Asigna la encriptación del cliente a los usuarios

Después de agregar uno o más servicios de claves externos a la Consola del administrador para la encriptación del cliente (CSE) de Google Workspace, debes asignarlos a unidades organizativas o grupos de configuración. Asignar un servicio de claves permite que los usuarios que agregaste a la lista de control de acceso de claves de tu servicio externo encripten y desencripten contenido.

Si configuraste la encriptación de claves de hardware para la CSE de Gmail, debes asignarla a unidades organizativas o grupos de configuración. Requiere tener el complemento de Assured Controls o Assured Controls Plus.

Para los usuarios que necesitan encriptar contenido, también deberás activar la CSE. Para obtener más información, consulta Cómo activar o desactivar la encriptación del cliente.

Antes de comenzar

Asegúrate de asignar un servicio de claves predeterminado

Para garantizar que los servicios de CSE funcionen correctamente en toda tu organización, deberás establecer un servicio de claves externo como el servicio predeterminado para toda tu organización. Por ejemplo, si la CSE está activada para un grupo, pero este usa una unidad compartida en una unidad organizativa para la que la CSE está desactivada, se usará el servicio de claves predeterminado.
Cuando agregues tu primer servicio clave a la Consola del administrador, se te pedirá que asignes un servicio predeterminado en la unidad organizacional de nivel superior. Si aún no asignaste el valor predeterminado, asegúrate de hacerlo antes de activar el CSE para los usuarios. Para obtener instrucciones, consulta Asigna el servicio de claves predeterminado para tu organización más adelante en esta página.

Si quieres usar varios servicios de claves para diferentes usuarios

Puedes asignar un servicio de claves diferente al servicio predeterminado para una unidad organizativa o un grupo. Por ejemplo, es posible que desees usar diferentes servicios de claves para diferentes ubicaciones de tu organización.
Si el contenido ya está encriptado con el servicio de claves actual, lo mejor es migrar el contenido encriptado al nuevo servicio. Ve a Si quieres cambiar a un nuevo servicio de claves más adelante en esta página.

Si quieres cambiar a un servicio de claves nuevo

Si ya asignaste un servicio de claves para una unidad organizativa o un grupo, puedes cambiar a otro servicio. Si el servicio de claves actual ya encriptó contenido, la práctica recomendada es migrar el contenido al nuevo servicio. Para obtener más detalles, consulta Migra contenido encriptado a un nuevo servicio de claves más adelante en esta página.
Si cambias a un nuevo servicio de claves, pero no migras el contenido, todo el contenido encriptado existente permanecerá encriptado solo por el servicio actual, no por el nuevo servicio que agregaste. Esto significa que deberás seguir usando el servicio actual para mantener accesible el contenido encriptado anteriormente.

Asigna la encriptación con un servicio de claves

Asigna el servicio de claves predeterminado para tu organización

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Datosy luegoCumplimientoy luegoEncriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Encriptación con servicio de claves externo, haz clic en Asignar.
  3. En el panel izquierdo, selecciona Todos los usuarios de esta cuenta o la unidad organizativa de nivel superior.
  4. Haz clic en Servicio de claves y selecciona tu servicio de claves en la lista desplegable.
  5. Haz clic en Guardar.

Asigna un servicio de claves diferente para usuarios específicos

Si agregaste varios servicios de claves a la Consola del administrador, puedes seleccionar uno diferente al que está asignado actualmente a una unidad organizativa o a un grupo.

Importante: Si el contenido ya está encriptado con el servicio de claves actual, lo mejor es migrar el contenido encriptado al nuevo servicio para garantizar que se pueda seguir accediendo al contenido encriptado existente del cliente. Para obtener más detalles, consulta Migra contenido encriptado a un nuevo servicio de claves más adelante en esta página.

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Datosy luegoCumplimientoy luegoEncriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Encriptación con servicio de claves externo, haz clic en Asignar.
  3. En el panel izquierdo, selecciona una unidad organizativa o un grupo para el que quieras usar un servicio de claves diferente.
  4. Haz clic en Servicio de claves y selecciona el nuevo servicio de claves en la lista desplegable.
  5. Si se cambia la configuración del CSE para la unidad organizativa principal, haz clic en Anular para conservar la configuración.
  6. Si la opción Anulada ya está establecida para la unidad organizativa, elige una de estas opciones:
    • Heredar: Revierte la configuración del CSE al mismo parámetro que su elemento superior.
    • Guardar: Guarda la nueva configuración del CSE (incluso si cambia la configuración principal).
Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información

Migra contenido encriptado a un nuevo servicio de claves

Si ya no quieres usar tu servicio de claves existente para encriptar contenido de una unidad organizativa o un grupo, puedes agregar un servicio nuevo, seleccionar el servicio de copia de seguridad y migrar el contenido encriptado al servicio nuevo.

Antes de comenzar la migración

Servicios compatibles

Actualmente, puedes migrar contenido encriptado para los siguientes servicios:

  • Google Drive y Documentos
  • Calendario de Google

Para cambiar a otro servicio de claves para la CSE de Gmail, debes usar la API de Gmail para subir un nuevo certificado S/MIME con claves encapsuladas por el nuevo servicio de claves para cada usuario. Para obtener más información, consulta Solo Gmail: Configura certificados S/MIME para la encriptación del cliente.

Google no desencripta el contenido

Durante la migración, Google nunca desencripta el contenido. El nuevo servicio quita la capa de encriptación del servicio anterior y la reemplaza por una nueva.

