Asigna la encriptación del cliente a los usuarios

Después de agregar uno o más servicios de claves externos a la Consola del administrador para la encriptación del cliente (CSE) de Google Workspace, debes asignarlos a unidades organizativas o grupos de configuración. Si asignas un servicio de claves, los usuarios que agregaste a la lista de control de acceso de claves de tu servicio externo podrán encriptar y desencriptar contenido.

Si configuraste la encriptación con claves de hardware para la CSE de Gmail, debes asignarla a unidades organizativas o grupos de configuración. Requiere tener el complemento de Assured Controls o Assured Controls Plus.

Para los usuarios que necesiten encriptar contenido, también deberás activar la CSE. Para obtener más información, consulta Activa o desactiva la encriptación del cliente .

Antes de comenzar

Asegúrate de asignar un servicio de claves predeterminado

Para garantizar que los servicios de CSE funcionen correctamente en toda tu organización, deberás establecer un servicio de claves externo como el servicio predeterminado para toda la organización. Por ejemplo, si la CSE está activada para un grupo, pero este usa una unidad compartida en una unidad organizativa para la que está desactivada, se usará el servicio de claves predeterminado.
Cuando agregues tu primer servicio de claves a la Consola del administrador, se te pedirá que asignes un servicio predeterminado en la unidad organizativa principal. Si aún no asignaste el valor predeterminado, asegúrate de hacerlo antes de activar la CSE para los usuarios. Para obtener instrucciones, consulta Asigna el servicio de claves predeterminado para tu organización más adelante en esta página.

Si quieres usar varios servicios de claves para diferentes usuarios

Puedes asignar un servicio de claves diferente al servicio predeterminado para una unidad organizativa o un grupo. Por ejemplo, es posible que quieras usar diferentes servicios de claves para diferentes ubicaciones de tu organización.
Si el contenido ya está encriptado con el servicio de claves actual, es mejor migrar el contenido encriptado al servicio nuevo. Ve a Si quieres cambiar a un servicio de claves nuevo más adelante en esta página.

Si quieres cambiar a un servicio de claves nuevo

Si ya asignaste un servicio de claves para una unidad organizativa o un grupo, puedes cambiar a otro servicio. Si el servicio de claves actual ya encriptó contenido, es una práctica recomendada migrar el contenido al servicio nuevo. Para obtener más información, consulta Migra contenido encriptado a un servicio de claves nuevo más adelante en esta página.
Si cambias a un servicio de claves nuevo, pero no migras el contenido: Todo el contenido encriptado existente permanecerá encriptado solo por el servicio actual, no por el servicio nuevo que agregaste. Esto significa que deberás seguir usando el servicio actual para mantener accesible el contenido encriptado anteriormente.

Asigna la encriptación con un servicio de claves

Asigna el servicio de claves predeterminado para tu organización

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Datos y luego Cumplimiento y luego Encriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Encriptación con servicio de claves externo, haz clic en Asignar.
  3. En el panel izquierdo, selecciona Todos los usuarios de esta cuenta o la unidad organizativa principal.
  4. Haz clic en Servicio de claves y selecciona tu servicio de claves en la lista desplegable.
  5. Haz clic en Guardar.

Asigna un servicio de claves diferente para usuarios específicos

Si agregaste varios servicios de claves a la Consola del administrador, puedes seleccionar un servicio de claves diferente al servicio actual asignado a una unidad organizativa o un grupo.

Importante: Si el contenido ya está encriptado con el servicio de claves actual, es mejor migrar el contenido encriptado al servicio nuevo para garantizar que el contenido encriptado del cliente existente siga siendo accesible. Para obtener más información, consulta Migra contenido encriptado a un servicio de claves nuevo más adelante en esta página.

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Datos y luego Cumplimiento y luego Encriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Encriptación con servicio de claves externo, haz clic en Asignar.
  3. En el panel izquierdo, selecciona una unidad organizativa o un grupo para el que quieras usar un servicio de claves diferente.
  4. Haz clic en Servicio de claves y selecciona el nuevo servicio de claves en la lista desplegable.
  5. Si se cambian los parámetros de configuración de la CSE para la unidad organizativa superior, haz clic en Anular para conservar la configuración.
  6. Si la opción Anulada ya está establecida para la unidad organizativa, elige una de estas opciones:
    • Heredar : Revierte la configuración de la CSE al mismo ajuste que la configuración principal.
    • Guardar: Guarda la nueva configuración de la CSE (incluso si cambia la configuración principal ).
Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen ocurrir más rápido. Más información

Migra contenido encriptado a un servicio de claves nuevo

Si ya no quieres usar tu servicio de claves existente para encriptar contenido para una unidad organizativa o un grupo, puedes agregar un servicio nuevo, seleccionar el servicio de copia de seguridad y migrar el contenido encriptado al servicio nuevo.

Antes de comenzar la migración

¿Qué servicios son compatibles?

Actualmente, puedes migrar contenido encriptado para los siguientes servicios:

  • Google Drive y Documentos
  • Calendario de Google

Para cambiar a otro servicio de claves para la CSE de Gmail: Debes usar la API de Gmail para subir un certificado S/MIME nuevo con claves protegidas por el nuevo servicio de claves para cada usuario. Para obtener más información, consulta Solo Gmail: Configura certificados S/MIME para la encriptación del cliente.

Google no desencripta contenido

Durante la migración, Google nunca desencripta contenido. El servicio nuevo quita la capa de encriptación del servicio anterior y la reemplaza por una nueva.

