Tilldela klientsideskryptering till användare

När du har lagt till en eller flera externa nyckeltjänster i administratörskonsolen för klientsideskryptering (CSE) i Google Workspace måste du tilldela dem till organisationsenheter eller konfigurationsgrupper. Genom att tilldela en nyckeltjänst kan användare som du har lagt till i din externa tjänsts åtkomstkontrolllista kryptera och dekryptera innehåll.

Om du har konfigurerat hårdvarunyckelkryptering för Gmail ASM måste du tilldela den till organisationsenheter eller konfigurationsgrupper. Kräver att du har tillägget Assured Controls eller Assured Controls Plus .

För användare som behöver kryptera innehåll måste ni även aktivera CSE. Mer information finns i Aktivera eller inaktivera klientsideskryptering .

Innan du börjar

Se till att du tilldelar en standardnyckeltjänst

För att säkerställa att CSE-tjänster fungerar korrekt i hela organisationen måste du göra en extern nyckeltjänst till standardtjänsten för hela organisationen. Om till exempel CSE är aktiverat för en grupp, men de använder en delad enhet i en organisationsenhet där CSE är inaktiverat, används standardnyckeltjänsten.
När du lägger till din första nyckeltjänst i administratörskonsolen blir du ombedd att tilldela en standardtjänst på organisationsenheten på högsta nivå. Om du inte har tilldelat standardtjänsten ännu, se till att du gör det innan du aktiverar CSE för användare. För instruktioner, gå till Tilldela standardnyckeltjänsten för din organisation senare på den här sidan.

Om du vill använda flera nyckeltjänster för olika användare

Du kan tilldela en annan nyckeltjänst än standardtjänsten för en organisationsenhet eller grupp. Du kanske till exempel vill använda olika nyckeltjänster för olika platser inom din organisation.
Om innehållet redan är krypterat med den aktuella nyckeltjänsten är det bäst att migrera krypterat innehåll till den nya tjänsten. Gå till Om du vill byta till en ny nyckeltjänst senare på den här sidan.

Om du vill byta till en ny nyckeltjänst

Om du tidigare har tilldelat en nyckeltjänst för en organisationsenhet eller grupp kan du byta till en annan tjänst. Om något innehåll redan är krypterat av den aktuella nyckeltjänsten är det bäst att migrera innehållet till den nya tjänsten. Mer information finns i Migrera krypterat innehåll till en ny nyckeltjänst senare på den här sidan.
Om du byter till en ny nyckeltjänst men inte migrerar innehåll: Allt befintligt krypterat innehåll kommer att förbli krypterat endast av den aktuella tjänsten, inte av den nya tjänsten du lade till. Det betyder att du måste fortsätta använda den aktuella tjänsten för att hålla tidigare krypterat innehåll tillgängligt.

Tilldela kryptering med en nyckeltjänst

Tilldela standardnyckeltjänsten för din organisation

Du måste vara inloggad som superadministratör för den här uppgiften.

  1. I Googles administratörskonsol går du till Meny och sedan Data och sedan Efterlevnad och sedan Klientsidans kryptering .

    Du måste vara inloggad som superadministratör för den här uppgiften.

  2. Under Kryptering med extern nyckeltjänst klickar du på Tilldela .
  3. I den vänstra panelen väljer du antingen Alla användare i det här kontot eller den översta organisationsenheten.
  4. Klicka på Nyckeltjänst och välj din nyckeltjänst i rullgardinsmenyn.
  5. Klicka på Spara .

Tilldela en annan nyckeltjänst för specifika användare

Om du har lagt till flera nyckeltjänster i administratörskonsolen kan du välja en annan nyckeltjänst än den tjänst som för närvarande är tilldelad en organisationsenhet eller grupp.

Viktigt: Om innehåll redan är krypterat med den aktuella nyckeltjänsten är det bäst att migrera krypterat innehåll till den nya tjänsten för att säkerställa att befintligt krypterat innehåll på klientsidan förblir tillgängligt. Mer information finns i Migrera krypterat innehåll till en ny nyckeltjänst senare på den här sidan.

Du måste vara inloggad som superadministratör för den här uppgiften.

  1. I Googles administratörskonsol går du till Meny och sedan Data och sedan Efterlevnad och sedan Klientsidans kryptering .

    Du måste vara inloggad som superadministratör för den här uppgiften.

  2. Under Kryptering med extern nyckeltjänst klickar du på Tilldela .
  3. I den vänstra panelen väljer du en organisationsenhet eller grupp som du vill använda en annan nyckeltjänst för.
  4. Klicka på Nyckeltjänst och välj den nya nyckeltjänsten i rullgardinsmenyn.
  5. Klicka på Åsidosätt för att behålla din inställning om ASM-inställningarna för den överordnade organisationsenheten ändras.
  6. Om Åsidosatt redan är inställt för organisationsenheten, välj ett alternativ:
    • Ärv — Återgår till samma CSE-inställning som dess överordnade.
    • Spara — Sparar din nya ASM-inställning (även om den överordnade inställningen ändras).
Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer

Migrera krypterat innehåll till en ny nyckeltjänst

Om du inte längre vill använda din befintliga nyckeltjänst för att kryptera innehåll för en organisationsenhet eller grupp kan du lägga till en ny tjänst, välja säkerhetskopieringstjänsten och migrera det krypterade innehållet till den nya tjänsten.

Innan du börjar migrera

Vilka tjänster stöds

För närvarande kan du migrera krypterat innehåll för följande tjänster:

  • Google Drive och Dokument
  • Google Kalender

Så här byter du till en annan nyckeltjänst för Gmail CSE: Du måste använda Gmail API för att ladda upp ett nytt S/MIME-certifikat med nycklar som omsluts av den nya nyckeltjänsten för varje användare. För mer information, gå till Endast Gmail: Konfigurera S/MIME-certifikat för klientsideskryptering .

Google dekrypterar inte innehåll

Under migreringen dekrypterar Google aldrig innehåll. Den nya tjänsten packar upp krypteringslagret från den tidigare tjänsten och ersätter det med ett nytt krypteringslager.

Det finns ingen påverkan för användarna

Under migreringen kan användare fortsätta att kryptera eller visa krypterat innehåll utan avbrott.

Migreringsstatus är inte tillgänglig

Status för framsteg och meddelanden om eventuella problem är inte tillgängliga.

Testa migreringen på ett litet antal användare först

Det är bäst att först testa migreringen på ett litet antal användare innan du kör en fullständig migrering på allt användarinnehåll. Tilldela den nya nyckeln till endast en organisationsenhet eller grupp och aktivera migrering för dessa användare för att avgöra om det finns några migreringsproblem.

Efter testmigreringen kan du försöka kryptera nytt innehåll med den nya nyckeltjänsten och kontrollera om du fortfarande kan komma åt och redigera tidigare krypterat innehåll.

Minska migreringstiden

För att minimera antalet nya objekt som krypteras med den aktuella nyckeltjänsten, starta en fullständig migrering under lågtrafik.

Steg 1: Lägg till den nya nyckeltjänsten i administratörskonsolen

  • Om du för närvarande bara använder en krypteringsnyckeltjänst: Lägg till den nya nyckeltjänsten som primär och välj den aktuella tjänsten som säkerhetskopia. För mer information, gå till Lägg till en extern nyckeltjänst . För att bibehålla åtkomst till befintliga krypterade data, se till att säkerhetskopieringstjänsten är konfigurerad för att acceptera JSON Web Tokens (JWT) från den nya primära tjänsten.
  • Om någon nyckeltjänst du använder redan har en säkerhetskopieringstjänst: Ta bort säkerhetskopian från nyckeltjänsten. För mer information, gå till Ta bort säkerhetskopian från en nyckeltjänst . Lägg sedan till den nya nyckeltjänsten och välj de aktuella tjänsterna som säkerhetskopia.

    Viktigt: Om du för närvarande migrerar innehåll från säkerhetskopian som du behöver ta bort, vänta tills migreringen är klar. När du har tagit bort säkerhetskopian stoppas migreringen omedelbart. Mer information finns i steg 4: Kontrollera om migreringen är klar senare på den här sidan.

Steg 2: Ersätt den nuvarande nyckeltjänsten med den nya nyckeltjänsten

När du har lagt till den nya nyckeltjänsten tilldelar du den till organisationsenheter eller grupper. Mer information finns i Tilldela en nyckeltjänst för klientsideskryptering ovan.

Steg 3: Aktivera migrering

När du har valt den nya nyckeltjänsten för en organisationsenhet eller grupp kan du aktivera migrering om det finns några tjänster med tidigare krypterat innehåll som kan migreras.

Migreringstiden varierar beroende på hur mycket innehåll som krypterades med den aktuella nyckeltjänsten och den nya nyckeltjänstens bearbetningshastighet. Det kan ta allt från några timmar till flera dagar innan innehållsmigreringen fortskrider.

Du måste vara inloggad som superadministratör för den här uppgiften.

  1. I Googles administratörskonsol går du till Meny och sedan Data och sedan Efterlevnad och sedan Klientsidans kryptering .

    Du måste vara inloggad som superadministratör för den här uppgiften.

  2. Under Kryptering med extern nyckeltjänst klickar du på Tilldela .
  3. I den vänstra panelen väljer du den organisationsenhet eller grupp som du vill migrera innehåll till en ny nyckeltjänst för.
  4. Under Migrering klickar du på På .

    Obs! Det här alternativet är endast tillgängligt om det finns tjänster med tidigare krypterat innehåll listade under Migrering .

  5. I bekräftelsemeddelandet markerar du rutan för att visa att du förstår att migreringen inte kan ångras när den väl har startat. Klicka sedan på Spara .

Migreringsprocessen startar.

Steg 4: Kontrollera om migreringen är klar

Du måste vara inloggad som superadministratör för den här uppgiften.

  1. I Googles administratörskonsol går du till Meny och sedan Data och sedan Efterlevnad och sedan Klientsidans kryptering .

    Du måste vara inloggad som superadministratör för den här uppgiften.

  2. Under Kryptering med extern nyckeltjänst klickar du på Tilldela .
  3. I den vänstra panelen väljer du den organisationsenhet eller grupp som du vill migrera krypterat innehåll till en ny nyckeltjänst för.
  4. Under Migrering kontrollerar du antalet objekt som krypterats med den tidigare tjänsten (nu säkerhetskopieringstjänsten).

    Om det inte finns några krypterade objekt är migreringen klar.

Steg 5: (Valfritt) Ta bort reservnyckeltjänsten

Om innehållsmigreringen är klar och du inte längre vill använda säkerhetskopieringstjänsten kan du ta bort den från den nya nyckeltjänsten. Mer information finns i Ta bort säkerhetskopian från en nyckeltjänst .

Tilldela kryptering med hårdvarunycklar (endast Gmail)

Om du konfigurerar hårdvarunyckelkryptering för alla eller vissa användare i din organisation för att kryptera Gmail måste du tilldela den till dessa användare.

Om du också använder en krypteringsnyckeltjänst för Gmail: Du kan tilldela hårdvarunyckelkryptering till samma användare som nyckeltjänsten. Dessa användare kommer dock att kryptera Gmail med antingen nyckeltjänsten eller en hårdvarunyckel, beroende på hur du konfigurerar deras krypteringsnycklar för Gmail. Mer information finns i Endast Gmail: Konfigurera S/MIME-certifikat för klientsideskryptering .

Du måste vara inloggad som superadministratör för den här uppgiften.

  1. I Googles administratörskonsol går du till Meny och sedan Data och sedan Efterlevnad och sedan Klientsidans kryptering .

    Du måste vara inloggad som superadministratör för den här uppgiften.

  2. Under Kryptering med hårdvarunycklar klickar du på Tilldela .
  3. I den vänstra panelen väljer du en organisationsenhet eller grupp som du vill använda en annan nyckeltjänst för.
  4. Klicka på Maskinvarunyckelkryptering och markera rutan.
  5. Om du valde en underordnad organisationsenhet klickar du på Åsidosätt för att behålla din inställning om ASM-inställningarna för den överordnade organisationsenheten ändras.
  6. Om Åsidosatt redan är inställt för organisationsenheten, välj ett alternativ:
    • Ärv — Återgår till samma CSE-inställning som dess överordnade.
    • Spara — Sparar din nya ASM-inställning (även om den överordnade inställningen ändras).
Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer