S/MIME para Outlook para iOS e Android em Exchange Online

S/MIME (Extensões seguras/multiuso do Internet Mail) é um protocolo amplamente aceito para o envio de mensagens assinadas digitalmente e criptografadas. Para obter mais informações, consulte S/MIME para assinatura de mensagens e criptografia em Exchange Online.

Para aproveitar o S/MIME no Outlook para iOS e Android, você precisa configurar o pré-requisito S/MIME específico no Exchange Online. Depois de concluir essas etapas, você pode implantar certificados S/MIME no Outlook para iOS e Android usando os seguintes métodos:

• Entrega manual de certificado
• Entrega automatizada de certificados

Este artigo descreve como configurar Exchange Online para S/MIME usando o Outlook para iOS e Android e como usar o S/MIME no Outlook para iOS e Android.

Pré-requisitos S/MIME

Verifique se o S/MIME foi configurado corretamente em Exchange Online seguindo as etapas descritas em Configurar S/MIME em Exchange Online. Especificamente, isso inclui:

1. Configurando a coleção de certificados virtuais.
2. Publicando a lista de revogação de certificados na Internet.

Em soluções manuais e automatizadas de entrega de certificados, espera-se que a cadeia raiz confiável do certificado esteja disponível e detectável na coleção de certificados virtuais do Exchange Online locatário. A verificação de confiança é executada em todos os certificados digitais. Exchange Online valida o certificado validando cada certificado na cadeia de certificados até que ele atinja um certificado raiz confiável. Essa verificação é feita obtendo os certificados intermediários por meio do atributo de acesso às informações de autoridade no certificado até que um certificado raiz confiável esteja localizado. Certificados intermediários também podem ser incluídos com mensagens de email assinadas digitalmente. Se Exchange Online localizar um certificado raiz confiável e puder consultar a lista de revogação de certificado para a autoridade de certificado, a cadeia do certificado digital para esse certificado digital será considerada válida e confiável e poderá ser usada. Se Exchange Online não localizar um certificado raiz confiável ou não entrar em contato com a lista de revogação de certificado para a autoridade de certificado, esse certificado será considerado inválido e não é confiável.

O Outlook para iOS e Android aproveita o endereço SMTP principal do usuário para atividades de fluxo de email, que é configurado durante a configuração do perfil da conta. O certificado S/MIME usado pelo Outlook para iOS e Android é calculado comparando o endereço SMTP primário do usuário, conforme definido no perfil da conta com o valor da entidade do certificado ou o valor do nome alternativo da entidade; se eles não corresponderem, o Outlook para iOS e Android informará que um certificado não está disponível (consulte Figura 7) e não permitirá que o usuário assine e/ou criptografe mensagens.

Entrega manual de certificado

O Outlook para iOS e o Outlook para Android dão suporte à entrega manual de certificados, que é quando o certificado é enviado por email para o usuário e o usuário toca no anexo do certificado dentro do aplicativo para iniciar a instalação do certificado. A imagem a seguir mostra como a entrega manual de certificados funciona no iOS.

Um usuário pode exportar seu próprio certificado e e-mail para si mesmo usando o Outlook. Para obter mais informações, consulte Exportando um certificado digital.

Importante

Ao exportar o certificado, verifique se o certificado exportado é protegido por senha com uma senha forte.

Entrega automatizada de certificados

Importante

• O Outlook para iOS e Android só dá suporte à entrega automatizada de certificados quando o Microsoft Endpoint Manager é o provedor de registro.

• Para o Outlook para iOS, isso se deve à arquitetura de keychain do iOS. O iOS oferece um sistema keychain e chaveiros de editor. O iOS impede que aplicativos de terceiros acessem o sistema keychain (somente aplicativos de primeiro partido e o controlador do Safari webview podem acessar o sistema keychain). Para fornecer certificados que podem ser acessados pelo Outlook para iOS, os certificados devem residir no editor da Microsoft keychain ao qual o Outlook para iOS tem acesso. Somente aplicativos publicados pela Microsoft, como o Portal da Empresa, podem colocar certificados no keychain do editor da Microsoft.

• O Outlook para Android depende do Endpoint Manager para entregar e aprovar os certificados S/MIME. Há suporte para a entrega automática de certificados com cenários de registro do Android: administrador de dispositivos, perfil de trabalho do Android Enterprise e Android Enterprise totalmente gerenciados.

Com o Endpoint Manager, as organizações podem importar históricos de certificados de criptografia de qualquer Autoridade de Certificação. Em seguida, o Endpoint Manager entregará automaticamente esses certificados para qualquer dispositivo que o usuário registrar. Geralmente, o SCEP (Protocolo de Registro de Certificado Simples) é usado para assinar certificados. Com o SCEP, a chave privada é gerada e armazenada no dispositivo registrado e um certificado exclusivo é entregue a cada dispositivo que um usuário registra, que pode ser usado para não repúdio. Por fim, o Endpoint Manager dá suporte a credenciais derivadas para clientes que precisam de suporte para o padrão NIST 800-157. O Portal da Empresa é usado para recuperar certificados de assinatura e criptografia do Intune.

Para entregar certificados ao Outlook para iOS e Android, você deve concluir os seguintes pré-requisitos:

• Implante certificados raiz confiáveis por meio do Endpoint Manager. Para obter mais informações, consulte Criar perfis de certificado confiáveis.
• Os certificados de criptografia devem ser importados para o Endpoint Manager. Para obter mais informações, consulte Configurar e usar certificados PKCS importados com o Intune.
• Instale e configure o Conector PFX para Microsoft Intune. Para obter mais informações, consulte Baixar, instalar e configurar o Conector de Certificado PFX para Microsoft Intune.
• Os dispositivos devem ser registrados para receber certificados raiz confiável e S/MIME automaticamente do Endpoint Manager.

Outlook para entrega automatizada de certificados do Outlook para iOS

Use as etapas a seguir para criar e configurar a política do Outlook para iOS S/MIME no Endpoint Manager. Essas configurações fornecem a entrega automatizada dos certificados de assinatura e criptografia.

1. Entre no Microsoft Endpoint Manager.

2. Selecione Aplicativos e depois selecione Políticas de configuração de aplicativos.

3. Na folha políticas Configuração de Aplicativos, escolha Adicionar e selecione Dispositivos gerenciados para iniciar o fluxo de criação da política de configuração do aplicativo.

4. Na seção Básico, insira um Nome e uma Descrição opcional para as definições de configuração do aplicativo.

5. Para Plataforma, escolha iOS/iPadOS.

6. Para aplicativo Direcionado, escolha Selecionar aplicativo e, na folha aplicativo Associado , escolha Microsoft Outlook. Clique em OK.

   Observação

   Se o Outlook não estiver listado como um aplicativo disponível, você deverá adicioná-lo seguindo as instruções em Atribuir aplicativos a dispositivos de perfil de trabalho Android com o Intune e Adicionar aplicativos de loja iOS a Microsoft Intune.

7. Clique em Configurações para adicionar configurações.

   Selecione Usar designer de configuração ao lado do formato configuração e aceite ou modifique as configurações padrão. Para obter mais informações, consulte Implantando as configurações de configuração do aplicativo do Outlook para iOS e Android.

8. Clique em S/MIME para exibir as configurações do Outlook S/MIME.

9. Defina Habilitar S/MIME como Sim. Ao selecionar Sim ou Não, os administradores podem optar por permitir que o usuário altere o valor da configuração do aplicativo. Selecione Sim (padrão do aplicativo) para permitir que o usuário altere a configuração ou escolha Não se você quiser impedir que o usuário altere o valor da configuração.

10. Escolha se deseja criptografar todos os emails selecionando Sim ou Não. Ao selecionar Sim ou Não, os administradores podem optar por permitir que o usuário altere o valor da configuração do aplicativo. Selecione Sim (padrão do aplicativo) para permitir que o usuário altere a configuração ou escolha Não se você quiser impedir que o usuário altere o valor da configuração.

11. Escolha se deve assinar todos os emails selecionando Sim ou Não. Ao selecionar Sim ou Não, os administradores podem optar por permitir que o usuário altere o valor da configuração do aplicativo. Selecione Sim (padrão do aplicativo) para permitir que o usuário altere a configuração ou escolha Não se você quiser impedir que o usuário altere o valor da configuração.

12. Se necessário, implante uma URL LDAP para pesquisa de certificado do destinatário. Para obter mais informações sobre o formato de URL, consulte Suporte LDAP para pesquisa de certificado.

