उपयोगकर्ताओं को क्लाइंट-साइड एन्क्रिप्शन की सुविधा असाइन करना

Google Workspace के क्लाइंट-साइड एन्क्रिप्शन (सीएसई) के लिए, Admin console में एक या उससे ज़्यादा बाहरी कुंजी मैनेज करने वाली सेवाएं जोड़ने के बाद, आपको उन्हें संगठन की इकाइयों या कॉन्फ़िगरेशन ग्रुप को असाइन करना होगा. कुंजी मैनेज करने वाली सेवा असाइन करने से, उन उपयोगकर्ताओं को कॉन्टेंट एन्क्रिप्ट (सुरक्षित) और डिक्रिप्ट (सुरक्षित नहीं) करने की अनुमति मिलती है जिन्हें आपने बाहरी सेवा की कुंजी ऐक्सेस कंट्रोल लिस्ट में जोड़ा है.

अगर आपने Gmail CSE के लिए, हार्डवेयर कुंजी की मदद से डेटा एन्क्रिप्ट (सुरक्षित) करने की सुविधा सेट अप की है, तो आपको इसे संगठन की इकाइयों या कॉन्फ़िगरेशन ग्रुप के लिए असाइन करना होगा. इसके लिए, Assured Controls या Assured Controls Plus ऐड-ऑन होना ज़रूरी है.

जिन उपयोगकर्ताओं को कॉन्टेंट एन्क्रिप्ट (सुरक्षित) करना है उनके लिए, आपको सीएसई भी चालू करना होगा. ज़्यादा जानकारी के लिए, क्लाइंट-साइड एन्क्रिप्शन की सुविधा चालू या बंद करना लेख पढ़ें.

शुरू करने से पहले

पक्का करें कि आपने डिफ़ॉल्ट रूप से कुंजी मैनेज करने वाली सेवा असाइन की हो

यह पक्का करने के लिए कि सीएसई सेवाएं आपके पूरे संगठन में ठीक से काम करें, आपको कुंजी मैनेज करने वाली बाहरी सेवा को अपने पूरे संगठन के लिए डिफ़ॉल्ट सेवा के तौर पर सेट करना होगा. उदाहरण के लिए, अगर किसी ग्रुप के लिए सीएसई की सुविधा चालू है, लेकिन वह संगठन की किसी ऐसी इकाई में शेयर की गई ड्राइव का इस्तेमाल कर रहा है जिसके लिए सीएसई की सुविधा बंद है, तो डिफ़ॉल्ट रूप से कुंजी मैनेज करने वाली सेवा का इस्तेमाल किया जाता है.
Admin console में कुंजी मैनेज करने वाली पहली सेवा जोड़ने पर, आपको संगठन की सबसे ऊपरी इकाई के लिए डिफ़ॉल्ट सेवा असाइन करने के लिए कहा जाएगा. अगर आपने अब तक डिफ़ॉल्ट सेटिंग असाइन नहीं की है, तो उपयोगकर्ताओं के लिए सीएसई चालू करने से पहले ऐसा ज़रूर करें. निर्देशों के लिए, इस पेज पर बाद में अपने संगठन के लिए डिफ़ॉल्ट कुंजी सेवा असाइन करना पर जाएं.

अगर आपको अलग-अलग उपयोगकर्ताओं के लिए, एक से ज़्यादा कुंजी सेवाओं का इस्तेमाल करना है

संगठन की किसी इकाई या ग्रुप के लिए, डिफ़ॉल्ट सेवा के बजाय कुंजी मैनेज करने वाली कोई दूसरी सेवा असाइन की जा सकती है. उदाहरण के लिए, हो सकता है कि आपको अपने संगठन के लिए, अलग-अलग जगहों पर अलग-अलग मुख्य सेवाओं का इस्तेमाल करना हो.
अगर कॉन्टेंट को कुंजी मैनेज करने वाली मौजूदा सेवा का इस्तेमाल करके पहले ही एन्क्रिप्ट (सुरक्षित) कर लिया गया है, तो बेहतर होगा कि एन्क्रिप्ट किए गए कॉन्टेंट को नई सेवा पर माइग्रेट कर दिया जाए. इस पेज पर, अगर आपको बाद में कुंजी मैनेज करने वाली नई सेवा पर स्विच करना है पर जाएं.

