הקצאת הצפנה בצד הלקוח למשתמשים

אחרי שמוסיפים שירות חיצוני אחד או יותר למפתחות הצפנה למסוף Admin עבור הצפנה מצד הלקוח ב-Google Workspace (CSE), צריך להקצות אותם ליחידות ארגוניות או לקבוצות הגדרה. הקצאת שירות למפתחות הצפנה מאפשרת למשתמשים שהוספתם לרשימת המפתחות של בקרת הגישה בשירות החיצוני להצפין ולפענח תוכן.

אם הגדרתם הצפנה באמצעות מפתח הצפנה פיזי עבור CSE ב-Gmail, אתם צריכים להקצות אותה ליחידות ארגוניות או להגדרות לקבוצת משתמשים. כדי לעשות את זה צריך את התוסף Assured Controls או Assured Controls Plus.

כדי שהמשתמשים יוכלו להצפין תוכן, צריך גם להפעיל את ההצפנה מצד הלקוח. פרטים נוספים מופיעים במאמר בנושא הפעלה או השבתה של הצפנה מצד הלקוח.

לפני שמתחילים

חשוב להקצות שירות ברירת מחדל למפתחות הצפנה

כדי לוודא ששירותי ה-CSE פועלים בצורה תקינה בכל הארגון, צריך להגדיר שירות מפתחות חיצוני כברירת המחדל של הארגון כולו. לדוגמה, אם ה-CSE מופעל לקבוצה, אבל הם משתמשים באחסון שיתופי ביחידה ארגונית שה-CSE מושבת בה, נעשה שימוש בשירות ברירת המחדל למפתחות.
כשמוסיפים את שירות מפתחות ההצפנה הראשון למסוף Admin, מוצגת בקשה להקצות שירות ברירת מחדל ליחידה הארגונית ברמה העליונה. אם עדיין לא הקציתם את שירות ברירת המחדל, הקפידו לעשות זאת לפני שמפעילים את CSE למשתמשים. הוראות מפורטות מופיעות בקטע הקצאת שירות ברירת מחדל למפתחות הצפנה לארגון בהמשך הדף.

אם רוצים להשתמש בכמה שירותים למפתחות הצפנה למשתמשים שונים

אפשר להקצות שירות אחר למפתחות הצפנה ליחידה ארגונית או לקבוצה, במקום שירות ברירת המחדל. לדוגמה, יכול להיות שתרצו להשתמש בשירותי מפתח שונים במיקומים שונים בארגון.
אם התוכן כבר מוצפן באמצעות שירות המפתחות הנוכחי, מומלץ להעביר את התוכן המוצפן לשירות החדש. אפשר לעבור אל אם רוצים לעבור לשירות חדש למפתחות הצפנה בהמשך הדף הזה.

אם רוצים לעבור לשירות חדש לניהול מפתחות

אם הקציתם בעבר שירות למפתחות הצפנה ליחידה ארגונית או לקבוצה, אתם יכולים לעבור לשירות אחר. אם יש תוכן שכבר הוצפן על ידי השירות הנוכחי למפתחות הצפנה, מומלץ להעביר את התוכן לשירות החדש. פרטים נוספים מופיעים בהמשך הדף בקטע העברה של תוכן מוצפן לשירות מפתחות הצפנה חדש.
אם עוברים לשירות למפתחות הצפנה חדש אבל לא מעבירים את התוכן: כל תוכן מוצפן קיים יישאר מוצפן רק על ידי השירות הנוכחי, ולא על ידי השירות החדש שהוספתם. המשמעות היא שתצטרכו להמשיך להשתמש בשירות הנוכחי כדי לשמור על הגישה לתוכן שהוצפן בעבר.

הקצאת הצפנה באמצעות שירות למפתחות הצפנה

הקצאת שירות ברירת המחדל למפתחות הצפנה בארגון

כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  1. במסוף Google Admin, נכנסים לתפריט ואז נתונים ואז עמידה בדרישות ואז הצפנה בצד הלקוח.

    כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בקטע הצפנה עם שירות חיצוני למפתחות הצפנה, לוחצים על הקצאה.
  3. בחלונית הימנית, בוחרים באפשרות כל המשתמשים בחשבון הזה או ביחידה הארגונית ברמה העליונה.
  4. לוחצים על שירות מפתח ובוחרים את שירות המפתח מהרשימה הנפתחת.
  5. לוחצים על שמירה.

הקצאת שירות מפתחות שונה למשתמשים ספציפיים

אם הוספתם כמה שירותים למפתחות הצפנה למסוף Admin, אתם יכולים לבחור שירות אחר למפתחות הצפנה במקום השירות הנוכחי שהוקצה ליחידה ארגונית או לקבוצה.

חשוב: אם התוכן כבר מוצפן באמצעות שירות המפתחות הנוכחי, מומלץ להעביר תוכן מוצפן לשירות החדש כדי להבטיח שהתוכן הקיים שמוצפן בצד הלקוח יישאר נגיש. פרטים נוספים זמינים בהמשך הדף במאמר בנושא העברת תוכן מוצפן לשירות מפתחות חדש.

כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  1. במסוף Google Admin, נכנסים לתפריט ואז נתונים ואז עמידה בדרישות ואז הצפנה בצד הלקוח.

    כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בקטע הצפנה עם שירות חיצוני למפתחות הצפנה, לוחצים על הקצאה.
  3. בחלונית הימנית, בוחרים יחידה ארגונית או קבוצה שרוצים להשתמש בשירות מפתחות הצפנה אחר עבורן.
  4. לוחצים על Key service (שירות למפתחות הצפנה) ובוחרים את שירות למפתחות הצפנה החדש מהרשימה הנפתחת.
  5. כדי שההגדרה תישאר כמו שהיא גם כשההגדרות של ה-CSE ביחידה הארגונית הראשית משתנות, לוחצים על שינוי מברירת המחדל.
  6. אם הסטטוס של היחידה הארגונית הוא כבר בוטלה, בוחרים אחת מהאפשרויות האלה:
    • ירושה: חזרה להגדרה של מנוע החיפוש המותאם אישית שמוגדרת ביחידה הארגונית ברמה העליונה.
    • שמירה: שמירת ההגדרה החדשה של מנוע החיפוש המותאם אישית (גם אם ההגדרה הראשית משתנה).
השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

העברת תוכן מוצפן לשירות חדש למפתחות הצפנה

אם אתם לא רוצים יותר להשתמש בשירות הקיים למפתחות הצפנה כדי להצפין תוכן עבור יחידה ארגונית או קבוצה, אתם יכולים להוסיף שירות חדש, לבחור את שירות הגיבוי ולהעביר את התוכן המוצפן לשירות החדש.

לפני שמתחילים בהעברה

אילו שירותים נתמכים

בשלב הזה, אפשר להעביר תוכן מוצפן בשירותים הבאים:

  • כונן Google ו-Google Docs
  • יומן Google

כדי לעבור לשירות למפתחות הצפנה אחר עבור Gmail CSE: צריך להשתמש ב-Gmail API כדי להעלות אישור S/MIME חדש עם מפתחות שעברו עטיפה על ידי שירות למפתחות הצפנה החדש עבור כל משתמש. פרטים נוספים מופיעים במאמר בנושא Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח.

Google לא מפצחת תוכן

במהלך ההעברה, Google אף פעם לא מפענחת תוכן. השירות החדש מבטל את ההצפנה של השירות הקודם ומחליף אותה בהצפנה חדשה.

אין השפעה על המשתמשים

במהלך ההעברה, המשתמשים יכולים להמשיך להצפין תוכן או לצפות בתוכן מוצפן ללא הפרעה.

סטטוס ההעברה לא זמין

לא ניתן לראות את סטטוס ההתקדמות או לקבל התראה על בעיות.

בדיקת ההעברה על מספר קטן של משתמשים

מומלץ לנסות להעביר מספר קטן של משתמשים לפני שמריצים העברה מלאה של התוכן של כל המשתמשים. מקצים את המפתח החדש רק ליחידה ארגונית אחת או לקבוצה אחת, ומפעילים את ההעברה למשתמשים האלה כדי לבדוק אם יש בעיות בהעברה.

אחרי העברת הבדיקה, נסו להצפין תוכן חדש באמצעות השירות החדש למפתחות הצפנה, ובדקו אם עדיין יש לכם גישה לתוכן שהוצפן בעבר ואם אתם יכולים לערוך אותו.

קיצור זמן ההעברה

כדי לצמצם את מספר הפריטים החדשים שמוצפנים באמצעות שירות המפתחות הנוכחי, כדאי להתחיל בהעברה מלאה בתקופות שבהן העומס נמוך.

שלב 1: מוסיפים את השירות החדש למפתחות הצפנה למסוף Admin

  • אם אתם משתמשים כרגע רק בשירות מפתחות הצפנה אחד: מוסיפים את שירות מפתחות ההצפנה החדש כשירות ראשי ובוחרים את השירות הנוכחי כשירות גיבוי. פרטים נוספים מופיעים במאמר בנושא הוספה של שירות מפתחות חיצוני. כדי לשמור על הגישה לנתונים מוצפנים קיימים, צריך לוודא ששירות הגיבוי מוגדר לקבל אסימוני JWT (אסימוני אינטרנט בפורמט JSON) מהשירות הראשי החדש.
  • אם לשירות למפתחות הצפנה שבו אתם משתמשים כבר יש שירות גיבוי: צריך להסיר את הגיבוי מהשירות למפתחות הצפנה. פרטים נוספים מופיעים במאמר בנושא הסרת הגיבוי משירות למפתחות הצפנה. לאחר מכן מוסיפים את השירות החדש למפתחות הצפנה ובוחרים בשירותים הנוכחיים כגיבוי.

    חשוב: אם אתם מעבירים כרגע תוכן מהגיבוי שאתם רוצים להסיר, צריך לחכות עד שההעברה תסתיים. אחרי שמסירים את הגיבוי, כל העברה נפסקת באופן מיידי. פרטים נוספים מופיעים בקטע שלב 4: בדיקה אם ההעברה הושלמה בהמשך הדף.

שלב 2: החלפת השירות הנוכחי למפתחות הצפנה בשירות החדש

אחרי שמוסיפים את שירות מפתחות ההצפנה החדש, מקצים אותו ליחידות ארגוניות או לקבוצות. פרטים נוספים מופיעים במאמר בנושא הקצאת שירות מפתחות להצפנה מצד הלקוח.

שלב 3: הפעלת ההעברה

אחרי שבוחרים את השירות החדש למפתחות הצפנה ליחידה ארגונית או לקבוצה, אפשר להפעיל את ההעברה אם יש שירותים עם תוכן שהוצפן בעבר שאפשר להעביר.

זמן ההעברה משתנה בהתאם לכמות התוכן שהוצפנה באמצעות השירות הנוכחי למפתחות הצפנה ומהירות העיבוד של השירות החדש למפתחות הצפנה. יכולות לחלוף כמה שעות או כמה ימים עד שההתקדמות תופיע בהעברת התוכן.

כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  1. במסוף Google Admin, נכנסים לתפריט ואז נתונים ואז עמידה בדרישות ואז הצפנה בצד הלקוח.

    כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בקטע הצפנה עם שירות חיצוני למפתחות הצפנה, לוחצים על הקצאה.
  3. בחלונית הימנית, בוחרים את היחידה הארגונית או הקבוצה שרוצים להעביר את התוכן שלהן לשירות למפתחות הצפנה חדש.
  4. בקטע העברה, לוחצים על מופעל.

    הערה: האפשרות הזו זמינה רק אם יש שירותים עם תוכן מוצפן שמופיעים בקטע העברה.

  5. בהודעת האישור, מסמנים את התיבה כדי לציין שהבנתם שאי אפשר לבטל את ההעברה אחרי שהיא מתחילה. לאחר מכן לחץ על שמור.

תהליך ההעברה מתחיל.

שלב 4: בודקים אם ההעברה הושלמה

כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  1. במסוף Google Admin, נכנסים לתפריט ואז נתונים ואז עמידה בדרישות ואז הצפנה בצד הלקוח.

    כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בקטע הצפנה עם שירות חיצוני למפתחות הצפנה, לוחצים על הקצאה.
  3. בחלונית הימנית, בוחרים את היחידה הארגונית או הקבוצה שרוצים להעביר את התוכן המוצפן שלהן לשירות חדש למפתחות הצפנה.
  4. בקטע העברה, בודקים את מספר הפריטים שהוצפנו באמצעות השירות הקודם (עכשיו שירות הגיבוי).

    אם אין פריטים מוצפנים, ההעברה הושלמה.

שלב 5: (אופציונלי) הסרת השירות למפתחות גיבוי

אם העברת התוכן הושלמה ואתם לא רוצים יותר להשתמש בשירות הגיבוי, אתם יכולים להסיר אותו מהשירות החדש למפתחות הצפנה. פרטים נוספים מופיעים במאמר בנושא הסרת הגיבוי משירות למפתחות הצפנה.

הקצאת הצפנה באמצעות מפתחות חומרה (רק ב-Gmail)

אם הגדרתם הצפנה באמצעות מפתחות הצפנה פיזיים לכל המשתמשים בארגון או לחלק מהם כדי להצפין את Gmail, אתם צריכים להקצות אותה למשתמשים האלה.

אם אתם משתמשים גם בשירות למפתחות הצפנה ב-Gmail: אתם יכולים להקצות הצפנה באמצעות מפתח חומרה לאותם משתמשים שהקציתם להם שירות למפתחות הצפנה. עם זאת, המשתמשים האלה יצפינו את Gmail באמצעות אחד מהשירותים האלה, בהתאם להגדרת מפתחות ההצפנה שלהם ב-Gmail. לפרטים, אפשר לעבור אל Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח.

כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  1. במסוף Google Admin, נכנסים לתפריט ואז נתונים ואז עמידה בדרישות ואז הצפנה בצד הלקוח.

    כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בקטע הצפנה עם מפתחות חומרה, לוחצים על הקצאה.
  3. בחלונית הימנית, בוחרים יחידה ארגונית או קבוצה שרוצים להשתמש בשירות מפתחות הצפנה אחר עבורן.
  4. לוחצים על הצפנה באמצעות מפתח הצפנה פיזי ומסמנים את התיבה.
  5. אם בחרתם יחידת בת ארגונית, לוחצים על שינוי כדי לשמור את ההגדרה אם הגדרות ה-CSE של היחידה הארגונית הראשית ישתנו.
  6. אם הסטטוס של היחידה הארגונית הוא כבר בוטלה, בוחרים אחת מהאפשרויות האלה:
    • ירושה: חזרה להגדרה של מנוע החיפוש המותאם אישית שמוגדרת ביחידה הארגונית ברמה העליונה.
    • שמירה: שמירת ההגדרה החדשה של מנוע החיפוש המותאם אישית (גם אם ההגדרה הראשית משתנה).
השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף