Configurazione di S/MIME in Exchange Online

S/MIME (Secure/Multipurpose Internet Mail Extensions) è un protocollo ampiamente accettato per l'invio di messaggi con firma digitale e crittografati. Per altre informazioni, vedere S/MIME per la firma e la crittografia dei messaggi in Exchange Online.

S/MIME è disponibile in Exchange Online con i tipi di client di posta elettronica seguenti:

• Versioni supportate di Outlook.

• Outlook sul web (in precedenza noto come Outlook Web App) nei client Windows. Per altre informazioni, vedere Crittografare i messaggi usando S/MIME in Outlook sul web.

  Nota

  Le azioni dei criteri sensibili vengono applicate al back-end del server, mentre la firma E/o la crittografia S/MIME vengono eseguite nel client Outlook sul web. A causa di questo vincolo architetturale, S/MIME è disabilitato in Outlook sul web nei messaggi in cui sono presenti etichette di riservatezza con azioni di protezione.

• Dispositivi mobili (ad esempio, Outlook per iOS e Android, app Exchange ActiveSync o app di posta elettronica native).

Un amministratore Exchange Online può abilitare la sicurezza basata su S/MIME per le cassette postali nell'organizzazione. I passaggi generali sono descritti nell'elenco seguente e vengono espansi in questo articolo:

1. Configurare e pubblicare certificati S/MIME.
2. Configurare una raccolta di certificati virtuali in Exchange Online.
3. Sincronizzare i certificati utente per S/MIME in Microsoft 365.
4. Configurare i criteri per installare le estensioni S/MIME nei Web browser per Outlook sul web.
5. Configurare i client di posta elettronica per l'uso di S/MIME.

Per istruzioni di configurazione S/MIME end-to-end per Outlook per iOS e Android, vedere S/MIME per Outlook per iOS e Android.

Passaggio 1: Configurare e pubblicare certificati S/MIME

Ogni utente dell'organizzazione richiede il proprio certificato emesso ai fini della firma e della crittografia. Questi certificati vengono pubblicati nel Active Directory locale per la distribuzione. Active Directory deve trovarsi in computer in una posizione fisica che si controlla e non in una struttura remota o in un servizio basato sul cloud su Internet.

Per altre informazioni su Active Directory, vedere Panoramica Active Directory Domain Services.

1. Installare un'autorità di certificazione basata su Windows e configurare un'infrastruttura a chiave pubblica per rilasciare certificati S/MIME. Sono supportati anche i certificati rilasciati da provider di certificati di terze parti. Per informazioni dettagliate, vedere Panoramica di Servizi certificati Active Directory.

   Note:

   • I certificati emessi da una CA di terze parti hanno il vantaggio di essere automaticamente attendibili da tutti i client e i dispositivi. I certificati rilasciati da una CA interna privata non sono automaticamente attendibili da client e dispositivi e non tutti i dispositivi (ad esempio i telefoni) possono essere configurati per considerare attendibili i certificati privati.
   • Prendere in considerazione l'uso di un certificato intermedio anziché del certificato radice per rilasciare certificati agli utenti. In questo modo, se è necessario revocare ed emettere nuovamente i certificati, il certificato radice è ancora intatto.
   • Il certificato deve avere una chiave privata e l'estensione X509 "Identificatore chiave soggetto" deve essere popolata.

2. Pubblicare il certificato dell'utente nell'account Active Directory locale negli attributi UserSMIMECertificate e/o UserCertificate.

Passaggio 2: Configurare una raccolta di certificati virtuali in Exchange Online

La raccolta di certificati virtuali è responsabile della convalida dei certificati S/MIME. Configurare la raccolta di certificati virtuali seguendo questa procedura:

1. Esportare i certificati radice e intermedi necessari per convalidare i certificati S/MIME utente da un computer attendibile in un file di archivio certificati serializzato (SST) in Windows PowerShell. Ad esempio:

   Get-ChildItem -Path cert:\<StoreCertPath> | Export-Certificate -FilePath "C:\My Documents\Exported Certificate Store.sst" -Type SST
   

   Per informazioni dettagliate sulla sintassi e sui parametri, vedere Export-Certificate.

2. Importare i certificati dal file SST in Exchange Online eseguendo il comando seguente in Exchange Online PowerShell:

   Set-SmimeConfig -SMIMECertificateIssuingCA ([System.IO.File]::ReadAllBytes('C:\My Documents\Exported Certificate Store.sst'))
   

   Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-SmimeConfig.

Passaggio 3: Sincronizzare i certificati utente per S/MIME in Microsoft 365

Prima che chiunque possa inviare messaggi protetti da S/MIME in Exchange Online, è necessario configurare e configurare i certificati appropriati per ogni utente e pubblicare i certificati X.509 pubblici in Microsoft 365. Il client di posta elettronica del mittente usa il certificato pubblico del destinatario per crittografare il messaggio.

1. Rilasciare certificati e pubblicarli in Active Directory locale. Per ulteriori informazioni, vedere Panoramica sui Servizi certificati Active Directory.

2. Dopo la pubblicazione dei certificati, usare Microsoft Entra Connect per sincronizzare i dati utente dall'ambiente Exchange locale a Microsoft 365. Per altre informazioni su questo processo, vedere Microsoft Entra Connect Sync: Understand and customize synchronization (Connetti sincronizzazione: informazioni e personalizzazione della sincronizzazione).

Insieme alla sincronizzazione di altri dati della directory, Microsoft Entra Connect sincronizza gli attributi userCertificate e userSMIMECertificate per ogni oggetto utente per la firma S/MIME e la crittografia dei messaggi di posta elettronica. Per altre informazioni su Microsoft Entra Connect, vedere Che cos'è Microsoft Entra Connect?.

Passaggio 4: Configurare i criteri per installare le estensioni S/MIME nei Web browser

Nota

Questo passaggio è necessario solo per i client Outlook sul web.

S/MIME in Outlook sul web in Microsoft Edge basato su Chromium o in Google Chrome richiede impostazioni dei criteri specifiche configurate da un amministratore.

In particolare, è necessario impostare e configurare il criterio denominato ExtensionInstallForcelist per installare l'estensione S/MIME nel browser. Il valore del criterio è maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx. L'applicazione di questo criterio richiede dispositivi aggiunti a un dominio o Microsoft Entra aggiunti, quindi l'uso di S/MIME in Edge o Chrome richiede effettivamente dispositivi aggiunti a un dominio o Microsoft Entra aggiunti a un dominio.

Per informazioni dettagliate sui criteri, vedere gli argomenti seguenti:

• ExtensionInstallForcelist - Edge
• ExtensionInstallForcelist - Chrome

Il criterio è un prerequisito per l'uso di S/MIME in Outlook sul web. Non sostituisce il controllo S/MIME installato dagli utenti. Agli utenti viene richiesto di scaricare e installare il controllo S/MIME in Outlook sul web durante il primo utilizzo di S/MIME. In alternativa, gli utenti possono passare in modo proattivo a S/MIME nelle impostazioni di Outlook sul web per ottenere il collegamento di download per il controllo.

Passaggio 5: Configurare i client di posta elettronica per l'uso di S/MIME

Se un client di posta elettronica supporta S/MIME, la considerazione successiva è l'accesso al certificato S/MIME dell'utente da parte del client di posta elettronica. Il certificato S/MIME deve essere installato nel computer o nel dispositivo dell'utente. È possibile distribuire i certificati S/MIME automaticamente (ad esempio, usando Microsoft Endpoint Manager) o manualmente (ad esempio, l'utente può esportare il certificato dal proprio computer e importarlo nel dispositivo mobile). Dopo che il certificato è disponibile in locale, è possibile abilitare e configurare S/MIME nelle impostazioni del client di posta elettronica.

Per altre informazioni su S/MIME nei client di posta elettronica, vedere gli argomenti seguenti:

• Outlook: vedere la sezione "Crittografia con S/MIME" in Crittografare i messaggi di posta elettronica.
• Outlook per iOS e Android: abilitazione di S/MIME nel client
• Posta in iOS: usare S/MIME per inviare messaggi crittografati in un ambiente Exchange in iOS

È anche possibile usare i parametri seguenti nei cmdlet New-MobileDeviceMailboxPolicy e Set-MobileDeviceMailboxPolicy in Exchange Online PowerShell per configurare le impostazioni S/MIME per i dispositivi mobili:

• AllowSMIMEEncryptionAlgorithmNegotiation
• AllowSMIMESoftCerts
• RequireEncryptedSMIMEMessages
• RequireEncryptionSMIMEAlgorithm
• RequireSignedSMIMEAlgorithm
• RequireSignedSMIMEMessages