После добавления одной или нескольких внешних служб ключей в консоль администратора для шифрования на стороне клиента (CSE) Google Workspace необходимо назначить их организационным подразделениям или группам конфигурации. Назначение службы ключей позволяет пользователям, добавленным в список контроля доступа к ключам вашей внешней службы, шифровать и расшифровывать контент.
Если вы настроили аппаратное шифрование ключей для Gmail CSE, вам необходимо назначить его организационным подразделениям или группам конфигурации. Для этого требуется наличие надстройки Assured Controls или Assured Controls Plus .
Пользователям, которым необходимо шифровать контент, также потребуется включить шифрование на стороне клиента (CSE). Подробности см. в разделе «Включение или отключение шифрования на стороне клиента» .
Прежде чем начать
Убедитесь, что вы выполнили следующие шаги.
Убедитесь, что вы назначили службу ключей по умолчанию.
Если вы хотите использовать несколько ключевых сервисов для разных пользователей
Если вы хотите перейти на новую услугу по предоставлению ключей.
Назначьте шифрование с помощью службы ключей.
Назначьте службу ключей по умолчанию для вашей организации.
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .В консоли администратора Google перейдите в меню.
Данные
Согласие
Шифрование на стороне клиента .
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
- В разделе «Шифрование с использованием внешней службы ключей» нажмите «Назначить» .
- В левой панели выберите либо «Все пользователи в этой учетной записи» , либо организационное подразделение верхнего уровня.
- Нажмите «Сервис ключей» и выберите свой сервис ключей в раскрывающемся списке.
- Нажмите « Сохранить ».
Назначьте разные ключевые службы для конкретных пользователей.
Если вы добавили несколько ключевых служб в консоль администратора, вы можете выбрать другую ключевую службу, отличную от текущей службы, назначенной организационному подразделению или группе.
Важно: если контент уже зашифрован с помощью текущей службы ключей, рекомендуется перенести зашифрованный контент на новую службу, чтобы обеспечить доступность существующего зашифрованного контента на стороне клиента. Подробности см. в разделе «Перенос зашифрованного контента на новую службу ключей» далее на этой странице.
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .В консоли администратора Google перейдите в меню.
Данные
Согласие
Шифрование на стороне клиента .
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
- В разделе «Шифрование с использованием внешней службы ключей» нажмите «Назначить» .
- В левой панели выберите организационное подразделение или группу, для которой вы хотите использовать другую службу ключей.
- Нажмите «Сервис ключей» и выберите новый сервис ключей в раскрывающемся списке.
- Нажмите «Переопределить» , чтобы сохранить настройки при изменении параметров CSE для родительского организационного подразделения.
- Если для организационной единицы уже установлен параметр «Переопределено» , выберите один из следующих вариантов:
- Наследование — Возвращает те же настройки CSE, что и у родительского элемента.
- Сохранить — Сохраняет новые настройки CSE (даже если изменились родительские настройки).
Перенесите зашифрованный контент в новую службу ключей.
Если вы больше не хотите использовать существующую службу ключей для шифрования контента для организационного подразделения или группы, вы можете добавить новую службу, выбрать службу резервного копирования и перенести зашифрованный контент в новую службу.
Перед началом миграции
Какие сервисы поддерживаются?
В настоящее время вы можете перенести зашифрованный контент для следующих сервисов:
- Google Диск и Документы
- Календарь Google
Для переключения на другую службу ключей для Gmail CSE: необходимо использовать API Gmail для загрузки нового S/MIME-сертификата с ключами, упакованными в новую службу ключей, для каждого пользователя. Подробности см. только в Gmail: Настройка S/MIME-сертификатов для шифрования на стороне клиента .
Google не расшифровывает контент.
В процессе миграции Google никогда не расшифровывает контент. Новый сервис извлекает слой шифрования из предыдущего сервиса и заменяет его новым слоем шифрования.
Для пользователей это никак не повлияет.
В процессе миграции пользователи могут продолжать шифровать или просматривать зашифрованный контент без перерывов.
Информация о миграционном статусе недоступна.
Информация о ходе работ и уведомления о любых проблемах недоступны.
Сначала протестируйте миграцию на небольшом количестве пользователей.
Рекомендуется сначала попробовать выполнить миграцию на небольшом количестве пользователей, прежде чем запускать полную миграцию всего контента пользователей. Назначьте новый ключ только одному организационному подразделению или группе и включите миграцию для этих пользователей, чтобы определить, возникнут ли какие-либо проблемы с миграцией.
После тестовой миграции попробуйте зашифровать новый контент с помощью новой службы ключей и проверьте, можете ли вы по-прежнему получать доступ к ранее зашифрованному контенту и редактировать его.