Los usuarios no se verán afectados

Durante la migración, los usuarios pueden seguir encriptando o viendo contenido encriptado sin interrupciones.

El estado de migración no está disponible

No están disponibles el estado del progreso ni las notificaciones de problemas.

Primero, prueba la migración en una pequeña cantidad de usuarios

Se recomienda probar la migración en una pequeña cantidad de usuarios antes de ejecutar una migración completa del contenido de todos los usuarios. Asigna la clave nueva a solo una unidad organizativa o un grupo, y activa la migración para esos usuarios y determinar si hay problemas de migración.

Después de la migración de prueba, intenta encriptar contenido nuevo con el nuevo servicio de claves y verifica si aún puedes acceder al contenido encriptado previamente y editarlo.

Reduce el tiempo de migración

Para minimizar la cantidad de elementos nuevos encriptados con el servicio de claves actual, inicia la migración completa durante los períodos de menor actividad.

Paso 1: Agrega el nuevo servicio de claves a la Consola del administrador

  • Si actualmente usas solo un servicio de claves de encriptación, agrega el nuevo servicio de claves y elige el servicio actual como copia de seguridad. Para obtener más información, consulta Cómo agregar un servicio de claves externo.
  • Si algún servicio de claves que usas actualmente ya tiene un servicio de copia de seguridad, quita la copia de seguridad del servicio de claves. Para obtener más información, consulta Cómo quitar la copia de seguridad de un servicio de claves. Luego, agrega el nuevo servicio de claves y selecciona los servicios actuales como copia de seguridad.

    Importante: Si actualmente estás migrando contenido desde la copia de seguridad que debes quitar, espera a que se complete la migración. Una vez que quites la copia de seguridad, se detendrá de inmediato cualquier migración. Para obtener más información, consulta Paso 4: Verifica si se completó la migración más adelante en esta página.

Paso 2: Reemplaza el servicio de claves actual por el nuevo

Después de agregar el nuevo servicio de claves, asígnalo a unidades organizativas o grupos. Para obtener más detalles, consulta Asigna un servicio de claves para la encriptación del cliente más arriba.

Paso 3: Activa la migración

Después de seleccionar el nuevo servicio de claves para una unidad organizativa o un grupo, puedes activar la migración si hay servicios con contenido previamente encriptado que se pueda migrar.

El tiempo de migración varía según la cantidad de contenido que se encriptó con el servicio de claves actual y la velocidad de procesamiento del nuevo servicio de claves. La migración de contenido puede tardar entre unas horas y varios días en progresar.

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Datosy luegoCumplimientoy luegoEncriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Encriptación con servicio de claves externo, haz clic en Asignar.
  3. En el panel izquierdo, selecciona la unidad organizativa o el grupo para los que deseas migrar contenido a un nuevo servicio de claves.
  4. En Migración, haz clic en Activado.

    Nota: Esta opción solo está disponible si hay servicios con contenido encriptado previamente que se indican en Migración.

  5. En el mensaje de confirmación, marca la casilla para indicar que comprendes que la migración no se puede revertir una vez que comience. Luego, haz clic en Guardar.

Comenzará el proceso de migración.

Paso 4: Comprueba si se completó la migración

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Datosy luegoCumplimientoy luegoEncriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Encriptación con servicio de claves externo, haz clic en Asignar.
  3. En el panel izquierdo, selecciona la unidad organizativa o el grupo para el que deseas migrar el contenido encriptado a un nuevo servicio de claves.
  4. En Migración, verifica la cantidad de elementos encriptados con el servicio anterior (ahora el servicio de copia de seguridad).

    Si no hay elementos encriptados, la migración se completó.

Paso 5: (Opcional) Quita el servicio de claves con copia de seguridad

Si se completó la migración de contenido y ya no quieres usar el servicio de copia de seguridad, puedes quitarlo del servicio de claves nuevo. Para obtener más información, consulta Cómo quitar la copia de seguridad de un servicio de claves.

Asigna la encriptación con claves de hardware (solo para Gmail)

Si configuraste la encriptación con clave de hardware para todos o algunos usuarios de tu organización para encriptar Gmail, debes asignarla a esos usuarios.

Si también usas un servicio de claves de encriptación para Gmail, puedes asignar la encriptación con claves de hardware a los mismos usuarios que el servicio de claves. Sin embargo, esos usuarios encriptarán Gmail con el servicio de claves o una clave de hardware, según cómo configures sus claves de encriptación para Gmail. Para obtener más información, consulta Solo Gmail: Configura certificados S/MIME para la encriptación del cliente.

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Datosy luegoCumplimientoy luegoEncriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Encriptación con claves de hardware, haz clic en Asignar.
  3. En el panel izquierdo, selecciona una unidad organizativa o un grupo para el que quieras usar un servicio de claves diferente.
  4. Haz clic en Encriptación de claves de hardware y marca la casilla.
  5. Si seleccionaste una unidad organizativa secundaria, haz clic en Anular para conservar el parámetro de configuración si se cambian los parámetros de configuración del CSE de la unidad organizativa principal.
  6. Si la opción Anulada ya está establecida para la unidad organizativa, elige una de estas opciones:
    • Heredar: Revierte la configuración del CSE al mismo parámetro que su elemento superior.
    • Guardar: Guarda la nueva configuración del CSE (incluso si cambia la configuración principal).
Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información