Configurazione di S/MIME in Exchange Online
S/MIME (Secure/Multipurpose Internet Mail Extensions) è un protocollo ampiamente accettato per l'invio di messaggi con firma digitale e crittografati. Per altre informazioni, vedere S/MIME per la firma e la crittografia dei messaggi in Exchange Online.
S/MIME è disponibile in Exchange Online con i tipi di client di posta elettronica seguenti:
Outlook sul web (in precedenza noto come Outlook Web App) nei client Windows. Per altre informazioni, vedere Crittografare i messaggi usando S/MIME in Outlook sul web.
Nota
Le azioni dei criteri sensibili vengono applicate al back-end del server, mentre la firma E/o la crittografia S/MIME vengono eseguite nel client Outlook sul web. A causa di questo vincolo architetturale, S/MIME è disabilitato in Outlook sul web nei messaggi in cui sono presenti etichette di riservatezza con azioni di protezione.
Dispositivi mobili (ad esempio, Outlook per iOS e Android, app Exchange ActiveSync o app di posta elettronica native).
Un amministratore Exchange Online può abilitare la sicurezza basata su S/MIME per le cassette postali nell'organizzazione. I passaggi generali sono descritti nell'elenco seguente e vengono espansi in questo articolo:
- Configurare e pubblicare certificati S/MIME.
- Configurare una raccolta di certificati virtuali in Exchange Online.
- Sincronizzare i certificati utente per S/MIME in Microsoft 365.
- Configurare i criteri per installare le estensioni S/MIME nei Web browser per Outlook sul web.
- Configurare i client di posta elettronica per l'uso di S/MIME.
Per istruzioni di configurazione S/MIME end-to-end per Outlook per iOS e Android, vedere S/MIME per Outlook per iOS e Android.
Passaggio 1: Configurare e pubblicare certificati S/MIME
Ogni utente dell'organizzazione richiede il proprio certificato emesso ai fini della firma e della crittografia. Questi certificati vengono pubblicati nel Active Directory locale per la distribuzione. Active Directory deve trovarsi in computer in una posizione fisica che si controlla e non in una struttura remota o in un servizio basato sul cloud su Internet.
Per altre informazioni su Active Directory, vedere Panoramica Active Directory Domain Services.
Installare un'autorità di certificazione basata su Windows e configurare un'infrastruttura a chiave pubblica per rilasciare certificati S/MIME. Sono supportati anche i certificati rilasciati da provider di certificati di terze parti. Per informazioni dettagliate, vedere Panoramica di Servizi certificati Active Directory.
Note:
- I certificati emessi da una CA di terze parti hanno il vantaggio di essere automaticamente attendibili da tutti i client e i dispositivi. I certificati rilasciati da una CA interna privata non sono automaticamente attendibili da client e dispositivi e non tutti i dispositivi (ad esempio i telefoni) possono essere configurati per considerare attendibili i certificati privati.
- Prendere in considerazione l'uso di un certificato intermedio anziché del certificato radice per rilasciare certificati agli utenti. In questo modo, se è necessario revocare ed emettere nuovamente i certificati, il certificato radice è ancora intatto.
- Il certificato deve avere una chiave privata e l'estensione X509 "Identificatore chiave soggetto" deve essere popolata.
Pubblicare il certificato dell'utente nell'account Active Directory locale negli attributi UserSMIMECertificate e/o UserCertificate.
Passaggio 2: Configurare una raccolta di certificati virtuali in Exchange Online
La raccolta di certificati virtuali è responsabile della convalida dei certificati S/MIME. Configurare la raccolta di certificati virtuali seguendo questa procedura:
Esportare i certificati radice e intermedi necessari per convalidare i certificati S/MIME utente da un computer attendibile in un file di archivio certificati serializzato (SST) in Windows PowerShell. Ad esempio:
Get-ChildItem -Path cert:\<StoreCertPath> | Export-Certificate -FilePath "C:\My Documents\Exported Certificate Store.sst" -Type SST
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Export-Certificate.
Importare i certificati dal file SST in Exchange Online eseguendo il comando seguente in Exchange Online PowerShell:
Set-SmimeConfig -SMIMECertificateIssuingCA ([System.IO.File]::ReadAllBytes('C:\My Documents\Exported Certificate Store.sst'))
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-SmimeConfig.