अगर आपको किसी नई कुंजी सेवा पर स्विच करना है

अगर आपने पहले किसी संगठन इकाई या ग्रुप के लिए कुंजी मैनेज करने वाली कोई सेवा असाइन की है, तो आपके पास किसी दूसरी सेवा पर स्विच करने का विकल्प होता है. अगर कुंजी मैनेज करने वाली मौजूदा सेवा ने पहले से ही किसी कॉन्टेंट को एन्क्रिप्ट (सुरक्षित) किया हुआ है, तो हमारा सुझाव है कि आप उस कॉन्टेंट को नई सेवा पर माइग्रेट करें. ज़्यादा जानकारी के लिए, इस पेज पर नीचे दिए गए एन्क्रिप्ट (सुरक्षित) किए गए कॉन्टेंट को कुंजी मैनेज करने वाली नई सेवा पर माइग्रेट करना लेख पढ़ें.
अगर आपने कुंजी मैनेज करने वाली नई सेवा पर स्विच किया है, लेकिन कॉन्टेंट माइग्रेट नहीं किया है, तो: एन्क्रिप्ट किया गया मौजूदा कॉन्टेंट, नई सेवा से नहीं, बल्कि सिर्फ़ मौजूदा सेवा से एन्क्रिप्ट रहेगा. इसका मतलब है कि पहले से एन्क्रिप्ट किए गए कॉन्टेंट को ऐक्सेस करने के लिए, आपको मौजूदा सेवा का इस्तेमाल जारी रखना होगा.

कुंजी मैनेज करने वाली सेवा की मदद से एन्क्रिप्शन की सुविधा असाइन करना

अपने संगठन के लिए, कुंजी मैनेज करने वाली डिफ़ॉल्ट सेवा असाइन करना

यह टास्क पूरा करने के लिए, आपको सुपर एडमिन के तौर पर साइन इन करना होगा.

  1. Google Admin console में, मेन्यू इसके बाद डेटा इसके बाद अनुपालन इसके बाद क्लाइंट-साइड एन्क्रिप्शन पर जाएं.

    यह टास्क पूरा करने के लिए, आपको सुपर एडमिन के तौर पर साइन इन करना होगा.

  2. कुंजी मैनेज करने वाली बाहरी सेवा की मदद से डेटा एन्क्रिप्ट (सुरक्षित) करने की सुविधा में जाकर, असाइन करें पर क्लिक करें.
  3. बाईं ओर मौजूद पैनल में, इस खाते के सभी उपयोगकर्ता या टॉप-लेवल की संगठन इकाई चुनें.
  4. मुख्य सेवा पर क्लिक करें और ड्रॉप-डाउन सूची में अपनी मुख्य सेवा चुनें.
  5. सेव करें पर क्लिक करें.

कुछ उपयोगकर्ताओं के लिए, कुंजी मैनेज करने वाली कोई दूसरी सेवा असाइन करना

अगर आपने Admin console में कुंजी मैनेज करने वाली एक से ज़्यादा सेवाएं जोड़ी हैं, तो संगठन की किसी इकाई या ग्रुप के लिए, कुंजी मैनेज करने वाली कोई दूसरी सेवा चुनी जा सकती है.

अहम जानकारी: अगर कॉन्टेंट को कुंजी मैनेज करने वाली मौजूदा सेवा का इस्तेमाल करके पहले ही एन्क्रिप्ट (सुरक्षित) किया जा चुका है, तो एन्क्रिप्ट किए गए कॉन्टेंट को माइग्रेट करना सबसे अच्छा विकल्प है. इससे यह पक्का किया जा सकेगा कि क्लाइंट-साइड पर एन्क्रिप्ट किया गया मौजूदा कॉन्टेंट ऐक्सेस किया जा सके. ज़्यादा जानकारी के लिए, इस पेज पर बाद में एन्क्रिप्ट (सुरक्षित) किए गए कॉन्टेंट को कुंजी मैनेज करने वाली नई सेवा पर माइग्रेट करना पर जाएं.

