Utgåvor som stöds för den här funktionen: Frontline Plus; Enterprise Plus; Education Standard och Education Plus. Jämför din utgåva
Innan du börjar konfigurera klientsideskryptering (CSE) för Google Workspace bör du granska kraven, krypteringsnycklar och konfigurationsöversikten.
Krav för anpassad sökmotor
Administratörsbehörighet för ASM
Du behöver behörighet som avancerad administratör för Google Workspace för att hantera ASM för din organisation, inklusive:
- Lägga till och hantera viktiga tjänster
- Tilldela nyckeltjänster till organisationsenheter och grupper
- Aktivera eller inaktivera ASM för användare
Interna användarkrav för ASM
Krav på användarlicens
- Användare behöver en Google Workspace Frontline Plus-, Google Workspace Enterprise Plus-, Google Workspace Education Standard- eller Google Workspace for Education Plus-licens för att använda CSE för att:
- Skapa eller ladda upp krypterat innehåll på klientsidan
- Var värd för krypterade möten
- Skicka eller ta emot krypterad e-post
- Användare kan ha valfri typ av Google Workspace- eller Cloud Identity-licens för att:
- Visa, redigera eller ladda ner krypterat innehåll på klientsidan
- Delta i ett CSE-möte från en dator, en mobil enhet eller en Google Meet-maskinvaruenhet
- Användare med ett konsumentkonto i Google (t.ex. Gmail-användare) kan inte komma åt krypterat innehåll på klientsidan, skicka krypterad e-post eller delta i möten med kryptering på klientsidan.
Krav för webbläsare
För att visa eller redigera krypterat innehåll på klientsidan måste användare använda antingen webbläsaren Google Chrome eller Microsoft Edge (Chromium).
Krav för externa användare för ASM
Du kan låta externa användare få åtkomst till krypterat innehåll på klientsidan. För att komma åt dina användares krypterade Gmail-meddelanden behöver externa användare bara använda S/MIME. För annat innehåll skiljer sig kraven åt beroende på vilken metod du använder för att ge extern åtkomst. Mer information finns i Ge extern åtkomst till krypterat innehåll på klientsidan .
Förstå krypteringsnyckelalternativ
Externa nyckeltjänster
För att använda klientsideskryptering måste din organisation använda sina egna krypteringsnycklar. Du har två alternativ för att skapa dina krypteringsnycklar:
- Använd en extern krypteringsnyckeltjänst som samarbetar med Google. Din nyckeltjänst vägleder dig i konfigureringen av tjänsten för Google Workspace. Mer information finns i Välj din nyckeltjänst för klientsideskryptering .
- Bygg din egen nyckeltjänst med Google Workspace CSE API .
Hårdvarunycklar för Gmail
Om användare i din organisation använder smartkort för att komma åt anläggningar och system kan du konfigurera hårdvarunyckelkryptering för Gmail CSE istället för en nyckeltjänst. Användare kan använda sin hårdvarunyckel för att signera och kryptera e-post. För mer information, se endast Gmail: Konfigurera och hantera hårdvarunyckelkryptering.
Översikt över konfigurationen av ASM
Här är en översikt över stegen du behöver för att konfigurera klientsideskryptering i Google Workspace. Hur du konfigurerar CSE beror på vilken typ av krypteringsnycklar du vill använda.
Om du använder en extern krypteringsnyckeltjänst
Följ dessa steg för att konfigurera kryptering för Google Drive, Google Kalender och Google Meet. Du följer även dessa steg för Gmail, såvida du inte bara vill använda hårdvarukrypteringsnycklar för Gmail.
| Steg | Beskrivning | Så här slutför du det här steget |
|---|---|---|
| Steg 1: Välj din externa krypteringsnyckeltjänst | Registrera dig hos en av Googles partners för krypteringsnycklar eller bygg din egen tjänst med Google Workspace CSE API . Din nyckeltjänst styr de övergripande krypteringsnycklarna som skyddar dina data. | Välj din nyckeltjänst för klientsideskryptering |
| Steg 2: Anslut Google Workspace till din identitetsleverantör | Anslut till antingen en tredjeparts-IdP eller Google-identitet, med hjälp av antingen administratörskonsolen eller en .wellknown-fil som finns på din server. Din IdP verifierar användarnas identitet innan de får kryptera innehåll eller komma åt krypterat innehåll. | Anslut till din identitetsleverantör för kryptering på klientsidan |
| Steg 3: Konfigurera din externa nyckeltjänst | Samarbeta med din nyckeltjänstpartner för att konfigurera tjänsten för klientsideskryptering i Google Workspace. Obs ! När du använder CSE med Meet-hårdvara måste den externa nyckeltjänstens server som används för nyckelhantering stödja delegatanropet , vilket används för att auktorisera ett rum att delta i ett möte för en autentiserad användares räkning. För mer information, kontakta din nyckeltjänst. | |
| Steg 4: Lägg till din viktiga tjänstinformation i administratörskonsolen | Lägg till din externa nyckeltjänsts URL i administratörskonsolen för att ansluta tjänsten till Google Workspace. Du kan lägga till flera nyckeltjänster för att tilldela olika nyckeltjänster för specifika organisationsenheter eller grupper. | Lägg till och hantera nyckeltjänster för klientsideskryptering |
