Назначьте пользователям шифрование на стороне клиента.

После добавления одной или нескольких внешних служб ключей в консоль администратора для шифрования на стороне клиента (CSE) Google Workspace необходимо назначить их организационным подразделениям или группам конфигурации. Назначение службы ключей позволяет пользователям, добавленным в список контроля доступа к ключам вашей внешней службы, шифровать и расшифровывать контент.

Если вы настроили аппаратное шифрование ключей для Gmail CSE, вам необходимо назначить его организационным подразделениям или группам конфигурации. Для этого требуется наличие надстройки Assured Controls или Assured Controls Plus .

Пользователям, которым необходимо шифровать контент, также потребуется включить шифрование на стороне клиента (CSE). Подробности см. в разделе «Включение или отключение шифрования на стороне клиента» .

Прежде чем начать

Убедитесь, что вы назначили службу ключей по умолчанию.

Для обеспечения корректной работы служб CSE во всей организации необходимо установить внешнюю службу ключей в качестве службы по умолчанию для всей организации. Например, если CSE включена для группы, но она использует общий диск в подразделении, для которого CSE отключена, будет использоваться служба ключей по умолчанию.
При добавлении первой ключевой службы в консоль администратора вам будет предложено назначить службу по умолчанию для организационного подразделения верхнего уровня. Если вы еще не назначили службу по умолчанию, обязательно сделайте это перед включением CSE для пользователей. Инструкции см. в разделе «Назначение ключевой службы по умолчанию для вашей организации» далее на этой странице.

Если вы хотите использовать несколько ключевых сервисов для разных пользователей

Для организационного подразделения или группы можно назначить другую службу ключей, отличную от службы по умолчанию. Например, вы можете использовать разные службы ключей для разных подразделений вашей организации.
Если контент уже зашифрован с помощью текущей службы ключей, лучше всего перенести зашифрованный контент на новую службу. Перейдите по этой ссылке , если вы захотите перейти на новую службу ключей позже.

Если вы хотите перейти на новую услугу по предоставлению ключей.

Если вы ранее назначили службу ключей для организационного подразделения или группы, вы можете переключиться на другую службу. Если какой-либо контент уже зашифрован текущей службой ключей, рекомендуется перенести этот контент в новую службу. Подробности см. в разделе «Перенос зашифрованного контента в новую службу ключей» далее на этой странице.
Если вы перейдете на новую службу ключей, но не перенесете контент: любой существующий зашифрованный контент останется зашифрованным только текущей службой, а не новой добавленной вами службой. Это означает, что вам необходимо будет продолжать использовать текущую службу, чтобы сохранить доступ к ранее зашифрованному контенту.

Назначьте шифрование с помощью службы ключей.

Назначьте службу ключей по умолчанию для вашей организации.

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  1. В консоли администратора Google перейдите в меню. а потом Данные а потом Согласие а потом Шифрование на стороне клиента .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. В разделе «Шифрование с использованием внешней службы ключей» нажмите «Назначить» .
  3. В левой панели выберите либо «Все пользователи в этой учетной записи» , либо организационное подразделение верхнего уровня.
  4. Нажмите «Сервис ключей» и выберите свой сервис ключей в раскрывающемся списке.
  5. Нажмите « Сохранить ».

Назначьте разные ключевые службы для конкретных пользователей.

Если вы добавили несколько ключевых служб в консоль администратора, вы можете выбрать другую ключевую службу, отличную от текущей службы, назначенной организационному подразделению или группе.

Важно: если контент уже зашифрован с помощью текущей службы ключей, рекомендуется перенести зашифрованный контент на новую службу, чтобы обеспечить доступность существующего зашифрованного контента на стороне клиента. Подробности см. в разделе «Перенос зашифрованного контента на новую службу ключей» далее на этой странице.

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  1. В консоли администратора Google перейдите в меню. а потом Данные а потом Согласие а потом Шифрование на стороне клиента .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. В разделе «Шифрование с использованием внешней службы ключей» нажмите «Назначить» .
  3. В левой панели выберите организационное подразделение или группу, для которой вы хотите использовать другую службу ключей.
  4. Нажмите «Сервис ключей» и выберите новый сервис ключей в раскрывающемся списке.
  5. Нажмите «Переопределить» , чтобы сохранить настройки при изменении параметров CSE для родительского организационного подразделения.
  6. Если для организационной единицы уже установлен параметр «Переопределено» , выберите один из следующих вариантов:
    • Наследование — Возвращает те же настройки CSE, что и у родительского элемента.
    • Сохранить — Сохраняет новые настройки CSE (даже если изменились родительские настройки).
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Перенесите зашифрованный контент в новую службу ключей.

Если вы больше не хотите использовать существующую службу ключей для шифрования контента для организационного подразделения или группы, вы можете добавить новую службу, выбрать службу резервного копирования и перенести зашифрованный контент в новую службу.

Перед началом миграции

Какие сервисы поддерживаются?

В настоящее время вы можете перенести зашифрованный контент для следующих сервисов:

  • Google Диск и Документы
  • Календарь Google

Для переключения на другую службу ключей для Gmail CSE: необходимо использовать API Gmail для загрузки нового S/MIME-сертификата с ключами, упакованными в новую службу ключей, для каждого пользователя. Подробности см. только в Gmail: Настройка S/MIME-сертификатов для шифрования на стороне клиента .

Google не расшифровывает контент.

В процессе миграции Google никогда не расшифровывает контент. Новый сервис извлекает слой шифрования из предыдущего сервиса и заменяет его новым слоем шифрования.

Для пользователей это никак не повлияет.

