate e/ou UserCertificate.

Etapa 2: configurar uma coleção de certificados virtuais no Exchange Online

A coleção de certificados virtuais é responsável por validar certificados S/MIME. Configure a coleção de certificados virtuais usando as seguintes etapas:

  1. Exporte os certificados raiz e intermediários necessários para validar certificados S/MIME do usuário de um computador confiável para um arquivo SST (repositório de certificados serializado) no Windows PowerShell. Por exemplo:

    Get-ChildItem -Path cert:\<StoreCertPath> | Export-Certificate -FilePath "C:\My Documents\Exported Certificate Store.sst" -Type SST
    

    Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Export-Certificate.

  2. Importe os certificados do arquivo SST para Exchange Online executando o seguinte comando no Exchange Online PowerShell:

    Set-SmimeConfig -SMIMECertificateIssuingCA ([System.IO.File]::ReadAllBytes('C:\My Documents\Exported Certificate Store.sst'))
    

    Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-SmimeConfig.

Etapa 3: Sincronizar certificados de usuário para S/MIME no Microsoft 365

Para que qualquer pessoa possa enviar mensagens protegidas por S/MIME em Exchange Online, você precisa configurar e configurar os certificados apropriados para cada usuário e publicar seus certificados X.509 públicos no Microsoft 365. O cliente de email do remetente usa o certificado público do destinatário para criptografar a mensagem.

  1. Emita certificados e publique-os no Active Directory local. Para obter mais informações, confira Visão geral de Serviços de Certificados do Active Directory.

  2. Depois que seus certificados forem publicados, use Microsoft Entra Conectar para sincronizar os dados do usuário do ambiente local do Exchange com o Microsoft 365. Para obter mais informações sobre esse processo, consulte Microsoft Entra Conectar Sincronização: entender e personalizar a sincronização.

Juntamente com a sincronização de outros dados de diretório, Microsoft Entra Connect sincroniza os atributos userCertificate e userSMIMECertificate para cada objeto de usuário para assinatura de S/MIME e criptografia de mensagens de email. Para obter mais informações sobre Microsoft Entra Connect, consulte O que é Microsoft Entra Connect?.

Etapa 4: configurar políticas para instalar as extensões S/MIME em navegadores da Web

Observação

Essa etapa é necessária apenas para clientes Outlook na Web.

S/MIME em Outlook na Web no Microsoft Edge baseado em Chromium ou no Google Chrome requer configurações de política específicas configuradas por um administrador.

Especificamente, você precisa definir e configurar a política chamada ExtensionInstallForcelist para instalar a extensão S/MIME no navegador. O valor da política é maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx. A aplicação dessa política requer dispositivos ingressados no domínio ou Microsoft Entra ingressados, portanto, usar o S/MIME no Edge ou no Chrome requer efetivamente dispositivos ingressados no domínio ou Microsoft Entra ingressados.

Para obter detalhes sobre as políticas, confira os seguintes tópicos:

A política é um pré-requisito para o uso de S/MIME em Outlook na Web. Ele não substitui o controle S/MIME instalado pelos usuários. Os usuários são solicitados a baixar e instalar o controle S/MIME em Outlook na Web durante o primeiro uso de S/MIME. Ou os usuários podem ir proativamente ao S/MIME em suas configurações de Outlook na Web para obter o link de download do controle.

Etapa 5: configurar clientes de email para usar o S/MIME

Se um cliente de email dá suporte a S/MIME, a próxima consideração será o acesso ao certificado S/MIME do usuário por esse cliente de email. O certificado S/MIME precisa ser instalado no computador ou dispositivo do usuário. Você pode distribuir certificados S/MIME automaticamente (por exemplo, usando o Microsoft Endpoint Manager) ou manualmente (por exemplo, o usuário pode exportar o certificado de seu computador e importá-lo em seu dispositivo móvel). Depois que o certificado estiver disponível localmente, você poderá habilitar e configurar o S/MIME nas configurações do cliente de email.

Para obter mais informações sobre S/MIME em clientes de email, confira os seguintes tópicos:

Você também pode usar os seguintes parâmetros nos cmdlets New-MobileDeviceMailboxPolicy e Set-MobileDeviceMailboxPolicy no Exchange Online PowerShell para configurar as configurações S/MIME para dispositivos móveis:

  • AllowSMIMEEncryptionAlgorithmNegotiation
  • AllowSMIMESoftCerts
  • RequireEncryptedSMIMEMessages
  • RequireEncryptionSMIMEAlgorithm
  • RequireSignedSMIMEAlgorithm
  • RequireSignedSMIMEMessages