Przypisywanie szyfrowania po stronie klienta do użytkowników

Po dodaniu do konsoli administracyjnej co najmniej 1 zewnętrznej usługi kluczy na potrzeby szyfrowania po stronie klienta w Google Workspace musisz przypisać je do jednostek organizacyjnych lub grup konfiguracji. Przypisanie usługi kluczy umożliwia użytkownikom dodanym do listy kontroli dostępu do kluczy usługi zewnętrznej szyfrowanie i odszyfrowywanie treści.

Jeśli masz skonfigurowane szyfrowanie za pomocą klucza sprzętowego na potrzeby szyfrowania po stronie klienta w Gmailu, musisz je przypisać do jednostek organizacyjnych lub grup konfiguracji. Wymaga to dodatku Bezpieczne ustawienia lub Bezpieczne ustawienia Plus.

W przypadku użytkowników, którzy chcą szyfrować treść, musisz także włączyć szyfrowanie po stronie klienta. Więcej informacji znajdziesz w artykule Włączanie i wyłączanie szyfrowania po stronie klienta.

Zanim zaczniesz

Przypisywanie domyślnej usługi kluczy

Aby usługi szyfrowania po stronie klienta działały prawidłowo w całej organizacji, musisz ustawić zewnętrzną usługę kluczy jako usługę domyślną w całej organizacji. Jeśli na przykład szyfrowanie po stronie klienta jest włączone dla grupy, ale jej użytkownicy korzystają z dysku współdzielonego w jednostce organizacyjnej, w której takie szyfrowanie jest wyłączone, używana jest domyślna usługa kluczy.
Gdy w konsoli administracyjnej dodasz pierwszą usługę kluczy, pojawi się prośba o przypisanie usługi domyślnej do jednostki organizacyjnej najwyższego poziomu. Przypisz ją, zanim włączysz szyfrowanie po stronie klienta dla użytkowników. Instrukcje znajdziesz w sekcji Przypisywanie domyślnej usługi kluczy do organizacji w dalszej części tej strony.

Jeśli chcesz używać kilku usług kluczy dla różnych użytkowników

W jednostce organizacyjnej lub grupie możesz przypisać inną usługę kluczy niż domyślna. Możesz na przykład używać różnych usług kluczy dla poszczególnych lokalizacji w organizacji.
Jeśli treść jest już zaszyfrowana przy użyciu bieżącej usługi kluczy, najlepiej przenieś tę treść do nowej usługi. Więcej informacji znajdziesz w sekcji Jeśli chcesz przejść na nową usługę kluczy w dalszej części tej strony.

Jeśli chcesz przejść na nową usługę kluczy

Jeśli do jednostki organizacyjnej lub grupy została wcześniej przypisana usługa kluczy, możesz przejść na inną usługę. Jeśli treść jest już zaszyfrowana za pomocą bieżącej usługi kluczy, sprawdzoną metodą jest przeniesienie treści do nowej usługi. Więcej informacji znajdziesz w sekcji Przenoszenie zaszyfrowanej treści do nowej usługi kluczy w dalszej części tej strony.
Jeśli przełączysz się na nową usługę kluczy, ale nie przeniesiesz treści: wszystkie zaszyfrowane treści pozostaną zaszyfrowane tylko przez bieżącą usługę, a nie przez nową. Aby nadal mieć dostęp do wcześniej zaszyfrowanych treści, musisz wciąż korzystać z bieżącej usługi.

Przypisywanie szyfrowania przy użyciu usługi kluczy

Przypisywanie domyślnej usługi kluczy do organizacji

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  1. W konsoli administracyjnej Google otwórz Menu a potem Danea potemZgodność z przepisamia potemSzyfrowanie po stronie klienta.

    Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  2. W sekcji Szyfrowanie przy użyciu zewnętrznej usługi kluczy kliknij Przypisz.
  3. W panelu po lewej stronie wybierz Wszyscy użytkownicy na tym koncie lub jednostkę organizacyjną najwyższego poziomu.
  4. Kliknij Usługa kluczy i wybierz usługę z listy.
  5. Kliknij Zapisz.

Przypisywanie innej usługi kluczy do konkretnych użytkowników

Jeśli w konsoli administracyjnej dodano kilka usług kluczy, możesz wybrać inną usługę kluczy niż bieżąca usługa przypisana do jednostki organizacyjnej lub grupy.

Ważne: jeśli treść jest już zaszyfrowana przy użyciu bieżącej usługi kluczy, najlepiej przenieś ją do nowej usługi, aby zapewnić dostępność treści zaszyfrowanej po stronie klienta. Więcej informacji znajdziesz w sekcji Przenoszenie zaszyfrowanej treści do nowej usługi kluczy w dalszej części tej strony.

