Visão geral de S/MIME para assinar e encriptar e-mail no Intune
Os certificados de e-mail, também conhecidos como certificado S/MIME, fornecem segurança extra às suas comunicações de e-mail utilizando encriptação e desencriptação. Microsoft Intune podem usar certificados S/MIME para assinar e encriptar e-mails para dispositivos móveis que executam as seguintes plataformas:
- Android
- iOS/iPadOS
- macOS
- Windows 10 e posterior
A Intune pode entregar automaticamente certificados de encriptação S/MIME a todas as plataformas. Os certificados S/MIME estão automaticamente associados com perfis de correio que utilizam o cliente de correio nativo no iOS, e com Outlook em dispositivos iOS e Android. Para as plataformas Windows e macOS, e para outros clientes de correio eletrónico no iOS e Android, a Intune entrega os certificados mas os utilizadores devem ativar manualmente o S/MIME na sua aplicação de correio e escolher os seus certificados S/MIME.
Para obter mais informações sobre a assinatura e encriptação de e-mail S/MIME com Exchange, consulte S/MIME para obter a assinatura de mensagens e encriptação.
Este artigo fornece uma visão geral da utilização de certificados S/MIME para assinar e encriptar e-mails nos seus dispositivos.
Certificados de assinatura
Os certificados utilizados para assinatura permitem à aplicação de e-mail de cliente comunicar de forma segura com o servidor de e-mail.
Para utilizar certificados de assinatura, crie um modelo na sua autoridade de certificados (CA) que se centre na assinatura. Relativamente à Autoridade de Certificação do Microsoft Active Directory, o artigo Configure the server certificate template (Configurar o modelo de certificado de servidor) inclui os passos para criar modelos de certificados.
Os certificados de assinatura no Intune utilizam certificados PKCS. O artigo Configurar e utilizar certificados PKCS descreve como implementar e utilizar certificados PKCS no seu ambiente do Intune. Estes passos incluem:
- Instale e configuure o Conector de Certificado para Microsoft Intune para suportar os pedidos de certificados PKCS. O conector tem os mesmos requisitos de rede que os dispositivos geridos.
- Criar um perfil de certificado de raiz fidedigna para os seus dispositivos. Este passo inclui utilizar certificados de raiz fidedigna e intermédios para a sua autoridade de certificação e, em seguida, implementar o perfil nos dispositivos.
- Criar um perfil de certificado PKCS através de um modelo de certificado que criou. Este perfil emite certificados de assinatura para os dispositivos e implementa o perfil de certificado PKCS nos dispositivos.
Também pode importar um certificado de assinatura para um utilizador específico. O certificado de assinatura é implantado em qualquer dispositivo que um utilizador matricula. Para importar certificados para o Intune, utilize os cmdlets no PowerShell no GitHub. Para implementar um certificado PKCS importado no Intune para ser utilizado para assinatura de e-mail, siga os passos em Configurar e utilizar certificados PKCS com o Intune. Estes passos incluem:
- Faça o download, instale e configuure o Conector certificado para Microsoft Intune. Este conector entrega certificados PKCS importados nos dispositivos.
- Importar certificados de assinatura de e-mail com S/MIME para o Intune.
- Criar um perfil de certificado PKCS importado. Este perfil entrega certificados PKCS importados nos dispositivos do utilizador adequado.
Certificados de encriptação
Os certificados utilizados para encriptação confirmam que um e-mail encriptado só pode ser desencriptado pelo destinatário especificado. A encriptação S/MIME é uma camada adicional de segurança que pode ser utilizada em comunicações de e-mail.
Ao enviar um e-mail encriptado para outro utilizador, a chave pública do certificado de encriptação desse utilizador é obtida e encripta o e-mail enviado. O destinatário desencripta o e-mail ao utilizar a chave privada no dispositivo. Os utilizadores podem ter um histórico dos certificados utilizados para encriptar e-mails. Cada um dos certificados tem de ser implementado em todos os dispositivos de um utilizador específico para que o e-mail seja desencriptado com êxito.
Recomenda-se que os certificados de encriptação de e-mail não sejam criados no Intune. Apesar de o Intune suportar certificados PKCS que suportem encriptação, o Intune cria um certificado exclusivo por dispositivo. Um certificado exclusivo por dispositivo não é ideal para um cenário de encriptação S/MIME em que o certificado de encriptação deveria ser partilhado em todos os dispositivos do utilizador.
Para implementar certificados S/MIME com o Intune, tem de importar todos os certificados de encriptação de um utilizador para o Intune. Intune, em seguida, implementa todos os certificados para cada dispositivo que um utilizador inscreve. Para importar certificados para o Intune, utilize os cmdlets no PowerShell no GitHub.
Para implementar um certificado PKCS importado no Intune para ser utilizado para encriptação de e-mails, siga os passos em Configurar e utilizar certificados PKCS com o Intune. Estes passos incluem:
- Instale e configuure o Conector certificado para Microsoft Intune. Este conector entrega certificados PKCS importados nos dispositivos.
- Importar certificados de encriptação de e-mails com S/MIME para o Intune.
- Criar um perfil de certificado PKCS importado. Este perfil entrega certificados PKCS importados nos dispositivos do utilizador adequado.
Nota
Os certificados de encriptação S/MIME importados são removidos pelo Intune quando os dados empresariais são removidos ou quando a inscrição dos utilizadores é removida da gestão. No entanto, os certificados não são revogados na autoridade de certificação.
Perfis de e-mail com S/MIME
Uma vez criado perfis de certificados de assinatura e encriptação S/MIME, pode ativar S/MIME para o correio nativo iOS/iPadOS.