Panoramica di S/MIME per firmare e crittografare la posta elettronica in Intune

I certificati di posta elettronica, noti anche come certificato S/MIME, offrono maggiore sicurezza alle comunicazioni di posta elettronica tramite crittografia e decrittografia. Microsoft Intune può usare i certificati S/MIME per firmare e crittografare i messaggi di posta elettronica ai dispositivi mobili che eseguono le piattaforme seguenti:

• Android
• iOS/iPadOS
• macOS
• Windows 10/11

Intune può distribuire automaticamente i certificati di crittografia S/MIME a tutte le piattaforme. I certificati S/MIME vengono associati automaticamente ai profili di posta elettronica che usano il client di posta nativo in iOS e con Outlook nei dispositivi iOS e Android. Per le piattaforme Windows e macOS e per altri client di posta elettronica in iOS e Android, Intune fornisce i certificati, ma gli utenti devono abilitare manualmente S/MIME nell'app di posta elettronica e scegliere i certificati S/MIME.

Per altre informazioni sulla firma e la crittografia della posta elettronica S/MIME con Exchange, vedere S/MIME per la firma e la crittografia dei messaggi.

Questo articolo offre una panoramica dell'uso dei certificati S/MIME per firmare e crittografare i messaggi di posta elettronica nei dispositivi.

Firma dei certificati

I certificati usati per la firma consentono all'app di posta elettronica client di comunicare in modo sicuro con il server di posta elettronica.

Per usare i certificati di firma, creare un modello nell'autorità di certificazione (CA) incentrato sulla firma. In Autorità di certificazione Microsoft Active Directory Configurare il modello di certificato server elenca i passaggi per creare modelli di certificato.

I certificati di firma in Intune usano certificati PKCS. Configurare e usare i certificati PKCS descrive come distribuire e usare il certificato PKCS nell'ambiente di Intune. Questi passaggi sono:

• Installare e configurare il connettore di certificati per Microsoft Intune per supportare le richieste di certificati PKCS. Il connettore ha gli stessi requisiti di rete dei dispositivi gestiti.
• Creare un profilo certificato radice attendibile per i dispositivi. Questo passaggio include l'uso di certificati radice e intermedi attendibili per l'autorità di certificazione e quindi la distribuzione del profilo nei dispositivi.
• Creare un profilo certificato PKCS usando il modello di certificato creato. Questo profilo rilascia i certificati di firma ai dispositivi e distribuisce il profilo certificato PKCS ai dispositivi.

È anche possibile importare un certificato di firma per un utente specifico. Il certificato di firma viene distribuito in qualsiasi dispositivo registrato da un utente. Per importare certificati in Intune, usare i cmdlet di PowerShell in GitHub. Per distribuire un certificato PKCS importato in Intune da usare per la firma tramite posta elettronica, seguire la procedura descritta in Configurare e usare i certificati PKCS con Intune. Questi passaggi sono:

• Scaricare, installare e configurare il connettore di certificati per Microsoft Intune. Questo connettore fornisce certificati PKCS importati ai dispositivi.
• Importare i certificati di firma della posta elettronica S/MIME in Intune.
• Creare un profilo certificato pkcs importato. Questo profilo recapita i certificati PKCS importati ai dispositivi dell'utente appropriato.

Certificati di crittografia

I certificati usati per la crittografia confermano che un messaggio di posta elettronica crittografato può essere decrittografato solo dal destinatario previsto. La crittografia S/MIME è un ulteriore livello di sicurezza che può essere usato nelle comunicazioni di posta elettronica.

Quando si invia un messaggio di posta elettronica crittografato a un altro utente, viene ottenuta la chiave pubblica del certificato di crittografia dell'utente e viene crittografata la posta elettronica inviata. Il destinatario decrittografa il messaggio di posta elettronica usando la chiave privata nel dispositivo. Gli utenti possono avere una cronologia dei certificati usati per crittografare la posta elettronica. Ognuno di questi certificati deve essere distribuito in tutti i dispositivi di un utente specifico in modo che il messaggio di posta elettronica venga decrittografato correttamente.

È consigliabile che i certificati di crittografia della posta elettronica non siano creati in Intune. Mentre Intune supporta il rilascio di certificati PKCS che supportano la crittografia, Intune crea un certificato univoco per ogni dispositivo. Un certificato univoco per dispositivo non è ideale per uno scenario di crittografia S/MIME in cui il certificato di crittografia deve essere condiviso tra tutti i dispositivi dell'utente.

Per distribuire certificati S/MIME usando Intune, è necessario importare tutti i certificati di crittografia di un utente in Intune. Intune distribuisce quindi tutti i certificati in ogni dispositivo registrato da un utente. Per importare certificati in Intune, usare i cmdlet di PowerShell in GitHub.

Per distribuire un certificato PKCS importato in Intune usato per la crittografia della posta elettronica, seguire la procedura descritta in Configurare e usare certificati PKCS con Intune. Questi passaggi sono:

• Installare e configurare il connettore di certificati per Microsoft Intune. Questo connettore fornisce certificati PKCS importati ai dispositivi.
• Importare i certificati di crittografia della posta elettronica S/MIME in Intune.
• Creare un profilo certificato pkcs importato. Questo profilo recapita i certificati PKCS importati ai dispositivi dell'utente appropriato.

Profili di posta elettronica S/MIME

Dopo aver creato profili certificato di firma E crittografia S/MIME, è possibile abilitare S/MIME per la posta nativa di iOS/iPadOS.

Passaggi successivi

• Usare SCEP per i certificati
• Usare i certificati PKCS
• Usare un'autorità di certificazione partner
• Rilasciare certificati PKCS da un servizio Web di gestione PKI Symantec