| Steg 5: Tilldela din nyckeltjänst till användare | Tilldela din nyckeltjänst, eller flera tjänster, till dina organisationsenheter och grupper. Du måste tilldela en nyckeltjänst som standard för din organisation. | Tilldela klientsideskryptering till användare |
| Steg 6: (Valfritt endast för Gmail S/MIME-meddelanden) Ladda upp användarnas krypteringsnycklar | Skapa ett Google Cloud Platform (GCP)-projekt och aktivera Gmail API. Ge sedan API:et åtkomst till hela organisationen, aktivera CSE för Gmail-användare och ladda upp privata och offentliga krypteringsnycklar till Gmail. Obs: Det här steget kräver erfarenhet av att använda API:er och Python-skript. | Endast Gmail: Konfigurera S/MIME-certifikat för klientsideskryptering |
| Steg 7: Aktivera ASM för användare | Aktivera CSE för alla organisationsenheter eller grupper i din organisation med användare som behöver skapa krypterat innehåll på klientsidan. Du kan aktivera CSE för alla tjänster som stöds eller bara specifika (Gmail, Meet, Drive och Kalender). Gmail CSE: Om du har tillägget Assured Controls och inte använder hårdvarunyckelkryptering för Gmail kan du välja alternativet Kryptering med gästkonton under det här steget för att automatiskt aktivera Gmail E2EE utan att behöva konfigurera S/MIME-certifikat. | Aktivera eller inaktivera ASM för användare |
| Steg 8: (Valfritt) Konfigurera extern åtkomst | Du kan ge extern åtkomst till krypterat innehåll på klientsidan genom att konfigurera en gästidentitetsleverantör (IdP) för organisationer som inte använder Google Workspace CSE. | Ge extern åtkomst till krypterat innehåll på klientsidan |
| Steg 9: (Valfritt) Importera meddelanden till Gmail som klientsideskrypterade S/MIME-meddelanden | Om din organisation har meddelanden i en annan tjänst eller i ett annat krypteringsformat kan du migrera dessa meddelanden till Gmail som klientsideskrypterade meddelanden i S/MIME-format. | Migrera meddelanden till Gmail som krypterad e-post på klientsidan |
Om du använder hårdvarukrypteringsnycklar för Gmail
Kräver att du har tillägget Assured Controls eller Assured Controls Plus .Följ dessa steg om du vill konfigurera hårdvarukrypteringsnycklar för alla eller några av dina Gmail-användare, istället för en extern nyckeltjänst.
| Steg | Beskrivning | Så här slutför du det här steget |
|---|---|---|
| Steg 1: Anslut Google Workspace till din identitetsleverantör | Anslut till antingen en tredjeparts-IdP eller Google-identitet, med hjälp av antingen administratörskonsolen eller en .wellknown-fil som finns på din server. Din IdP verifierar användarnas identitet innan de får kryptera innehåll eller komma åt krypterat innehåll. | Anslut till din identitetsleverantör för kryptering på klientsidan |
| Steg 2: Konfigurera dina hårdvarukrypteringsnycklar | Installera Google Workspace Hardware Key-appen på användarnas Windows-enheter. Obs! Det här steget kräver erfarenhet av att arbeta med PowerShell-skript. | Endast Gmail: Konfigurera och hantera hårdvarukrypteringsnycklar |
| Steg 3: Lägg till information om hårdvarukryptering i administratörskonsolen | Ange portnumret som Google Workspace ska använda för att kommunicera med smartkortläsaren på användarnas Windows-enheter. | Endast Gmail: Konfigurera och hantera hårdvarukrypteringsnycklar |
| Steg 4: Tilldela hårdvarukryptering till användare | Tilldela hårdvarunyckelkryptering till dina organisationsenheter och grupper. | Tilldela klientsideskryptering till användare |
| Steg 5: Ladda upp användarnas offentliga krypteringsnycklar | Skapa ett Google Cloud Platform (CGP)-projekt och aktivera Gmail API. Ge sedan API:et åtkomst till hela organisationen, aktivera CSE för Gmail-användare och ladda upp offentliga krypteringsnycklar till Gmail. Obs: Det här steget kräver erfarenhet av att använda API:er och Python-skript. | Endast Gmail: Konfigurera S/MIME-certifikat för klientsideskryptering |
| Steg 6: (Valfritt) Importera meddelanden till Gmail som krypterad e-post på klientsidan | Om din organisation har meddelanden i en annan tjänst eller i ett annat krypteringsformat kan du som administratör migrera dessa meddelanden till Gmail som klientsideskrypterade meddelanden i S/MIME-format. | Migrera meddelanden till Gmail som krypterad e-post på klientsidan |
CSE för Meet-hårdvara
Som standard krypterar Meet all samtalsmedia, både under överföring och i vila. Endast mötesdeltagare och Googles datacentertjänster kan dekryptera denna information.
CSE erbjuder ytterligare ett lager av integritet genom att kryptera samtalsmedia direkt i varje deltagares webbläsare, med hjälp av nycklar som endast är tillgängliga för dem. Endast deltagaren kan dekryptera mötesinformation som har krypterats av deras webbläsare med hjälp av deras nycklar.
För att låta användare dra nytta av CSE måste administratörer ansluta Workspace till en extern identitetsleverantör och krypteringsnyckeltjänst (IdP+nyckeltjänst). Mer information om hur du konfigurerar en IdP+nyckeltjänst finns i översikten över CSE-konfiguration på den här sidan.
Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.