הקצאת הצפנה בצד הלקוח למשתמשים

אחרי שמוסיפים שירות אחד או יותר למפתחות הצפנה חיצוניים למסוף Admin עבור הצפנה מצד הלקוח (CSE) ב-Google Workspace, צריך להקצות אותם ליחידות ארגוניות או לקבוצות הגדרה. הקצאת שירות למפתחות הצפנה מאפשרת למשתמשים שהוספתם לרשימת המפתחות של בקרת הגישה בשירות החיצוני להצפין ולפענח תוכן.

אם הגדרתם הצפנה באמצעות מפתח פיזי עבור CSE ב-Gmail, אתם צריכים להקצות אותה ליחידות ארגוניות או להגדרות לקבוצת משתמשים. כדי לעשות את זה צריך את התוסף Assured Controls או Assured Controls Plus.

אם יש משתמשים שצריכים להצפין תוכן, תצטרכו גם להפעיל את CSE. פרטים נוספים מופיעים במאמר בנושא הפעלה או השבתה של הצפנה מצד הלקוח.

לפני שמתחילים

חשוב להקצות שירות ברירת מחדל למפתחות הצפנה

כדי לוודא ששירותי ה-CSE פועלים בצורה תקינה בכל הארגון, צריך להגדיר שירות חיצוני למפתחות הצפנה כשירות ברירת המחדל לכל הארגון. לדוגמה, אם CSE מופעל לקבוצה, אבל הם משתמשים באחסון שיתופי ביחידה ארגונית שהצפנה מצד הלקוח מושבתת בה, נעשה שימוש בשירות למפתחות הצפנה שמוגדר כברירת מחדל.
כשמוסיפים את השירות הראשון למפתחות הצפנה למסוף Admin, מוצגת בקשה להקצות שירות ברירת מחדל ביחידה הארגונית ברמה העליונה. אם עדיין לא הקציתם את ברירת המחדל, הקפידו לעשות זאת לפני שמפעילים את CSE למשתמשים. הוראות מופיעות בהמשך הדף בקטע הקצאת שירות ברירת המחדל למפתחות הצפנה בארגון.

אם רוצים להשתמש בכמה שירותים למפתחות הצפנה למשתמשים שונים

אפשר להקצות שירות מפתחות הצפנה אחר ליחידה ארגונית או לקבוצה, במקום שירות ברירת המחדל. לדוגמה, יכול להיות שתרצו להשתמש בשירותי מפתח שונים למיקומים שונים בארגון שלכם.
אם התוכן כבר מוצפן באמצעות שירות המפתחות הנוכחי, מומלץ להעביר את התוכן המוצפן לשירות החדש. אפשר לעבור אל אם רוצים לעבור לשירות מפתחות הצפנה חדש בהמשך הדף הזה.

אם רוצים לעבור לשירות חדש לניהול מפתחות

אם הקציתם בעבר שירות למפתחות הצפנה ליחידה ארגונית או לקבוצה, אתם יכולים לעבור לשירות אחר. אם יש תוכן שכבר הוצפן על ידי שירות המפתחות הנוכחי, מומלץ להעביר את התוכן לשירות החדש. פרטים נוספים מופיעים בהמשך הדף בקטע העברה של תוכן מוצפן לשירות למפתחות הצפנה חדש.
אם עוברים לשירות מפתחות הצפנה חדש אבל לא מעבירים את התוכן: כל תוכן מוצפן קיים יישאר מוצפן רק על ידי השירות הנוכחי, ולא על ידי השירות החדש שהוספתם. המשמעות היא שתצטרכו להמשיך להשתמש בשירות הנוכחי כדי לשמור על הגישה לתוכן שהוצפן בעבר.

הקצאת הצפנה באמצעות שירות למפתחות הצפנה

הקצאת שירות ברירת המחדל למפתחות הצפנה בארגון

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  1. במסוף Google Admin, נכנסים לתפריט ואז נתונים and then תאימות ואז הצפנה בצד הלקוח.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בקטע הצפנה עם שירות חיצוני למפתחות הצפנה, לוחצים על הקצאה.
  3. בחלונית הימנית, בוחרים באפשרות כל המשתמשים בחשבון הזה או ביחידה הארגונית ברמה העליונה.
  4. לוחצים על Key service (שירות מפתח) ובוחרים את שירות המפתח מהרשימה הנפתחת.
  5. לוחצים על שמירה.

הקצאת שירות מפתחות שונה למשתמשים ספציפיים

אם הוספתם כמה שירותים למפתחות הצפנה למסוף Admin, אתם יכולים לבחור שירות אחר למפתחות הצפנה במקום השירות הנוכחי שהוקצה ליחידה ארגונית או לקבוצה.

חשוב: אם התוכן כבר מוצפן באמצעות השירות הנוכחי למפתחות הצפנה, מומלץ להעביר את התוכן המוצפן לשירות החדש כדי להבטיח שהתוכן הקיים שמוצפן בצד הלקוח יישאר נגיש. פרטים נוספים זמינים בקטע העברה של תוכן מוצפן לשירות למפתחות הצפנה חדש בהמשך הדף.

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  1. במסוף Google Admin, נכנסים לתפריט ואז נתונים and then תאימות ואז הצפנה בצד הלקוח.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בקטע הצפנה עם שירות חיצוני למפתחות הצפנה, לוחצים על הקצאה.
  3. בחלונית הימנית, בוחרים יחידה ארגונית או קבוצה שרוצים להשתמש בשירות אחר למפתחות הצפנה עבורן.
  4. לוחצים על Key service (שירות למפתחות הצפנה) ובוחרים את שירות למפתחות הצפנה החדש מהרשימה הנפתחת.
  5. כדי שההגדרה תישאר כמו שהיא גם כשההגדרות של ה-CSE ביחידה הארגונית הראשית משתנות, לוחצים על שינוי מברירת המחדל.
  6. אם הסטטוס בוטלה כבר מוגדר ליחידה הארגונית, בוחרים באחת מהאפשרויות האלה:
    • קבלה בירושה: חזרה להגדרה של מנוע החיפוש המותאם אישית שמוגדרת ביחידה הארגונית ברמה העליונה.
    • שמירה: שמירת ההגדרה החדשה של מנוע החיפוש המותאם אישית (גם אם ההגדרה הראשית משתנה).
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

העברת תוכן מוצפן לשירות חדש למפתחות הצפנה

אם אתם לא רוצים יותר להשתמש בשירות הקיים למפתחות הצפנה כדי להצפין תוכן עבור יחידה ארגונית או קבוצה, אתם יכולים להוסיף שירות חדש, לבחור את שירות הגיבוי ולהעביר את התוכן המוצפן לשירות החדש.

לפני שמתחילים בהעברה

אילו שירותים נתמכים

בשלב הזה, אפשר להעביר תוכן מוצפן בשירותים הבאים:

  • ‫Google Drive ו-Docs
  • יומן Google

כדי לעבור לשירות למפתחות הצפנה אחר עבור Gmail CSE: צריך להשתמש ב-Gmail API כדי להעלות אישור S/MIME חדש עם מפתחות שעברו עטיפה על ידי שירות למפתחות הצפנה החדש עבור כל משתמש. פרטים נוספים מופיעים במאמר בנושא Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח.

Google לא מפענחת תוכן

במהלך ההעברה, Google אף פעם לא מפענחת תוכן. השירות החדש מבטל את ההצפנה של השירות הקודם ומחליף אותה בהצפנה חדשה.

אין השפעה על המשתמשים

במהלך ההעברה, המשתמשים יכולים להמשיך להצפין תוכן או לצפות בתוכן מוצפן ללא הפרעה.

סטטוס ההעברה לא זמין

לא ניתן לראות את סטטוס ההתקדמות או לקבל התראה על בעיות.

בדיקת ההעברה על מספר קטן של משתמשים

מומלץ לנסות להעביר מספר קטן של משתמשים לפני שמריצים העברה מלאה של התוכן של כל המשתמשים. מקצים את המפתח החדש רק ליחידה ארגונית אחת או לקבוצה אחת, ומפעילים את ההעברה עבור המשתמשים האלה כדי לבדוק אם יש בעיות בהעברה.

אחרי העברת הבדיקה, נסו להצפין תוכן חדש באמצעות השירות החדש למפתחות הצפנה, ובדקו אם עדיין יש לכם גישה לתוכן שהוצפן בעבר ואם אתם יכולים לערוך אותו.

קיצור זמן ההעברה

כדי לצמצם את מספר הפריטים החדשים שמוצפנים באמצעות שירות המפתחות הנוכחי, כדאי להתחיל בהעברה מלאה בתקופות שבהן העומס נמוך.

שלב 1: מוסיפים את השירות החדש למפתחות הצפנה למסוף Admin

  • אם אתם משתמשים כרגע רק בשירות אחד למפתחות הצפנה: מוסיפים את השירות החדש למפתחות הצפנה כשירות ראשי ובוחרים את השירות הנוכחי כשירות גיבוי. פרטים נוספים מופיעים במאמר בנושא הוספה של שירות מפתחות חיצוני. כדי לשמור על הגישה לנתונים מוצפנים קיימים, צריך לוודא ששירות הגיבוי מוגדר לקבל אסימוני JWT ‏ (JSON Web Tokens) משירות הראשי החדש.
  • אם לשירות למפתחות הצפנה שבו אתם משתמשים כבר יש שירות גיבוי: צריך להסיר את הגיבוי מהשירות למפתחות הצפנה. פרטים נוספים מופיעים במאמר בנושא הסרת הגיבוי משירות למפתחות הצפנה. לאחר מכן מוסיפים את שירות המפתחות החדש ובוחרים את השירותים הנוכחיים כגיבוי.

    חשוב: אם אתם מעבירים כרגע תוכן מהגיבוי שאתם רוצים להסיר, צריך לחכות עד שההעברה תסתיים. אחרי שמסירים את הגיבוי, כל העברה נפסקת באופן מיידי. פרטים נוספים מופיעים בקטע שלב 4: בדיקה אם ההעברה הושלמה בהמשך הדף.