Сокращение времени миграции
Чтобы свести к минимуму количество новых элементов, зашифрованных с помощью текущей службы ключей, начинайте полную миграцию в непиковые периоды.
Шаг 1: Добавьте новую службу ключей в консоль администратора.
- Если в настоящее время вы используете только одну службу ключей шифрования: добавьте новую службу ключей и выберите текущую службу в качестве резервной. Для получения подробной информации перейдите в раздел «Добавление внешней службы ключей» .
- Если в используемой вами службе ключей уже есть служба резервного копирования: удалите резервную копию из этой службы ключей. Подробности см. в разделе «Удаление резервной копии из службы ключей» . Затем добавьте новую службу ключей и выберите текущие службы в качестве резервных.
Важно: Если вы в данный момент переносите контент из резервной копии, которую необходимо удалить, дождитесь завершения миграции. После удаления резервной копии любая миграция немедленно прекратится. Подробности см. в шаге 4: Проверка завершения миграции на этой странице.
Шаг 2: Замените текущую службу ключей новой службой ключей.
Шаг 3: Включите миграцию
После выбора новой службы ключей для организационного подразделения или группы вы можете включить миграцию, если существуют службы с ранее зашифрованным содержимым, которые можно перенести.
Время миграции варьируется в зависимости от объема зашифрованного контента с использованием текущего сервиса ключей и скорости обработки нового сервиса ключей. Для отслеживания прогресса миграции контента может потребоваться от нескольких часов до нескольких дней.
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .В консоли администратора Google перейдите в меню.
Данные
Согласие
Шифрование на стороне клиента .
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
- В разделе «Шифрование с использованием внешней службы ключей» нажмите «Назначить» .
- В левой панели выберите организационное подразделение или группу, для которой вы хотите перенести контент в новую службу ключей.
- В разделе «Миграция» нажмите «Вкл.» .
Примечание: Эта опция доступна только в том случае, если в разделе «Миграция» указаны сервисы с ранее зашифрованным содержимым.
- В подтверждающем сообщении поставьте галочку, чтобы подтвердить, что вы понимаете, что миграцию нельзя отменить после ее начала. Затем нажмите «Сохранить» .
Процесс миграции начинается.
Шаг 4: Проверьте, завершена ли миграция.
В консоли администратора Google перейдите в меню.
Данные
Согласие
Шифрование на стороне клиента .
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
- В разделе «Шифрование с использованием внешней службы ключей» нажмите «Назначить» .
- В левой панели выберите организационное подразделение или группу, для которой вы хотите перенести зашифрованное содержимое в новую службу ключей.
- В разделе «Миграция» проверьте количество элементов, зашифрованных с помощью предыдущей службы (теперь это служба резервного копирования).
Если зашифрованных элементов нет, миграция завершена.
Шаг 5: (Необязательно) Удалите службу резервного копирования ключей.
Если миграция контента завершена, и вы больше не хотите использовать службу резервного копирования, вы можете удалить ее из новой службы ключей. Подробности см. в разделе «Удаление резервной копии из службы ключей» .
Назначить шифрование с помощью аппаратных ключей (только для Gmail)
Если вы настроили аппаратное шифрование с помощью ключей для всех или некоторых пользователей в вашей организации для шифрования Gmail, вам необходимо назначить эту функцию этим пользователям.
Если вы также используете службу ключей шифрования для Gmail: вы можете назначить аппаратное шифрование с помощью ключа тем же пользователям, что и службу ключей; однако эти пользователи будут шифровать Gmail, используя либо службу ключей, либо аппаратный ключ, в зависимости от того, как вы настроили их ключи шифрования для Gmail. Для получения подробной информации перейдите в раздел «Только для Gmail»: Настройка сертификатов S/MIME для шифрования на стороне клиента .
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .В консоли администратора Google перейдите в меню.
Данные
Согласие
Шифрование на стороне клиента .
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
- В разделе «Шифрование с помощью аппаратных ключей» нажмите «Назначить» .
- В левой панели выберите организационное подразделение или группу, для которой вы хотите использовать другую службу ключей.
- Нажмите «Аппаратное шифрование с помощью ключа» и установите флажок.
- Если вы выбрали дочернее организационное подразделение, нажмите «Переопределить» , чтобы сохранить настройки при изменении параметров CSE для родительского организационного подразделения.
- Если для организационной единицы уже установлен параметр «Переопределено» , выберите один из следующих вариантов:
- Наследование — Возвращает те же настройки CSE, что и у родительского элемента.
- Сохранить — Сохраняет новые настройки CSE (даже если изменились родительские настройки).