13. Defina Implantar certificados S/MIME do Intune como Sim.

14. Em Assinar certificados ao lado do tipo de perfil de certificado, escolha uma das seguintes opções:

    • SCEP: cria um certificado exclusivo para o dispositivo e o usuário que pode ser usado pelo Microsoft Outlook para assinatura. Para obter informações sobre o que é necessário para usar perfis de certificado SCEP, consulte Configurar infraestrutura para dar suporte ao SCEP com o Intune.
    • Certificados importados do PKCS: usa um certificado exclusivo para o usuário, mas pode ser compartilhado entre dispositivos e importado para o Endpoint Manager pelo administrador em nome do usuário. O certificado é entregue a qualquer dispositivo registrado por um usuário. O Endpoint Manager escolherá automaticamente o certificado importado que dá suporte à assinatura para entregar ao dispositivo que corresponde ao usuário registrado. Para obter informações sobre o que é necessário para usar certificados importados do PKCS, consulte Configurar e usar certificados PKCS com o Intune.
    • Credenciais derivadas: usa um certificado que já está no dispositivo que pode ser usado para assinatura. O certificado deve ser recuperado no dispositivo usando os fluxos de credenciais derivadas no Intune.

15. Em Certificados de criptografia ao lado do tipo de perfil de certificado, escolha uma das seguintes opções:

    • Certificados importados do PKCS: entrega todos os certificados de criptografia importados para o Endpoint Manager pelo administrador em qualquer dispositivo que um usuário registra. O Endpoint Manager escolherá automaticamente o certificado ou certificados importados que dão suporte à criptografia e entregarão aos dispositivos do usuário registrado.
    • Credenciais derivadas: usa um certificado que já está no dispositivo que pode ser usado para assinatura. O certificado deve ser recuperado no dispositivo usando os fluxos de credenciais derivadas no Intune.

16. Ao lado das notificações do usuário final, escolha como notificar os usuários finais para recuperar os certificados selecionando Portal da Empresa ou Email.

    No iOS, os usuários devem usar o aplicativo Portal da Empresa para recuperar seus certificados S/MIME. O Endpoint Manager informará ao usuário que ele precisa iniciar o Portal da Empresa para recuperar seus certificados S/MIME por meio da seção Notificações de Portal da Empresa, uma notificação por push e/ou um email. Clicar em uma das notificações levará o usuário a uma página de destino que informa sobre o progresso na recuperação dos certificados. Depois que os certificados forem recuperados, o usuário poderá usar o S/MIME de dentro do Microsoft Outlook para iOS para assinar e criptografar email.

    As notificações do usuário final incluem as seguintes opções:

    • Portal da Empresa: se selecionados, os usuários receberão uma notificação por push em seu dispositivo, que os levará para a página de destino no Portal da Empresa em que os certificados S/MIME serão recuperados.
    • Email: envia um email para o usuário final informando que precisa iniciar Portal da Empresa para recuperar seus certificados S/MIME. Se o usuário estiver em seu dispositivo iOS registrado quando clicar no link no email, ele será redirecionado para o Portal da Empresa para recuperar seus certificados.

    Os usuários finais verão uma experiência semelhante à seguinte para entrega automatizada de certificados:

17. Selecione Atribuições para atribuir a política de configuração do aplicativo aos grupos de Microsoft Entra. Para obter mais informações, consulte Atribuir aplicativos a grupos com Microsoft Intune.

Entrega de certificado automatizado do Outlook para Android

Use as etapas a seguir para criar e configurar a política do Outlook para iOS e Android S/MIME no Endpoint Manager. Essas configurações fornecem a entrega automatizada dos certificados de assinatura e criptografia.

1. Entre no Microsoft Endpoint Manager.

2. Crie um perfil de certificado SCEP ou um perfil de certificado PKCS e atribua-o aos usuários móveis.

3. Selecione Aplicativos e depois selecione Políticas de configuração de aplicativos.

4. Na folha políticas Configuração de Aplicativos, escolha Adicionar e selecione Dispositivos gerenciados para iniciar o fluxo de criação da política de configuração do aplicativo.

5. Na seção Básico, insira um Nome e uma Descrição opcional para as definições de configuração do aplicativo.

6. Para Plataforma, escolha Android Enterprise e, para Tipo de Perfil, escolha Todos os Tipos de Perfil.

7. Para aplicativo Direcionado, escolha Selecionar aplicativo e, na folha aplicativo Associado , escolha Microsoft Outlook. Clique em OK.

   Observação

   Se o Outlook não estiver listado como um aplicativo disponível, você deverá adicioná-lo seguindo as instruções em Atribuir aplicativos a dispositivos de perfil de trabalho Android com o Intune e Adicionar aplicativos de loja iOS a Microsoft Intune.

8. Clique em Configurações para adicionar configurações.

   Selecione Usar designer de configuração ao lado do formato configuração e aceite ou modifique as configurações padrão. Para obter mais informações, consulte Implantando as configurações de configuração do aplicativo do Outlook para iOS e Android.

9. Clique em S/MIME para exibir as configurações do Outlook S/MIME.

10. Defina Habilitar S/MIME como Sim. Ao selecionar Sim ou Não, os administradores podem optar por permitir que o usuário altere o valor da configuração do aplicativo. Selecione Sim (padrão do aplicativo) para permitir que o usuário altere a configuração ou escolha Não se você quiser impedir que o usuário altere o valor da configuração.

11. Escolha se deseja criptografar todos os emails selecionando Sim ou Não. Ao selecionar Sim ou Não, os administradores podem optar por permitir que o usuário altere o valor da configuração do aplicativo. Selecione Sim (padrão do aplicativo) para permitir que o usuário altere a configuração ou escolha Não se você quiser impedir que o usuário altere o valor da configuração.

12. Escolha se deve assinar todos os emails selecionando Sim ou Não. Ao selecionar Sim ou Não, os administradores podem optar por permitir que o usuário altere o valor da configuração do aplicativo. Selecione Sim (padrão do aplicativo) para permitir que o usuário altere a configuração ou escolha Não se você quiser impedir que o usuário altere o valor da configuração.

13. Selecione Atribuições para atribuir a política de configuração do aplicativo aos grupos de Microsoft Entra. Para obter mais informações, consulte Atribuir aplicativos a grupos com Microsoft Intune.

Habilitando o S/MIME no cliente

O S/MIME deve estar habilitado para o Outlook para iOS e Android para exibir ou criar conteúdo relacionado a S/MIME.

Os usuários finais precisarão habilitar a funcionalidade S/MIME manualmente acessando suas configurações de conta, tocando em Segurança e tocando no controle S/MIME, que está desativado por padrão. A configuração de segurança do Outlook para iOS S/MIME se parece com a seguinte:

Quando a configuração S/MIME estiver habilitada, o Outlook para iOS e Android desabilitará automaticamente a configuração Organizar por Thread . Isso ocorre porque a criptografia S/MIME se torna mais complexa à medida que um thread de conversa cresce. Ao remover o modo de exibição de conversa threaded, o Outlook para iOS e Android reduz a oportunidade de problemas com certificados entre os destinatários durante a assinatura e a criptografia. Como essa é uma configuração no nível do aplicativo, essa alteração afeta todas as contas adicionadas ao aplicativo. Esta caixa de diálogo de conversa em thread é renderizada no iOS da seguinte maneira:

Depois que o S/MIME estiver habilitado e os certificados S/MIME estiverem instalados, os usuários poderão exibir os certificados instalados acessando as configurações da conta e tocando em Segurança. Além disso, os usuários podem tocar em cada certificado S/MIME individual e exibir os detalhes do certificado, incluindo informações como uso de chave e o período de validade.

Os usuários podem configurar o Outlook para assinar ou criptografar mensagens automaticamente. Isso permite que os usuários economizem tempo enviando email enquanto estão confiantes de que seus emails estão sendo assinados/criptografados.

Suporte LDAP para pesquisa de certificado

O Outlook para iOS e Android dá suporte ao acesso a chaves de certificado de usuário público de pontos de extremidade seguros do diretório LDAP durante a resolução do destinatário. Para utilizar um ponto de extremidade LDAP, os seguintes requisitos devem ser atendidos:

• O ponto de extremidade LDAP não requer autenticação.
• A configuração do ponto de extremidade LDAP é entregue ao Outlook para iOS e ANdroid por meio de uma política de configuração de aplicativo. Para obter mais informações, confira Configurações de S/MIME.
• A configuração do ponto de extremidade LDAP tem suporte usando os seguintes formatos:
  • ldaps://contoso.com
  • ldap://contoso.com
  • ldap://contoso.com:389
  • ldaps://contoso.com:636
  • contoso.com
  • contoso.com:389
  • contoso.com:636

Quando o Outlook para iOS e Android executa uma pesquisa de certificado para um destinatário, o aplicativo pesquisará primeiro o dispositivo local e consultará Microsoft Entra ID e avaliará qualquer ponto de extremidade do diretório LDAP. Quando o Outlook para iOS e Android se conecta ao ponto de extremidade do diretório LDAP para pesquisar o certificado público de um destinatário, a validação do certificado é executada para garantir que o certificado não seja revogado. O certificado só será considerado válido pelo aplicativo se a validação do certificado for concluída com êxito.

Usando S/MIME no Outlook para iOS e Android

Depois que os certificados forem implantados e o S/MIME tiver sido habilitado no aplicativo, os usuários poderão consumir conteúdo relacionado a S/MIME e compor conteúdo usando certificados S/MIME. Se a configuração S/MIME não estiver habilitada, os usuários não poderão consumir conteúdo S/MIME.

Exibir mensagens S/MIME

No modo de exibição da mensagem, os usuários podem exibir mensagens assinadas ou criptografadas por S/MIME. Além disso, os usuários podem tocar na barra de status S/MIME para exibir mais informações sobre o status S/MIME da mensagem. As capturas de tela a seguir mostram exemplos de como as mensagens S/MIME são consumidas no Android.

Importante

Para ler uma mensagem criptografada, a chave de certificado privado do destinatário deve estar disponível no dispositivo.

Os usuários podem instalar a chave de certificado público de um remetente tocando na barra de status S/MIME. O certificado será instalado no dispositivo do usuário, especificamente no editor da Microsoft keychain no iOS ou no sistema KeyStore no Android. A versão do Android é semelhante à seguinte:

Se houver erros de certificado, o Outlook para iOS e Android avisará o usuário. O usuário pode tocar no S/MIME status notificação da barra para exibir mais informações sobre o erro do certificado, como no exemplo a seguir.

Criar mensagens S/MIME

Antes que um usuário possa enviar uma mensagem assinada e/ou criptografada, o Outlook para iOS e Android executa uma marcar de validade no certificado para garantir que ele seja válido para operações de assinatura ou criptografia. Se o certificado estiver próximo da expiração, o Outlook para iOS e Android alertará o usuário para obter um novo certificado quando o usuário tentar assinar ou criptografar uma mensagem, começando 30 dias antes da expiração.

Ao compor um email no Outlook para iOS e Android, o remetente pode optar por criptografar e/ou assinar a mensagem. Ao tocar nas reticências e, em seguida, Assinar e Criptografar, as várias opções S/MIME são apresentadas. Selecionar uma opção S/MIME habilita a respectiva codificação no email assim que a mensagem é salva ou enviada, supondo que o remetente tenha um certificado válido.

O Outlook para iOS e Android pode enviar mensagens assinadas e criptografadas do S/MIME para grupos de distribuição. O Outlook para iOS e Android enumera os certificados para os usuários definidos no grupo de distribuição, incluindo aqueles em grupos de distribuição aninhados, embora seja necessário tomar cuidado em limitar o número de grupos de distribuição aninhados para minimizar o impacto do processamento.

Importante

• O Outlook para iOS e Android só dá suporte ao envio de mensagens com sinal claro.
• Para compor uma mensagem criptografada, a chave de certificado público do destinatário de destino deve estar disponível na Lista de Endereços Global ou armazenada no dispositivo local. Para compor uma mensagem assinada, a chave de certificado privado do remetente deve estar disponível no dispositivo.

Veja como as opções S/MIME aparecem no Outlook para Android:

O Outlook para iOS e Android avaliará todos os destinatários antes de enviar uma mensagem criptografada e confirmará que existe uma chave de certificado público válida para cada destinatário. A GAL (Lista de Endereços Global) é verificada primeiro; se um certificado para o destinatário não existir no GAL, o Outlook consultará o editor da Microsoft keychain no iOS ou o sistema KeyStore no Android para localizar a chave de certificado público do destinatário. Para destinatários sem uma chave de certificado público (ou uma chave inválida), o Outlook solicitará sua remoção. A mensagem não será enviada sem criptografia para nenhum destinatário, a menos que a opção de criptografia seja desabilitada pelo remetente durante a composição.