No hay impacto para los usuarios

Durante la migración, los usuarios pueden seguir encriptando o viendo contenido encriptado sin interrupciones.

El estado de la migración no está disponible

No están disponibles el estado del progreso ni las notificaciones de problemas.

Primero, prueba la migración en una pequeña cantidad de usuarios

Es una práctica recomendada probar la migración en una pequeña cantidad de usuarios antes de ejecutar una migración completa en el contenido de todos los usuarios. Asigna la clave nueva a una sola unidad organizativa o grupo, y activa la migración para esos usuarios para determinar si hay problemas de migración.

Después de la migración de prueba, intenta encriptar contenido nuevo con el nuevo servicio de claves y verifica si aún puedes acceder al contenido encriptado anteriormente y editarlo.

Reduce el tiempo de migración

Para minimizar la cantidad de elementos nuevos encriptados con el servicio de claves actual, inicia la migración completa durante los períodos de menor actividad.

Paso 1: Agrega el nuevo servicio de claves a la Consola del administrador

  • Si actualmente usas solo un servicio de claves de encriptación: Agrega el nuevo servicio de claves como el principal y elige el servicio actual como la copia de seguridad. Para obtener más información, consulta Agrega un servicio de claves externo. Para mantener el acceso a los datos encriptados existentes, asegúrate de que el servicio de copia de seguridad esté configurado para aceptar tokens web JSON (JWTs) del nuevo servicio principal.
  • Si algún servicio de claves que usas actualmente ya tiene un servicio de copia de seguridad: Quita la copia de seguridad del servicio de claves. Para obtener más información, consulta Quita la copia de seguridad de un servicio de claves. Luego, agrega el nuevo servicio de claves y selecciona los servicios actuales como copia de seguridad.

    Importante: Si actualmente estás migrando contenido de la copia de seguridad que debes quitar, espera hasta que se complete la migración. Una vez que quites la copia de seguridad, se detendrá de inmediato cualquier migración. Para obtener más información, consulta Paso 4: Verifica si se completó la migración más adelante en esta página.

Paso 2: Reemplaza el servicio de claves actual por el nuevo

Después de agregar el nuevo servicio de claves, asígnalo a unidades organizativas o grupos. Para obtener más información, consulta Asigna un servicio de claves para la encriptación del cliente más arriba.

Paso 3: Activa la migración

Después de seleccionar el nuevo servicio de claves para una unidad organizativa o un grupo, puedes activar la migración si hay servicios con contenido encriptado anteriormente que se puedan migrar.

El tiempo de migración varía según la cantidad de contenido que se encriptó con el servicio de claves actual y la velocidad de procesamiento del nuevo servicio de claves. El progreso de la migración de contenido puede tardar desde unas horas hasta varios días.

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Datos y luego Cumplimiento y luego Encriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Encriptación con servicio de claves externo, haz clic en Asignar.
  3. En el panel izquierdo, selecciona la unidad organizativa o el grupo para el que deseas migrar contenido a un servicio de claves nuevo.
  4. En Migración, haz clic en Activado.

    Nota: Esta opción solo está disponible si hay servicios con contenido encriptado anteriormente que aparecen en Migración.

  5. En el mensaje de confirmación, marca la casilla para indicar que comprendes que la migración no se puede revertir una vez que comienza. Luego, haz clic en Guardar.

Se inicia el proceso de migración.

Paso 4: Verifica si se completó la migración

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Datos y luego Cumplimiento y luego Encriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Encriptación con servicio de claves externo, haz clic en Asignar.
  3. En el panel izquierdo, selecciona la unidad organizativa o el grupo para el que deseas migrar contenido encriptado a un servicio de claves nuevo.
  4. En Migración, verifica la cantidad de elementos encriptados con el servicio anterior (ahora el servicio de copia de seguridad).

    Si no hay elementos encriptados, se completó la migración.

Paso 5: (Opcional) Quita el servicio de claves de copia de seguridad

Si se completó la migración de contenido y ya no quieres usar el servicio de copia de seguridad, puedes quitarlo del nuevo servicio de claves. Para obtener más información, consulta Quita la copia de seguridad de un servicio de claves.

Asigna la encriptación con claves de hardware (solo Gmail)

Si configuraste la encriptación con claves de hardware para que todos o algunos usuarios de tu organización encripten Gmail, debes asignarla a esos usuarios.

Si también usas un servicio de claves de encriptación para Gmail, puedes asignar la encriptación con claves de hardware a los mismos usuarios que el servicio de claves. Sin embargo, esos usuarios encriptarán Gmail con el servicio de claves o con una clave de hardware, según cómo configures sus claves de encriptación para Gmail. Para obtener más información, consulta Solo Gmail: Configura certificados S/MIME para la encriptación del cliente.

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Datos y luego Cumplimiento y luego Encriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Encriptación con claves de hardware, haz clic en Asignar.
  3. En el panel izquierdo, selecciona una unidad organizativa o un grupo para el que quieras usar un servicio de claves diferente.
  4. Haz clic en Encriptación con claves de hardware y marca la casilla.
  5. Si seleccionaste una unidad organizativa secundaria, haz clic en Anular para conservar la configuración si se cambian los parámetros de configuración de la CSE para la unidad organizativa superior.
  6. Si la opción Anulada ya está establecida para la unidad organizativa, elige una de estas opciones:
    • Heredar : Revierte la configuración de la CSE al mismo ajuste que la configuración principal.
    • Guardar: Guarda la nueva configuración de la CSE (incluso si cambia la configuración principal ).
Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen ocurrir más rápido. Más información