В процессе миграции пользователи могут продолжать шифровать или просматривать зашифрованный контент без перерывов.

Информация о миграционном статусе недоступна.

Информация о ходе работ и уведомления о любых проблемах недоступны.

Сначала протестируйте миграцию на небольшом количестве пользователей.

Рекомендуется сначала попробовать выполнить миграцию на небольшом количестве пользователей, прежде чем запускать полную миграцию всего контента пользователей. Назначьте новый ключ только одному организационному подразделению или группе и включите миграцию для этих пользователей, чтобы определить, возникнут ли какие-либо проблемы с миграцией.

После тестовой миграции попробуйте зашифровать новый контент с помощью новой службы ключей и проверьте, можете ли вы по-прежнему получать доступ к ранее зашифрованному контенту и редактировать его.

Сокращение времени миграции

Чтобы свести к минимуму количество новых элементов, зашифрованных с помощью текущей службы ключей, начинайте полную миграцию в непиковые периоды.

Шаг 1: Добавьте новую службу ключей в консоль администратора.

  • Если в настоящее время вы используете только одну службу ключей шифрования: добавьте новую службу ключей и выберите текущую службу в качестве резервной. Для получения подробной информации перейдите в раздел «Добавление внешней службы ключей» .
  • Если в используемой вами службе ключей уже есть служба резервного копирования: удалите резервную копию из этой службы ключей. Подробности см. в разделе «Удаление резервной копии из службы ключей» . Затем добавьте новую службу ключей и выберите текущие службы в качестве резервных.

    Важно: Если вы в данный момент переносите контент из резервной копии, которую необходимо удалить, дождитесь завершения миграции. После удаления резервной копии любая миграция немедленно прекратится. Подробности см. в шаге 4: Проверка завершения миграции на этой странице.

Шаг 2: Замените текущую службу ключей новой службой ключей.

После добавления новой службы ключей назначьте ее организационным подразделениям или группам. Подробности см. в разделе «Назначение службы ключей для шифрования на стороне клиента» выше.

Шаг 3: Включите миграцию

После выбора новой службы ключей для организационного подразделения или группы вы можете включить миграцию, если существуют службы с ранее зашифрованным содержимым, которые можно перенести.

Время миграции варьируется в зависимости от объема зашифрованного контента с использованием текущего сервиса ключей и скорости обработки нового сервиса ключей. Для отслеживания прогресса миграции контента может потребоваться от нескольких часов до нескольких дней.

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  1. В консоли администратора Google перейдите в меню. а потом Данные а потом Согласие а потом Шифрование на стороне клиента .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. В разделе «Шифрование с использованием внешней службы ключей» нажмите «Назначить» .
  3. В левой панели выберите организационное подразделение или группу, для которой вы хотите перенести контент в новую службу ключей.
  4. В разделе «Миграция» нажмите «Вкл.» .

    Примечание: Эта опция доступна только в том случае, если в разделе «Миграция» указаны сервисы с ранее зашифрованным содержимым.

  5. В подтверждающем сообщении поставьте галочку, чтобы подтвердить, что вы понимаете, что миграцию нельзя отменить после ее начала. Затем нажмите «Сохранить» .

Процесс миграции начинается.

Шаг 4: Проверьте, завершена ли миграция.

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  1. В консоли администратора Google перейдите в меню. а потом Данные а потом Согласие а потом Шифрование на стороне клиента .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. В разделе «Шифрование с использованием внешней службы ключей» нажмите «Назначить» .
  3. В левой панели выберите организационное подразделение или группу, для которой вы хотите перенести зашифрованное содержимое в новую службу ключей.
  4. В разделе «Миграция» проверьте количество элементов, зашифрованных с помощью предыдущей службы (теперь это служба резервного копирования).

    Если зашифрованных элементов нет, миграция завершена.

Шаг 5: (Необязательно) Удалите службу резервного копирования ключей.

Если миграция контента завершена, и вы больше не хотите использовать службу резервного копирования, вы можете удалить ее из новой службы ключей. Подробности см. в разделе «Удаление резервной копии из службы ключей» .

Назначить шифрование с помощью аппаратных ключей (только для Gmail)

Если вы настроили аппаратное шифрование с помощью ключей для всех или некоторых пользователей в вашей организации для шифрования Gmail, вам необходимо назначить эту функцию этим пользователям.

Если вы также используете службу ключей шифрования для Gmail: вы можете назначить аппаратное шифрование с помощью ключа тем же пользователям, что и службу ключей; однако эти пользователи будут шифровать Gmail, используя либо службу ключей, либо аппаратный ключ, в зависимости от того, как вы настроили их ключи шифрования для Gmail. Для получения подробной информации перейдите в раздел «Только для Gmail»: Настройка сертификатов S/MIME для шифрования на стороне клиента .

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  1. В консоли администратора Google перейдите в меню. а потом Данные а потом Согласие а потом Шифрование на стороне клиента .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. В разделе «Шифрование с помощью аппаратных ключей» нажмите «Назначить» .
  3. В левой панели выберите организационное подразделение или группу, для которой вы хотите использовать другую службу ключей.
  4. Нажмите «Аппаратное шифрование с помощью ключа» и установите флажок.
  5. Если вы выбрали дочернее организационное подразделение, нажмите «Переопределить» , чтобы сохранить настройки при изменении параметров CSE для родительского организационного подразделения.
  6. Если для организационной единицы уже установлен параметр «Переопределено» , выберите один из следующих вариантов:
    • Наследование — Возвращает те же настройки CSE, что и у родительского элемента.
    • Сохранить — Сохраняет новые настройки CSE (даже если изменились родительские настройки).
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.