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  1. W konsoli administracyjnej Google otwórz Menu a potem Danea potemZgodność z przepisamia potemSzyfrowanie po stronie klienta.

    Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  2. W sekcji Szyfrowanie przy użyciu zewnętrznej usługi kluczy kliknij Przypisz.
  3. W lewym panelu wybierz jednostkę organizacyjną lub grupę, w której chcesz używać innej usługi kluczy.
  4. Kliknij Usługa kluczy i wybierz nową usługę z listy.
  5. Kliknij Zastąp, aby wybrane ustawienie szyfrowania po stronie klienta się nie zmieniało, nawet jeśli zostanie zmodyfikowane w nadrzędnej jednostce organizacyjnej.
  6. Jeśli jednostka organizacyjna ma już ustawienie Zastąpione, masz do wyboru te opcje:
    • Odziedzicz – powoduje, że ustawienie szyfrowania po stronie klienta jest przywracane do tej samej wartości co ustawienie jednostki nadrzędnej.
    • Zapisz – powoduje, że nowe ustawienie szyfrowania po stronie klienta jest zapisywane, nawet jeśli ustawienie jednostki nadrzędnej ulegnie zmianie.
Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji

Przenoszenie zaszyfrowanej treści do nowej usługi kluczy

Jeśli nie chcesz już korzystać z istniejącej usługi kluczy do szyfrowania treści w jednostce organizacyjnej lub grupie, możesz dodać nową usługę, wybrać usługę zapasową i przenieść zaszyfrowaną treść do nowej usługi.

Zanim rozpoczniesz migrację

Które usługi są obsługiwane

Obecnie możesz przenosić zaszyfrowaną treść w przypadku tych usług:

  • Dysk i Dokumenty Google
  • Kalendarz Google

Aby przejść na inną usługę kluczy do szyfrowania po stronie klienta w Gmailu: musisz dla każdego użytkownika przesłać za pomocą interfejsu Gmail API nowy certyfikat S/MIME razem z kluczami od nowej usługi kluczy. Więcej informacji znajdziesz w artykule o konfigurowaniu certyfikatów S/MIME na potrzeby szyfrowania po stronie klienta (tylko w Gmailu).

Google nie odszyfrowuje treści

Podczas migracji Google nigdy nie odszyfrowuje treści. Nowa usługa rozpakowuje warstwę szyfrowania z poprzedniej usługi i zastępuje ją nową warstwą szyfrowania.

Nie ma to wpływu na użytkowników

Podczas migracji użytkownicy mogą nadal szyfrować lub wyświetlać zaszyfrowane treści bez zakłóceń.

Stan migracji jest niedostępny

Informacje o postępach i powiadomienia o problemach nie są dostępne.

Najpierw wypróbuj migrację na małej liczbie użytkowników

Najlepiej najpierw wypróbować migrację na małej liczbie użytkowników, a następnie przeprowadzić pełną migrację treści wszystkich użytkowników. Przypisz nowy klucz tylko do jednej jednostki organizacyjnej lub grupy i włącz migrację dla tych użytkowników, aby sprawdzić, czy nie występują problemy.

Po zakończeniu migracji testowej zaszyfruj nową treść przy użyciu nowej usługi kluczy i sprawdź, czy nadal masz dostęp do treści wcześniej zaszyfrowanej i czy możesz ją edytować.

Skrócenie czasu migracji

Aby zminimalizować liczbę nowych elementów szyfrowanych za pomocą bieżącej usługi kluczy, rozpocznij pełną migrację poza godzinami szczytu.

Krok 1. Dodaj nową usługę kluczy do konsoli administracyjnej

  • Jeśli korzystasz tylko z 1 usługi kluczy szyfrowania: dodaj nową usługę kluczy i ustaw bieżącą usługę jako zapasową. Więcej informacji znajdziesz w artykule Dodawanie zewnętrznej usługi kluczy.
  • Jeśli usługa kluczy, z której aktualnie korzystasz, ma już usługę zapasową: usuń usługę zapasową z usługi kluczy. Więcej informacji znajdziesz w artykule Usuwanie kopii zapasowej z usługi kluczy. Następnie dodaj nową usługę kluczy i wybierz bieżące usługi jako zapasowe.

    Ważne: jeśli przenosisz treść z usługi zapasowej, którą musisz usunąć, poczekaj na zakończenie migracji. Gdy usuniesz kopię zapasową, migracja zostanie natychmiast zatrzymana. Szczegółowe informacje znajdziesz w sekcji Krok 4. Sprawdź, czy migracja została zakończona w dalszej części tej strony.

Krok 2. Zastąp bieżącą usługę kluczy nową usługą

Po dodaniu nowej usługi kluczy przypisz ją do jednostek organizacyjnych lub grup. Więcej informacji znajdziesz w artykule Przypisywanie usługi kluczy na potrzeby szyfrowania po stronie klienta.

Krok 3. Włącz migrację

Po wybraniu nowej usługi kluczy dla jednostki organizacyjnej lub grupy możesz włączyć migrację, jeśli istnieją usługi z wcześniej zaszyfrowanymi treściami, które można przenieść.

Czas migracji zależy od tego, ile treści zostało zaszyfrowanych przy użyciu obecnej usługi kluczy, oraz od szybkości przetwarzania nowej usługi kluczy. Przenoszenie danych może potrwać od kilku godzin do kilku dni.

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  1. W konsoli administracyjnej Google otwórz Menu a potem Danea potemZgodność z przepisamia potemSzyfrowanie po stronie klienta.

    Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  2. W sekcji Szyfrowanie przy użyciu zewnętrznej usługi kluczy kliknij Przypisz.
  3. W lewym panelu wybierz jednostkę organizacyjną lub grupę, której treść chcesz przenieść do nowej usługi kluczy.
  4. W sekcji Migracja kliknij Wł..

    Uwaga: ta opcja jest dostępna tylko wtedy, gdy w sekcji Migracja znajdują się usługi z treścią, która została wcześniej zaszyfrowana.

  5. W oknie potwierdzenia zaznacz pole wyboru, aby potwierdzić, że wiesz, że po rozpoczęciu migracji nie można jej cofnąć. Następnie kliknij Zapisz.

Rozpocznie się proces migracji.

Krok 4. Sprawdź, czy migracja została zakończona

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  1. W konsoli administracyjnej Google otwórz Menu a potem Danea potemZgodność z przepisamia potemSzyfrowanie po stronie klienta.

    Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  2. W sekcji Szyfrowanie przy użyciu zewnętrznej usługi kluczy kliknij Przypisz.
  3. W lewym panelu wybierz jednostkę organizacyjną lub grupę, której zaszyfrowaną treść chcesz przenieść do nowej usługi kluczy.
  4. W sekcji Migracja sprawdź liczbę elementów zaszyfrowanych za pomocą poprzedniej usługi (która teraz jest usługą zapasową).

    Jeśli nie ma żadnych zaszyfrowanych elementów, migracja się zakończyła.

Krok 5. (Opcjonalnie) Usuń zapasową usługę kluczy

Jeśli migracja treści została zakończona i nie chcesz już używać usługi zapasowej, możesz usunąć ją z nowej usługi kluczy. Więcej informacji znajdziesz w artykule Usuwanie kopii zapasowej z usługi kluczy.

Przypisywanie szyfrowania za pomocą kluczy sprzętowych (tylko Gmail)

Jeśli masz skonfigurowane szyfrowanie przy użyciu klucza sprzętowego na potrzeby szyfrowania w Gmailu dla wszystkich lub niektórych użytkowników w organizacji, musisz przypisać to działanie do tych użytkowników.

Jeśli korzystasz też z usługi kluczy szyfrowania w Gmailu: możesz przypisać szyfrowanie przy użyciu klucza sprzętowego do tych samych użytkowników jak w przypadku usługi kluczy. Jednak tacy użytkownicy będą szyfrować wiadomości w Gmailu, używając usługi kluczy lub klucza sprzętowego w zależności od tego, jak zostały skonfigurowane ich klucze szyfrowania na potrzeby Gmaila. Więcej informacji znajdziesz w artykule o konfigurowaniu certyfikatów S/MIME na potrzeby szyfrowania po stronie klienta (tylko w Gmailu).

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  1. W konsoli administracyjnej Google otwórz Menu a potem Danea potemZgodność z przepisamia potemSzyfrowanie po stronie klienta.

    Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  2. W sekcji Szyfrowanie za pomocą kluczy sprzętowych kliknij Przypisz.
  3. W lewym panelu wybierz jednostkę organizacyjną lub grupę, w której chcesz używać innej usługi kluczy.
  4. Kliknij Szyfrowanie klucza sprzętowego i zaznacz pole.
  5. Jeśli wybrano podrzędną jednostkę organizacyjną, kliknij Zastąp, aby zachować to ustawienie, nawet jeśli ustawienia szyfrowania po stronie klienta dla nadrzędnej jednostki organizacyjnej ulegną zmianie.
  6. Jeśli jednostka organizacyjna ma już ustawienie Zastąpione, masz do wyboru te opcje:
    • Odziedzicz – powoduje, że ustawienie szyfrowania po stronie klienta jest przywracane do tej samej wartości co ustawienie jednostki nadrzędnej.
    • Zapisz – powoduje, że nowe ustawienie szyfrowania po stronie klienta jest zapisywane, nawet jeśli ustawienie jednostki nadrzędnej ulegnie zmianie.
Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji