S/MIME para Outlook para iOS e Android no Exchange Online

S/MIME (Secure/Multipurpose Internet Mail Extensions) é um protocolo amplamente aceite para enviar mensagens assinadas e encriptadas digitalmente. Para obter mais informações, veja S/MIME para assinatura de mensagens e encriptação no Exchange Online.

Para tirar partido do S/MIME no Outlook para iOS e Android, tem de configurar pré-requisitos S/MIME específicos no Exchange Online. Depois de concluir estes passos, pode implementar certificados S/MIME no Outlook para iOS e Android através dos seguintes métodos:

• Entrega manual de certificados
• Entrega automatizada de certificados

Este artigo descreve como configurar Exchange Online para S/MIME com o Outlook para iOS e Android e como utilizar o S/MIME no Outlook para iOS e Android.

Pré-requisitos S/MIME

Certifique-se de que o S/MIME foi configurado corretamente no Exchange Online ao seguir os passos descritos em Configurar S/MIME no Exchange Online. Especificamente, isto inclui:

1. Configurar a coleção de certificados virtuais.
2. Publicar a lista de revogação de certificados na Internet.

Nas soluções de entrega de certificados manuais e automatizadas, espera-se que a cadeia de raiz fidedigna do certificado esteja disponível e detetável na coleção de certificados virtuais do seu Exchange Online inquilino. A verificação de fidedignidade é efetuada em todos os certificados digitais. Exchange Online valida o certificado ao validar cada certificado na cadeia de certificados até atingir um certificado de raiz fidedigna. Esta verificação é feita ao obter os certificados intermédios através do atributo de acesso a informações de autoridade no certificado até que esteja localizado um certificado de raiz fidedigna. Os certificados intermédios também podem ser incluídos com mensagens de e-mail assinadas digitalmente. Se Exchange Online localizar um certificado de raiz fidedigna e puder consultar a lista de revogação de certificados da autoridade de certificação, a cadeia do certificado digital desse certificado digital é considerada válida e fidedigna e pode ser utilizada. Se Exchange Online não conseguir localizar um certificado de raiz fidedigna ou não conseguir contactar a lista de revogação de certificados da autoridade de certificação, esse certificado é considerado inválido e não é fidedigno.

O Outlook para iOS e Android tira partido do endereço SMTP principal do utilizador para atividades de fluxo de correio, que é configurado durante a configuração do perfil de conta. O certificado S/MIME utilizado pelo Outlook para iOS e Android é calculado ao comparar o endereço SMTP principal do utilizador conforme definido no perfil de conta com o valor do requerente do certificado ou o valor do nome alternativo do requerente; Se estes não corresponderem, o Outlook para iOS e Android informará que um certificado não está disponível (consulte a Figura 7) e não permitirá que o utilizador assine e/ou encripte mensagens.

Entrega manual de certificados

O Outlook para iOS e o Outlook para Android suportam a entrega manual de certificados, que é quando o certificado é enviado por e-mail para o utilizador e o utilizador toca no anexo do certificado na aplicação para iniciar a instalação do certificado. A imagem seguinte mostra como funciona a entrega manual de certificados no iOS.

Um utilizador pode exportar o seu próprio certificado e enviar por correio para si próprio através do Outlook. Para obter mais informações, veja Exportar um certificado digital.

Importante

Ao exportar o certificado, certifique-se de que o certificado exportado está protegido por palavra-passe com uma palavra-passe segura.

Entrega automatizada de certificados

Importante

• O Outlook para iOS e Android só suporta a entrega automática de certificados quando o Microsoft Endpoint Manager é o fornecedor de inscrição.

• Para o Outlook para iOS, isto deve-se à arquitetura de keychain do iOS. O iOS oferece um keychain de sistema e porta-chaves do publicador. O iOS impede que aplicações de terceiros acedam ao sistema keychain (apenas as aplicações originais e o controlador webview do Safari podem aceder ao sistema keychain). Para entregar certificados que podem ser acedidos pelo Outlook para iOS, os certificados têm de residir no editor da Microsoft keychain ao qual o Outlook para iOS tem acesso. Apenas as aplicações publicadas pela Microsoft, como a Portal da Empresa, podem colocar certificados no editor da Microsoft keychain.

• O Outlook para Android depende do Endpoint Manager para entregar e aprovar os certificados S/MIME. A entrega automática de certificados é suportada com cenários de inscrição android: administrador de dispositivos, perfil de trabalho do Android Enterprise e Android Enterprise totalmente gerido.

Com o Endpoint Manager, as organizações podem importar históricos de certificados de encriptação de qualquer Autoridade de Certificação. Em seguida, o Endpoint Manager irá entregar automaticamente esses certificados a qualquer dispositivo inscrito pelo utilizador. Geralmente, o Protocolo SCEP (Simple Certificate Enrollment Protocol) é utilizado para assinar certificados. Com o SCEP, a chave privada é gerada e armazenada no dispositivo inscrito e é entregue um certificado exclusivo a cada dispositivo inscrito por um utilizador, que pode ser utilizado para não rejeição. Por fim, o Endpoint Manager suporta credenciais derivadas para clientes que precisam de suporte para a norma NIST 800-157. O Portal da Empresa é utilizado para obter certificados de assinatura e encriptação de Intune.

Para entregar certificados ao Outlook para iOS e Android, tem de concluir os seguintes pré-requisitos:

• Implemente certificados de raiz fidedigna através do Endpoint Manager. Para obter mais informações, veja Criar perfis de certificado fidedignos.
• Os certificados de encriptação têm de ser importados para o Endpoint Manager. Para obter mais informações, veja Configurar e utilizar certificados PKCS importados com Intune.
• Instale e Configure o Conector PFX para Microsoft Intune. Para obter mais informações, veja Transferir, instalar e configurar o PFX Certificate Connector para Microsoft Intune.
• Os dispositivos têm de ser inscritos para receber automaticamente certificados de raiz fidedigna e S/MIME a partir do Endpoint Manager.

Entrega automática de certificados do Outlook para iOS

Utilize os seguintes passos para criar e configurar a política S/MIME do Outlook para iOS no Endpoint Manager. Estas definições fornecem a entrega automatizada dos certificados de assinatura e encriptação.

1. Inicie sessão no Microsoft Endpoint Manager.

2. Selecione Aplicativos e depois selecione Políticas de configuração de aplicativos.

3. No painel Configuração de Aplicativos políticas, selecione Adicionar e selecione Dispositivos geridos para iniciar o fluxo de criação da política de configuração da aplicação.

4. Na seção Básico, insira um Nome e uma Descrição opcional para as definições de configuração do aplicativo.

5. Em Plataforma, selecione iOS/iPadOS.

6. Em Aplicação direcionada, selecione Selecionar aplicação e, em seguida, no painel Aplicação associada , selecione Microsoft Outlook. Clique em OK.

   Observação

   Se o Outlook não estiver listado como uma aplicação disponível, tem de adicioná-la ao seguir as instruções em Atribuir aplicações a dispositivos com perfil de trabalho do Android com Intune e Adicionar aplicações da loja iOS ao Microsoft Intune.

7. Clique em Definições de configuração para adicionar definições de configuração.

   Selecione Utilizar estruturador de configuração junto a Formato das definições de configuração e aceite ou modifique as predefinições. Para obter mais informações, veja Implementar as definições de configuração da aplicação Outlook para iOS e Android.

8. Clique em S/MIME para apresentar as definições do Outlook S/MIME.

9. Defina Ativar S/MIME como Sim. Ao selecionar Sim ou Não, os administradores podem optar por permitir que o utilizador altere o valor da definição da aplicação. Selecione Sim (predefinição da aplicação) para permitir que o utilizador altere a definição ou selecione Não se pretender impedir que o utilizador altere o valor da definição.

10. Escolha se pretende Encriptar todos os e-mails ao selecionar Sim ou Não. Ao selecionar Sim ou Não, os administradores podem optar por permitir que o utilizador altere o valor da definição da aplicação. Selecione Sim (predefinição da aplicação) para permitir que o utilizador altere a definição ou selecione Não se pretender impedir que o utilizador altere o valor da definição.

11. Escolha se pretende Assinar todos os e-mails ao selecionar Sim ou Não. Ao selecionar Sim ou Não, os administradores podem optar por permitir que o utilizador altere o valor da definição da aplicação. Selecione Sim (predefinição da aplicação) para permitir que o utilizador altere a definição ou selecione Não se pretender impedir que o utilizador altere o valor da definição.

12. Se necessário, implemente um URL LDAP para pesquisa de certificado de destinatário. Para obter mais informações sobre o formato de URL, veja Suporte LDAP para pesquisa de certificados.