שלב 2: החלפת שירות המפתחות הנוכחי בשירות המפתחות החדש

אחרי שמוסיפים את השירות החדש למפתחות הצפנה, מקצים אותו ליחידות ארגוניות או לקבוצות. פרטים נוספים מופיעים בקטע הקצאת שירות מפתחות להצפנה מצד הלקוח למעלה.

שלב 3: הפעלת ההעברה

אחרי שבוחרים את השירות החדש למפתחות הצפנה ליחידה ארגונית או לקבוצה, אפשר להפעיל את ההעברה אם יש שירותים עם תוכן שהוצפן בעבר שאפשר להעביר.

זמן ההעברה משתנה בהתאם לכמות התוכן שהוצפנה באמצעות שירות המפתחות הנוכחי ומהירות העיבוד של שירות המפתחות החדש. יכולות לחלוף כמה שעות או כמה ימים עד שההתקדמות תופיע בהעברת התוכן.

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  1. במסוף Google Admin, נכנסים לתפריט ואז נתונים and then תאימות ואז הצפנה בצד הלקוח.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בקטע הצפנה עם שירות חיצוני למפתחות הצפנה, לוחצים על הקצאה.
  3. בחלונית הימנית, בוחרים את היחידה הארגונית או הקבוצה שרוצים להעביר את התוכן שלהן לשירות למפתחות הצפנה חדש.
  4. בקטע העברה, לוחצים על מופעל.

    הערה: האפשרות הזו זמינה רק אם יש שירותים עם תוכן מוצפן שמופיעים בקטע העברה.

  5. בהודעת האישור, מסמנים את התיבה כדי לציין שהבנתם שאי אפשר לבטל את ההעברה אחרי שהיא מתחילה. לאחר מכן לחץ על שמור.

תהליך ההעברה מתחיל.

שלב 4: בודקים אם ההעברה הושלמה

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  1. במסוף Google Admin, נכנסים לתפריט ואז נתונים and then תאימות ואז הצפנה בצד הלקוח.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בקטע הצפנה עם שירות חיצוני למפתחות הצפנה, לוחצים על הקצאה.
  3. בחלונית הימנית, בוחרים את היחידה הארגונית או הקבוצה שרוצים להעביר את התוכן המוצפן שלהן לשירות מפתחות חדש.
  4. בקטע העברה, בודקים את מספר הפריטים שהוצפנו באמצעות השירות הקודם (עכשיו שירות הגיבוי).

    אם אין פריטים מוצפנים, ההעברה הושלמה.

שלב 5: (אופציונלי) הסרת השירות למפתחות הצפנה לגיבוי

אם העברת התוכן הושלמה ואתם לא רוצים יותר להשתמש בשירות הגיבוי, אתם יכולים להסיר אותו מהשירות החדש למפתחות הצפנה. פרטים נוספים מופיעים במאמר בנושא הסרת הגיבוי משירות למפתחות הצפנה.

הקצאת הצפנה באמצעות מפתחות חומרה (Gmail בלבד)

אם הגדרתם הצפנה באמצעות מפתח חומרה לכל המשתמשים בארגון או לחלק מהם כדי להצפין את Gmail, אתם צריכים להקצות את המפתח למשתמשים האלה.

אם אתם משתמשים גם בשירות למפתחות הצפנה ב-Gmail: אתם יכולים להקצות הצפנה באמצעות מפתח חומרה לאותם משתמשים שהקציתם להם שירות למפתחות הצפנה. עם זאת, המשתמשים האלה יצפינו את Gmail באמצעות שירות המפתחות או מפתח חומרה, בהתאם לאופן שבו הגדרתם את מפתחות ההצפנה שלהם ב-Gmail. פרטים נוספים מופיעים במאמר בנושא Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח.

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  1. במסוף Google Admin, נכנסים לתפריט ואז נתונים and then תאימות ואז הצפנה בצד הלקוח.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בקטע הצפנה עם מפתחות חומרה, לוחצים על הקצאה.
  3. בחלונית הימנית, בוחרים יחידה ארגונית או קבוצה שרוצים להשתמש בשירות אחר למפתחות הצפנה עבורן.
  4. לוחצים על הצפנה באמצעות מפתח פיזי ומסמנים את התיבה.
  5. אם בחרתם יחידת צאצא ארגונית, לוחצים על שינוי כדי לשמור את ההגדרה אם הגדרות ה-CSE של היחידה הארגונית ברמה העליונה ישתנו.
  6. אם האפשרות בוטלה כבר מוגדרת ליחידה הארגונית, בוחרים באחת מהאפשרויות הבאות:
    • קבלה בירושה: חזרה להגדרה של מנוע החיפוש המותאם אישית שמוגדרת ביחידה הארגונית ברמה העליונה.
    • שמירה: שמירת ההגדרה החדשה של מנוע החיפוש המותאם אישית (גם אם ההגדרה הראשית משתנה).
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף