Visão geral do S/MIME para assinar e criptografar emails no Intune
Certificados de email, também conhecidos como certificado S/MIME, fornecem segurança extra para as comunicações de email usando criptografia e descriptografia. O Microsoft Intune pode usar certificados S/MIME para assinar e criptografar emails em dispositivos móveis que executam as seguintes plataformas:
- Android
- iOS/iPadOS
- macOS
- Windows 10/11
O Intune pode entregar automaticamente certificados de criptografia S/MIME a todas as plataformas. Os certificados S/MIME são associados automaticamente aos perfis de email que usam o cliente de email nativo no iOS e ao Outlook em dispositivos iOS e Android. Para as plataformas Windows e macOS e para outros clientes de email no iOS e no Android, o Intune entrega os certificados, mas os usuários precisam habilitar manualmente o S/MIME no aplicativo de email e escolher os certificados S/MIME.
Para obter mais informações sobre a assinatura e a criptografia de email S/MIME, confira S/MIME para assinatura e criptografia de mensagens.
Este artigo fornece uma visão geral de como usar certificados S/MIME para assinar e criptografar emails nos dispositivos.
Certificados de autenticação
Os certificados usados na autenticação permitem que o aplicativo cliente de email se comunique com segurança com o servidor de email.
Para usar certificados de autenticação, crie um modelo na AC (autoridade de certificação) voltado para a assinatura. Na Autoridade de Certificação do Microsoft Active Directory, Configurar o modelo de certificado do servidor lista as etapas usadas para criar modelos de certificado.
Os certificados de autenticação do Intune usam certificados PKCS. Configurar e usar certificados PKCS descreve como implantar e usar o certificado PKCS no ambiente do Intune. Estas etapas incluem:
- Instalar e configurar o Certificate Connector para Microsoft Intune para dar suporte às solicitações de certificado PKCS. O conector tem os mesmos requisitos de rede que dispositivos gerenciados.
- Criar um perfil de certificado raiz confiável para os dispositivos. Essa etapa inclui o uso de certificados intermediários e raiz confiáveis para a autoridade de certificação e, em seguida, implantação do perfil em dispositivos.
- Crie um perfil de certificado PKCS usando o modelo de certificado criado. Esse perfil emite certificados de autenticação para dispositivos e implanta o perfil de certificado PKCS em dispositivos.
Você também pode importar um certificado de autenticação para um usuário específico. O certificado de autenticação é implantado em qualquer dispositivo registrado por um usuário. Para importar certificados para o Intune, use os cmdlets do PowerShell no GitHub. Para implementar um certificado PKCS importado no Intune a utilizar para assinatura de e-mail, siga os passos em Configurar e utilizar certificados PKCS com Intune. Estas etapas incluem:
- Baixar, instalar e configurar o Certificate Connector para Microsoft Intune. Esse conector fornece certificados PKCS importados para dispositivos.
- Importe certificados de autenticação de email S/MIME para o Intune.
- Crie um perfil de certificado PKCS importado. Esse perfil fornece certificados PKCS importados para os dispositivos do usuário apropriado.
Certificados de criptografia
Os certificados usados para criptografia confirmam que um email criptografado só pode ser descriptografado pelo destinatário pretendido. A criptografia S/MIME é uma camada extra de segurança que pode ser usada na comunicação por email.
Ao enviar um email criptografado para outro usuário, a chave pública do certificado de criptografia desse usuário é obtida e criptografa o email enviado. O destinatário descriptografa o email usando a chave privada em seu dispositivo. Os usuários podem ter um histórico dos certificados usados para criptografar o email. Cada um desses certificados precisa ser implantado em todos os dispositivos de um usuário específico para que o email seja descriptografado com êxito.
É recomendável que os certificados de criptografia de email não sejam criados no Intune. Embora o Intune dê suporte ao emitir certificados PKCS que dão suporte à criptografia, o Intune cria um certificado exclusivo por dispositivo. Um certificado exclusivo por dispositivo não é ideal para um cenário de criptografia S/MIME, em que o certificado de criptografia deve ser compartilhado entre todos os dispositivos do usuário.
Para implantar certificados S/MIME usando o Intune, é necessário importar todos os certificados de criptografia de um usuário para o Intune. Em seguida, o Intune implanta todos esses certificados em cada dispositivo registrado por um usuário. Para importar certificados para o Intune, use os cmdlets do PowerShell no GitHub.
Para implantar um certificado PKCS importado no Intune usado para criptografia de email, siga as etapas de Configurar e usar certificados PKCS com o Intune. Estas etapas incluem:
- Instalar e configurar o Certificate Connector para Microsoft Intune. Esse conector fornece certificados PKCS importados para dispositivos.
- Importe certificados de criptografia de email S/MIME para o Intune.
- Crie um perfil de certificado PKCS importado. Esse perfil fornece certificados PKCS importados para os dispositivos do usuário apropriado.
Observação
Os certificados de criptografia S/MIME importados são removidos pelo Intune quando os dados da empresa são removidos, ou quando os usuários têm seu registro cancelado do gerenciamento. No entanto, os certificados não são revogados na autoridade de certificação.
Perfis de email do S/MIME
Depois de criar perfis de certificado de autenticação e criptografia S/MIME, você pode habilitar o S/MIME para email nativo do iOS/iPadOS.