13. Defina Implementar certificados S/MIME de Intune como Sim.

14. Em Assinar certificados junto a Tipo de perfil de certificado, escolha uma das seguintes opções:

    • SCEP: cria um certificado exclusivo para o dispositivo e o utilizador que pode ser utilizado pelo Microsoft Outlook para assinatura. Para obter informações sobre o que é necessário para utilizar perfis de certificado SCEP, veja Configurar a infraestrutura para suportar o SCEP com Intune.
    • Certificados PKCS importados: utiliza um certificado exclusivo para o utilizador, mas que pode ser partilhado entre dispositivos e que foi importado para o Endpoint Manager pelo administrador em nome do utilizador. O certificado é entregue em qualquer dispositivo inscrito por um utilizador. O Endpoint Manager escolherá automaticamente o certificado importado que suporta a assinatura para entregar no dispositivo que corresponde ao utilizador inscrito. Para obter informações sobre o que é necessário para utilizar certificados importados PKCS, veja Configurar e utilizar certificados PKCS com Intune.
    • Credenciais derivadas: utiliza um certificado que já se encontra no dispositivo que pode ser utilizado para assinatura. O certificado tem de ser obtido no dispositivo com os fluxos de credenciais derivados no Intune.

15. Em Certificados de encriptação junto a Tipo de perfil de certificado, escolha uma das seguintes opções:

    • Certificados importados do PKCS: fornece quaisquer certificados de encriptação que tenham sido importados para o Endpoint Manager pelo administrador em qualquer dispositivo que um utilizador inscreva. O Endpoint Manager irá escolher automaticamente o certificado ou certificados importados que suportam a encriptação e entregam nos dispositivos do utilizador inscrito.
    • Credenciais derivadas: utiliza um certificado que já se encontra no dispositivo que pode ser utilizado para assinatura. O certificado tem de ser obtido no dispositivo com os fluxos de credenciais derivados no Intune.

16. Junto a Notificações do utilizador final, escolha como notificar os utilizadores finais para obter os certificados ao selecionar Portal da Empresa ou Email.

    No iOS, os utilizadores têm de utilizar a aplicação Portal da Empresa para obter os respetivos certificados S/MIME. O Endpoint Manager informará o utilizador de que precisa de iniciar a Portal da Empresa para obter os respetivos certificados S/MIME através da secção Notificações de Portal da Empresa, uma notificação push e/ou um e-mail. Clicar numa das notificações irá levar o utilizador a uma página de destino que o informa sobre o progresso da obtenção dos certificados. Assim que os certificados forem obtidos, o utilizador pode utilizar S/MIME a partir do Microsoft Outlook para iOS para assinar e encriptar o e-mail.

    As notificações do utilizador final incluem as seguintes opções:

    • Portal da Empresa: se selecionado, os utilizadores receberão uma notificação push no dispositivo, que os levará para a página de destino no Portal da Empresa onde os certificados S/MIME serão obtidos.
    • Email: envia um e-mail ao utilizador final informando-o de que precisa de iniciar Portal da Empresa para obter os respetivos certificados S/MIME. Se o utilizador estiver no dispositivo iOS inscrito quando clicar na ligação no e-mail, será redirecionado para o Portal da Empresa para obter os respetivos certificados.

    Os utilizadores finais verão uma experiência semelhante à seguinte para a entrega automática de certificados:

17. Selecione Atribuições para atribuir a política de configuração da aplicação aos grupos de Microsoft Entra. Para obter mais informações, veja Atribuir aplicações a grupos com Microsoft Intune.

Entrega de certificados automatizada do Outlook para Android

Utilize os seguintes passos para criar e configurar a política do Outlook para iOS e Android S/MIME no Endpoint Manager. Estas definições fornecem a entrega automatizada dos certificados de assinatura e encriptação.

1. Inicie sessão no Microsoft Endpoint Manager.

2. Crie um perfil de certificado SCEP ou um perfil de certificado PKCS e atribua-o aos seus utilizadores móveis.

3. Selecione Aplicativos e depois selecione Políticas de configuração de aplicativos.

4. No painel Configuração de Aplicativos políticas, selecione Adicionar e selecione Dispositivos geridos para iniciar o fluxo de criação da política de configuração da aplicação.

5. Na seção Básico, insira um Nome e uma Descrição opcional para as definições de configuração do aplicativo.

6. Em Plataforma, selecione Android Enterprise e, para Tipo de Perfil, selecione Todos os Tipos de Perfil.

7. Em Aplicação direcionada, selecione Selecionar aplicação e, em seguida, no painel Aplicação associada , selecione Microsoft Outlook. Clique em OK.

   Observação

   Se o Outlook não estiver listado como uma aplicação disponível, tem de adicioná-la ao seguir as instruções em Atribuir aplicações a dispositivos com perfil de trabalho do Android com Intune e Adicionar aplicações da loja iOS ao Microsoft Intune.

8. Clique em Definições de configuração para adicionar definições de configuração.

   Selecione Utilizar estruturador de configuração junto a Formato das definições de configuração e aceite ou modifique as predefinições. Para obter mais informações, veja Implementar as definições de configuração da aplicação Outlook para iOS e Android.

9. Clique em S/MIME para apresentar as definições do Outlook S/MIME.

10. Defina Ativar S/MIME como Sim. Ao selecionar Sim ou Não, os administradores podem optar por permitir que o utilizador altere o valor da definição da aplicação. Selecione Sim (predefinição da aplicação) para permitir que o utilizador altere a definição ou selecione Não se pretender impedir que o utilizador altere o valor da definição.

11. Escolha se pretende Encriptar todos os e-mails ao selecionar Sim ou Não. Ao selecionar Sim ou Não, os administradores podem optar por permitir que o utilizador altere o valor da definição da aplicação. Selecione Sim (predefinição da aplicação) para permitir que o utilizador altere a definição ou selecione Não se pretender impedir que o utilizador altere o valor da definição.

12. Escolha se pretende Assinar todos os e-mails ao selecionar Sim ou Não. Ao selecionar Sim ou Não, os administradores podem optar por permitir que o utilizador altere o valor da definição da aplicação. Selecione Sim (predefinição da aplicação) para permitir que o utilizador altere a definição ou selecione Não se pretender impedir que o utilizador altere o valor da definição.

13. Selecione Atribuições para atribuir a política de configuração da aplicação aos grupos de Microsoft Entra. Para obter mais informações, veja Atribuir aplicações a grupos com Microsoft Intune.

Ativar o S/MIME no cliente

O S/MIME tem de estar ativado para que o Outlook para iOS e Android veja ou crie conteúdos relacionados com S/MIME.

Os utilizadores finais terão de ativar manualmente a funcionalidade S/MIME ao aceder às respetivas definições de conta, tocar em Segurança e tocar no controlo S/MIME, que está desativado por predefinição. A definição de segurança S/MIME do Outlook para iOS tem o seguinte aspeto:

Quando a definição S/MIME está ativada, o Outlook para iOS e Android desativará automaticamente a definição Organizar Por Thread . Isto deve-se ao facto de a encriptação S/MIME se tornar mais complexa à medida que um thread de conversação cresce. Ao remover a vista de conversação por tópicos, o Outlook para iOS e Android reduz a oportunidade de problemas com certificados entre destinatários durante a assinatura e encriptação. Uma vez que se trata de uma definição ao nível da aplicação, esta alteração afeta todas as contas adicionadas à aplicação. Esta caixa de diálogo de conversação por tópicos é composta no iOS da seguinte forma:

Assim que o S/MIME estiver ativado e os certificados S/MIME estiverem instalados, os utilizadores podem ver os certificados instalados ao aceder às definições da conta e tocar em Segurança. Além disso, os utilizadores podem tocar em cada certificado S/MIME individual e ver os detalhes do certificado, incluindo informações como a utilização da chave e o período de validade.

Os utilizadores podem configurar o Outlook para assinar ou encriptar mensagens automaticamente. Isto permite que os utilizadores poupem tempo a enviar e-mails e estejam confiantes de que os respetivos e-mails estão a ser assinados/encriptados.

Suporte LDAP para pesquisa de certificados

O Outlook para iOS e Android suporta o acesso a chaves de certificado de utilizador públicas a partir de pontos finais de diretório LDAP seguros durante a resolução do destinatário. Para utilizar um ponto final LDAP, têm de ser cumpridos os seguintes requisitos:

• O ponto final LDAP não requer autenticação.
• A configuração do ponto final LDAP é fornecida ao Outlook para iOS e ANdroid através de uma política de configuração de aplicações. Para obter mais informações, veja Definições S/MIME.
• A configuração do ponto final LDAP é suportada com os seguintes formatos:
  • ldaps://contoso.com
  • ldap://contoso.com
  • ldap://contoso.com:389
  • ldaps://contoso.com:636
  • contoso.com
  • contoso.com:389
  • contoso.com:636

Quando o Outlook para iOS e Android efetua uma pesquisa de certificados para um destinatário, a aplicação irá procurar primeiro no dispositivo local, consultar Microsoft Entra ID e, em seguida, avaliar qualquer ponto final de diretório LDAP. Quando o Outlook para iOS e Android se liga ao ponto final do diretório LDAP para procurar o certificado público de um destinatário, a validação de certificados é efetuada para garantir que o certificado não é revogado. O certificado só é considerado válido pela aplicação se a validação do certificado for concluída com êxito.

Utilizar O S/MIME no Outlook para iOS e Android

Depois de os certificados terem sido implementados e de o S/MIME ter sido ativado na aplicação, os utilizadores podem consumir conteúdo relacionado com S/MIME e compor conteúdos com certificados S/MIME. Se a definição S/MIME não estiver ativada, os utilizadores não poderão consumir conteúdo S/MIME.

Ver mensagens S/MIME

Na vista de mensagem, os utilizadores podem ver mensagens assinadas ou encriptadas com S/MIME. Além disso, os utilizadores podem tocar na barra de status S/MIME para ver mais informações sobre o status S/MIME da mensagem. As capturas de ecrã seguintes mostram exemplos de como as mensagens S/MIME são consumidas no Android.

Importante

Para ler uma mensagem encriptada, a chave de certificado privada do destinatário tem de estar disponível no dispositivo.

Os utilizadores podem instalar a chave de certificado pública de um remetente ao tocar na barra de status S/MIME. O certificado será instalado no dispositivo do utilizador, especificamente no editor da Microsoft keychain no iOS ou no sistema KeyStore no Android. A versão do Android é semelhante à seguinte:

Se existirem erros de certificado, o Outlook para iOS e Android irá avisar o utilizador. O utilizador pode tocar na notificação da barra de status S/MIME para ver mais informações sobre o erro de certificado, como no exemplo seguinte.

Criar mensagens S/MIME

Antes de um utilizador poder enviar uma mensagem assinada e/ou encriptada, o Outlook para iOS e Android executa uma marcar de validade no certificado para garantir que é válido para operações de assinatura ou encriptação. Se o certificado estiver prestes a expirar, o Outlook para iOS e Android irá alertar o utilizador para obter um novo certificado quando o utilizador tentar assinar ou encriptar uma mensagem, começando 30 dias antes da expiração.

Ao compor um e-mail no Outlook para iOS e Android, o remetente pode optar por encriptar e/ou assinar a mensagem. Ao tocar nas reticências e, em seguida, Assinar e Encriptar, são apresentadas as várias opções S/MIME. Selecionar uma opção S/MIME ativa a respetiva codificação no e-mail assim que a mensagem é guardada ou enviada, assumindo que o remetente tem um certificado válido.

O Outlook para iOS e Android pode enviar mensagens S/MIME assinadas e encriptadas para grupos de distribuição. O Outlook para iOS e Android enumera os certificados para os utilizadores definidos no grupo de distribuição, incluindo os dos grupos de distribuição aninhados, embora deva ter cuidado ao limitar o número de grupos de distribuição aninhados para minimizar o impacto no processamento.

Importante

• O Outlook para iOS e Android só suporta o envio de mensagens com assinatura clara.
• Para compor uma mensagem encriptada, a chave de certificado pública do destinatário de destino tem de estar disponível na Lista de Endereços Global ou armazenada no dispositivo local. Para compor uma mensagem assinada, a chave de certificado privada do remetente tem de estar disponível no dispositivo.

Eis como as opções S/MIME aparecem no Outlook para Android:

O Outlook para iOS e Android irá avaliar todos os destinatários antes de enviar uma mensagem encriptada e confirmar que existe uma chave de certificado pública válida para cada destinatário. A Lista de Endereços Global (GAL) é verificada primeiro; Se não existir um certificado para o destinatário na GAL, o Outlook consulta o editor da Microsoft keychain no iOS ou no sistema KeyStore no Android para localizar a chave de certificado pública do destinatário. Para os destinatários sem uma chave de certificado pública (ou uma chave inválida), o Outlook pedirá a respetiva remoção. A mensagem não será enviada sem encriptação para qualquer destinatário, a menos que a opção de encriptação seja desativada pelo remetente durante a composição.