यह टास्क पूरा करने के लिए, आपको सुपर एडमिन के तौर पर साइन इन करना होगा.

  1. Google Admin console में, मेन्यू इसके बाद डेटा इसके बाद अनुपालन इसके बाद क्लाइंट-साइड एन्क्रिप्शन पर जाएं.

    यह टास्क पूरा करने के लिए, आपको सुपर एडमिन के तौर पर साइन इन करना होगा.

  2. कुंजी मैनेज करने वाली बाहरी सेवा की मदद से डेटा एन्क्रिप्ट (सुरक्षित) करने की सुविधा में जाकर, असाइन करें पर क्लिक करें.
  3. बाएं पैनल में, संगठन की वह इकाई या ग्रुप चुनें जिसके लिए आपको कुंजी मैनेज करने वाली किसी दूसरी सेवा का इस्तेमाल करना है.
  4. कुंजी सेवा पर क्लिक करें. इसके बाद, ड्रॉप-डाउन सूची में नई कुंजी सेवा चुनें.
  5. अगर पैरंट ओयू के लिए सीएसई की सेटिंग बदल दी जाती हैं, तो अपनी सेटिंग बनाए रखने के लिए, बदलें पर क्लिक करें.
  6. अगर संगठन की इकाई के लिए, बदला गया पहले से सेट है, तो कोई विकल्प चुनें:
    • इनहेरिट करें—इससे सीएसई की सेटिंग, पैरंट सीएसई की सेटिंग पर वापस आ जाती है.
    • सेव करें—इससे आपकी नई सीएसई सेटिंग सेव हो जाती है. भले ही, पैरंट सेटिंग में बदलाव हो गया हो.
बदलावों को लागू होने में 24 घंटे लग सकते हैं. हालांकि, आम तौर पर इससे कम समय लगता है. ज़्यादा जानें

एन्क्रिप्ट किए गए कॉन्टेंट को कुंजी मैनेज करने वाली नई सेवा पर माइग्रेट करना

अगर आपको किसी संगठन की इकाई या ग्रुप के कॉन्टेंट को एन्क्रिप्ट (सुरक्षित) करने के लिए, कुंजी मैनेज करने वाली मौजूदा सेवा का इस्तेमाल नहीं करना है, तो नई सेवा जोड़ी जा सकती है. इसके लिए, बैकअप सेवा चुनें और एन्क्रिप्ट किए गए कॉन्टेंट को नई सेवा पर माइग्रेट करें.

माइग्रेशन शुरू करने से पहले

किन सेवाओं के लिए यह सुविधा उपलब्ध है

फ़िलहाल, एन्क्रिप्ट (सुरक्षित) किए गए कॉन्टेंट को इन सेवाओं के लिए माइग्रेट किया जा सकता है:

  • Google Drive और Docs
  • Google Calendar

Gmail के सीएसई (क्लाइंट-साइड एन्क्रिप्शन) के लिए, कुंजी मैनेज करने वाली किसी दूसरी सेवा पर स्विच करने के लिए: आपको Gmail API का इस्तेमाल करना होगा. इससे हर उपयोगकर्ता के लिए, कुंजी मैनेज करने वाली नई सेवा से रैप की गई कुंजियों के साथ एक नया S/MIME सर्टिफ़िकेट अपलोड किया जा सकेगा. ज़्यादा जानकारी के लिए, सिर्फ़ Gmail के लिए: क्लाइंट-साइड एन्क्रिप्शन के लिए S/MIME सर्टिफ़िकेट कॉन्फ़िगर करना पर जाएं.

Google, कॉन्टेंट को डिक्रिप्ट नहीं करता

माइग्रेशन के दौरान, Google कभी भी कॉन्टेंट को डिक्रिप्ट नहीं करता. नई सेवा, पिछली सेवा से एन्क्रिप्शन लेयर को हटाकर, उसकी जगह नई एन्क्रिप्शन लेयर लगाती है.

उपयोगकर्ताओं पर कोई असर नहीं पड़ा

माइग्रेशन के दौरान, उपयोगकर्ता बिना किसी रुकावट के एन्क्रिप्ट (सुरक्षित) किए गए कॉन्टेंट को एन्क्रिप्ट (सुरक्षित) करना या देखना जारी रख सकते हैं.

माइग्रेशन का स्टेटस उपलब्ध नहीं है

प्रोग्रेस का स्टेटस और किसी भी समस्या की सूचना उपलब्ध नहीं है.

सबसे पहले, कुछ उपयोगकर्ताओं के लिए माइग्रेशन की जांच करें

हमारा सुझाव है कि सभी उपयोगकर्ताओं के कॉन्टेंट को माइग्रेट करने से पहले, कुछ उपयोगकर्ताओं के कॉन्टेंट को माइग्रेट करके देखें. नई कुंजी को सिर्फ़ एक संगठनात्मक इकाई या ग्रुप के लिए असाइन करें. साथ ही, उन उपयोगकर्ताओं के लिए माइग्रेशन की सुविधा चालू करें, ताकि यह पता चल सके कि माइग्रेशन से जुड़ी कोई समस्या तो नहीं है.

टेस्ट माइग्रेशन के बाद, कुंजी मैनेज करने वाली नई सेवा का इस्तेमाल करके नए कॉन्टेंट को एन्क्रिप्ट (सुरक्षित) करें. साथ ही, देखें कि क्या अब भी पहले एन्क्रिप्ट किए गए कॉन्टेंट को ऐक्सेस और उसमें बदलाव किया जा सकता है.

माइग्रेशन में लगने वाला समय कम करना

कुंजी मैनेज करने वाली मौजूदा सेवा की मदद से एन्क्रिप्ट किए गए नए आइटम की संख्या कम करने के लिए, ऑफ़-पीक अवधि के दौरान पूरा माइग्रेशन शुरू करें.

पहला चरण: Admin console में नई कुंजी मैनेज करने वाली सेवा जोड़ना

  • अगर फ़िलहाल, एन्क्रिप्शन के लिए सिर्फ़ एक सेवा का इस्तेमाल किया जा रहा है: नई सेवा को मुख्य सेवा के तौर पर जोड़ें और मौजूदा सेवा को बैकअप सेवा के तौर पर चुनें. ज़्यादा जानकारी के लिए, कुंजी मैनेज करने वाली बाहरी सेवा जोड़ना पर जाएं. एन्क्रिप्ट किए गए मौजूदा डेटा का ऐक्सेस बनाए रखने के लिए, पक्का करें कि बैकअप सेवा को नई प्राइमरी सेवा से JSON वेब टोकन (JWT) स्वीकार करने के लिए कॉन्फ़िगर किया गया हो.
  • अगर कुंजी मैनेज करने वाली किसी ऐसी सेवा का इस्तेमाल किया जा रहा है जिसमें पहले से ही बैकअप सेवा मौजूद है, तो: कुंजी मैनेज करने वाली सेवा से बैकअप कुंजी हटाएं. ज़्यादा जानकारी के लिए, कुंजी मैनेज करने वाली सेवा से बैकअप हटाना पर जाएं. इसके बाद, कुंजी मैनेज करने वाली नई सेवा जोड़ें और मौजूदा सेवाओं को बैकअप के तौर पर चुनें.

    अहम जानकारी: अगर आपको हटाए जाने वाले बैकअप से कॉन्टेंट माइग्रेट करना है, तो माइग्रेशन पूरा होने तक इंतज़ार करें. बैकअप हटाने पर, माइग्रेशन की प्रोसेस तुरंत रुक जाती है. ज़्यादा जानकारी के लिए, इस पेज पर बाद में चौथा चरण: देखें कि माइग्रेशन पूरा हो गया है या नहीं पर जाएं.

दूसरा चरण: कुंजी मैनेज करने वाली मौजूदा सेवा की जगह नई सेवा का इस्तेमाल करना

कुंजी मैनेज करने वाली नई सेवा जोड़ने के बाद, उसे संगठन की इकाइयों या ग्रुप के लिए असाइन करें. ज़्यादा जानकारी के लिए, ऊपर दिया गया क्लाइंट-साइड एन्क्रिप्शन के लिए कुंजी मैनेज करने वाली सेवा असाइन करना लेख पढ़ें.

तीसरा चरण: माइग्रेशन की सुविधा चालू करना

संगठन की किसी इकाई या ग्रुप के लिए, कुंजी मैनेज करने वाली नई सेवा चुनने के बाद, माइग्रेशन की सुविधा चालू की जा सकती है. ऐसा तब किया जा सकता है, जब ऐसी कोई सेवा हो जिसका कॉन्टेंट पहले से एन्क्रिप्ट (सुरक्षित) किया गया हो और उसे माइग्रेट किया जा सकता हो.

माइग्रेशन में लगने वाला समय इस बात पर निर्भर करता है कि कुंजी मैनेज करने वाली मौजूदा सेवा का इस्तेमाल करके, कितना कॉन्टेंट एन्क्रिप्ट (सुरक्षित) किया गया था. साथ ही, यह इस बात पर भी निर्भर करता है कि कुंजी मैनेज करने वाली नई सेवा, डेटा को कितनी तेज़ी से प्रोसेस करती है. कॉन्टेंट माइग्रेशन की प्रोसेस शुरू होने में कुछ घंटों से लेकर कुछ दिन तक लग सकते हैं.

यह टास्क पूरा करने के लिए, आपको सुपर एडमिन के तौर पर साइन इन करना होगा.

  1. Google Admin console में, मेन्यू इसके बाद डेटा इसके बाद अनुपालन इसके बाद क्लाइंट-साइड एन्क्रिप्शन पर जाएं.

    यह टास्क पूरा करने के लिए, आपको सुपर एडमिन के तौर पर साइन इन करना होगा.

  2. कुंजी मैनेज करने वाली बाहरी सेवा की मदद से डेटा एन्क्रिप्ट (सुरक्षित) करने की सुविधा में जाकर, असाइन करें पर क्लिक करें.
  3. बाईं ओर मौजूद पैनल में, वह संगठन की इकाई या ग्रुप चुनें जिसके लिए आपको कॉन्टेंट को नई कुंजी सेवा पर माइग्रेट करना है.
  4. माइग्रेशन में जाकर, चालू करें पर क्लिक करें.

    ध्यान दें: यह विकल्प सिर्फ़ तब उपलब्ध होता है, जब माइग्रेशन में ऐसी सेवाएं शामिल हों जिनमें पहले से एन्क्रिप्ट (सुरक्षित) किया गया कॉन्टेंट मौजूद हो.

  5. पुष्टि करने वाले मैसेज में, उस बॉक्स पर सही का निशान लगाएं जिसमें यह लिखा हो कि माइग्रेशन शुरू होने के बाद, उसे पहले जैसा नहीं किया जा सकता. इसके बाद सेव करें पर क्लिक करें.

माइग्रेशन की प्रोसेस शुरू हो जाती है.

चौथा चरण: देखें कि माइग्रेशन पूरा हो गया है या नहीं

यह टास्क पूरा करने के लिए, आपको सुपर एडमिन के तौर पर साइन इन करना होगा.

  1. Google Admin console में, मेन्यू इसके बाद डेटा इसके बाद अनुपालन इसके बाद क्लाइंट-साइड एन्क्रिप्शन पर जाएं.

    यह टास्क पूरा करने के लिए, आपको सुपर एडमिन के तौर पर साइन इन करना होगा.

  2. कुंजी मैनेज करने वाली बाहरी सेवा की मदद से डेटा एन्क्रिप्ट (सुरक्षित) करने की सुविधा में जाकर, असाइन करें पर क्लिक करें.
  3. बाईं ओर मौजूद पैनल में, वह संगठन इकाई या ग्रुप चुनें जिसके लिए आपको एन्क्रिप्ट (सुरक्षित) किए गए कॉन्टेंट को नई कुंजी मैनेज करने वाली सेवा पर माइग्रेट करना है.
  4. माइग्रेशन में जाकर, देखें कि पिछली सेवा (अब बैकअप सेवा) का इस्तेमाल करके कितने आइटम एन्क्रिप्ट (सुरक्षित) किए गए हैं.

    अगर कोई भी आइटम एन्क्रिप्ट (सुरक्षित) नहीं किया गया है, तो माइग्रेशन पूरा हो जाएगा.

पाँचवाँ चरण: (ज़रूरी नहीं) बैकअप कुंजी मैनेज करने वाली सेवा हटाना

अगर कॉन्टेंट माइग्रेशन पूरा हो गया है और आपको बैकअप सेवा का इस्तेमाल नहीं करना है, तो इसे कुंजी मैनेज करने वाली नई सेवा से हटाया जा सकता है. ज़्यादा जानकारी के लिए, कुंजी मैनेज करने वाली सेवा से बैकअप हटाना पर जाएं.

हार्डवेयर कुंजियों की मदद से, डेटा एन्क्रिप्ट (सुरक्षित) करने की सुविधा चालू करना (सिर्फ़ Gmail के लिए)

अगर आपने अपने संगठन के सभी या कुछ उपयोगकर्ताओं के लिए, हार्डवेयर कुंजी की मदद से डेटा एन्क्रिप्ट (सुरक्षित) करने की सुविधा सेट अप की है, तो आपको इसे उन उपयोगकर्ताओं को असाइन करना होगा.

अगर Gmail के लिए एन्क्रिप्शन कुंजी मैनेज करने वाली सेवा का भी इस्तेमाल किया जा रहा है, तो: एन्क्रिप्शन कुंजी मैनेज करने वाली सेवा का इस्तेमाल करने वाले उपयोगकर्ताओं को हार्डवेयर कुंजी एन्क्रिप्शन की सुविधा असाइन की जा सकती है. हालांकि, वे उपयोगकर्ता Gmail को एन्क्रिप्ट (सुरक्षित) करने के लिए, एन्क्रिप्शन कुंजी मैनेज करने वाली सेवा या हार्डवेयर कुंजी में से किसी एक का इस्तेमाल करेंगे. यह इस बात पर निर्भर करेगा कि आपने Gmail के लिए उनकी एन्क्रिप्शन कुंजियां कैसे सेट अप की हैं. ज़्यादा जानकारी के लिए, सिर्फ़ Gmail के लिए: क्लाइंट-साइड एन्क्रिप्शन के लिए S/MIME सर्टिफ़िकेट कॉन्फ़िगर करना लेख पढ़ें.

यह टास्क पूरा करने के लिए, आपको सुपर एडमिन के तौर पर साइन इन करना होगा.

  1. Google Admin console में, मेन्यू इसके बाद डेटा इसके बाद अनुपालन इसके बाद क्लाइंट-साइड एन्क्रिप्शन पर जाएं.

    यह टास्क पूरा करने के लिए, आपको सुपर एडमिन के तौर पर साइन इन करना होगा.

  2. हार्डवेयर कुंजियां इस्तेमाल करके डेटा एन्क्रिप्ट (सुरक्षित) करने की सुविधा में जाकर, असाइन करें पर क्लिक करें.
  3. बाएं पैनल में, संगठन की वह इकाई या ग्रुप चुनें जिसके लिए आपको कुंजी मैनेज करने वाली किसी दूसरी सेवा का इस्तेमाल करना है.
  4. हार्डवेयर कुंजी की मदद से, डेटा एन्क्रिप्ट (सुरक्षित) करने की सुविधा पर क्लिक करें और बॉक्स पर सही का निशान लगाएं.
  5. अगर आपने संगठन की कोई उप-इकाई चुनी है, तो बदलें पर क्लिक करें. इससे, संगठन की पैरंट इकाई के लिए सीएसई की सेटिंग में बदलाव होने पर भी आपकी सेटिंग बनी रहेगी.
  6. अगर संगठन की इकाई के लिए, बदला गया पहले से सेट है, तो कोई विकल्प चुनें:
    • इनहेरिट करें—इससे सीएसई की सेटिंग, पैरंट सीएसई की सेटिंग पर वापस आ जाती है.
    • सेव करें—इससे आपकी नई सीएसई सेटिंग सेव हो जाती है. भले ही, पैरंट सेटिंग में बदलाव हो गया हो.
बदलावों को लागू होने में 24 घंटे लग सकते हैं. हालांकि, आम तौर पर इससे कम समय लगता है. ज़्यादा जानें