Passaggio 3: Sincronizzare i certificati utente per S/MIME in Microsoft 365
Prima che chiunque possa inviare messaggi protetti da S/MIME in Exchange Online, è necessario configurare e configurare i certificati appropriati per ogni utente e pubblicare i certificati X.509 pubblici in Microsoft 365. Il client di posta elettronica del mittente usa il certificato pubblico del destinatario per crittografare il messaggio.
Rilasciare certificati e pubblicarli in Active Directory locale. Per ulteriori informazioni, vedere Panoramica sui Servizi certificati Active Directory.
Dopo la pubblicazione dei certificati, usare Microsoft Entra Connect per sincronizzare i dati utente dall'ambiente Exchange locale a Microsoft 365. Per altre informazioni su questo processo, vedere Microsoft Entra Connect Sync: Understand and customize synchronization (Connetti sincronizzazione: informazioni e personalizzazione della sincronizzazione).
Insieme alla sincronizzazione di altri dati della directory, Microsoft Entra Connect sincronizza gli attributi userCertificate e userSMIMECertificate per ogni oggetto utente per la firma S/MIME e la crittografia dei messaggi di posta elettronica. Per altre informazioni su Microsoft Entra Connect, vedere Che cos'è Microsoft Entra Connect?.
Passaggio 4: Configurare i criteri per installare le estensioni S/MIME nei Web browser
Nota
Questo passaggio è necessario solo per i client Outlook sul web.
S/MIME in Outlook sul web in Microsoft Edge basato su Chromium o in Google Chrome richiede impostazioni dei criteri specifiche configurate da un amministratore.
In particolare, è necessario impostare e configurare il criterio denominato ExtensionInstallForcelist per installare l'estensione S/MIME nel browser. Il valore del criterio è maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx
. L'applicazione di questo criterio richiede dispositivi aggiunti a un dominio o Microsoft Entra aggiunti, quindi l'uso di S/MIME in Edge o Chrome richiede effettivamente dispositivi aggiunti a un dominio o Microsoft Entra aggiunti a un dominio.
Per informazioni dettagliate sui criteri, vedere gli argomenti seguenti:
Il criterio è un prerequisito per l'uso di S/MIME in Outlook sul web. Non sostituisce il controllo S/MIME installato dagli utenti. Agli utenti viene richiesto di scaricare e installare il controllo S/MIME in Outlook sul web durante il primo utilizzo di S/MIME. In alternativa, gli utenti possono passare in modo proattivo a S/MIME nelle impostazioni di Outlook sul web per ottenere il collegamento di download per il controllo.
Passaggio 5: Configurare i client di posta elettronica per l'uso di S/MIME
Se un client di posta elettronica supporta S/MIME, la considerazione successiva è l'accesso al certificato S/MIME dell'utente da parte del client di posta elettronica. Il certificato S/MIME deve essere installato nel computer o nel dispositivo dell'utente. È possibile distribuire i certificati S/MIME automaticamente (ad esempio, usando Microsoft Endpoint Manager) o manualmente (ad esempio, l'utente può esportare il certificato dal proprio computer e importarlo nel dispositivo mobile). Dopo che il certificato è disponibile in locale, è possibile abilitare e configurare S/MIME nelle impostazioni del client di posta elettronica.
Per altre informazioni su S/MIME nei client di posta elettronica, vedere gli argomenti seguenti:
- Outlook: vedere la sezione "Crittografia con S/MIME" in Crittografare i messaggi di posta elettronica.
- Outlook per iOS e Android: abilitazione di S/MIME nel client
- Posta in iOS: usare S/MIME per inviare messaggi crittografati in un ambiente Exchange in iOS
È anche possibile usare i parametri seguenti nei cmdlet New-MobileDeviceMailboxPolicy e Set-MobileDeviceMailboxPolicy in Exchange Online PowerShell per configurare le impostazioni S/MIME per i dispositivi mobili:
- AllowSMIMEEncryptionAlgorithmNegotiation
- AllowSMIMESoftCerts
- RequireEncryptedSMIMEMessages
- RequireEncryptionSMIMEAlgorithm
- RequireSignedSMIMEAlgorithm
- RequireSignedSMIMEMessages