Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Standard y Education Plus. Compara tu edición
Antes de comenzar a configurar la encriptación del cliente (CSE) de Google Workspace, revisa los requisitos, las opciones de claves de encriptación y la descripción general de la configuración.
Requisitos de la CSE
Privilegios de administrador para la CSE
Necesitas privilegios de administrador avanzado de Google Workspace para administrar la CSE de tu organización, lo que incluye lo siguiente:
- Agregar y administrar servicios de claves
- Asignar servicios de claves a unidades organizativas y grupos
- Activar o desactivar la CSE para los usuarios
Requisitos de los usuarios internos para la CSE
Requisitos de licencias de usuario
- Los usuarios necesitan una licencia de Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard o Google Workspace for Education Plus para usar la CSE y hacer lo siguiente:
- Crear o subir contenido encriptado del lado del cliente
- Organizar reuniones encriptadas
- Enviar o recibir correos electrónicos encriptados
- Los usuarios pueden tener cualquier tipo de licencia de Google Workspace o Cloud Identity para hacer lo siguiente:
- Ver, editar o descargar contenido encriptado del lado del cliente
- Unirse a una reunión con CSE desde una computadora, un dispositivo móvil o un dispositivo con hardware de Google Meet
- Los usuarios con una Cuenta de Google para consumidores (como los usuarios de Gmail) no pueden acceder al contenido encriptado del lado del cliente, enviar correos electrónicos encriptados ni participar en reuniones encriptadas del lado del cliente.
Requisitos del navegador
Para ver o editar contenido encriptado del lado del cliente, los usuarios deben usar el navegador Google Chrome o Microsoft Edge (Chromium).
Requisitos de los usuarios externos para la CSE
Puedes permitir que los usuarios externos accedan al contenido encriptado del lado del cliente. Para acceder a los mensajes de Gmail encriptados de tus usuarios, los usuarios externos solo deben usar S/MIME. En el caso de otro contenido, los requisitos difieren según el método que uses para proporcionar acceso externo. Para obtener más información, consulta Proporciona acceso externo al contenido encriptado del lado del cliente.
Comprende las opciones de claves de encriptación
Servicios de claves externos
Para usar la encriptación del cliente, tu organización debe usar sus propias claves de encriptación. Tienes 2 opciones para crear tus claves de encriptación:
- Usar un servicio de claves de encriptación externo que sea socio de Google Tu servicio de claves te guiará para configurar el servicio para Google Workspace. Para obtener más información, consulta Elige tu servicio de claves para la encriptación del cliente.
- Compilar tu propio servicio de claves con la API de CSE de Google Workspace
Claves de hardware para Gmail
Si los usuarios de tu organización usan tarjetas inteligentes para acceder a instalaciones y sistemas, puedes configurar la encriptación de claves de hardware para la CSE de Gmail en lugar de un servicio de claves. Los usuarios pueden usar su clave de hardware para firmar y encriptar correos electrónicos. Para obtener más información, consulta Configura y administra claves de encriptación de hardware (solo Gmail).
Descripción general de la configuración de la CSE
A continuación, se incluye una descripción general de los pasos que deberás seguir para configurar la encriptación del cliente de Google Workspace. La forma en que configures la CSE dependerá del tipo de claves de encriptación que quieras usar.
Si usas un servicio de claves de encriptación externo
Sigue estos pasos para configurar la encriptación de Google Drive, Google Calendar y Google Meet. También seguirás estos pasos para Gmail, a menos que quieras usar solo claves de encriptación de hardware para Gmail.
| Paso | Descripción | Cómo completar este paso |
|---|---|---|
| Paso 1: Elige tu servicio de claves de encriptación externo |
Regístrate en uno de los socios de servicios de claves de encriptación de Google o crea tu propio servicio con la API de CSE de Google Workspace. Tu servicio de claves controla las claves de encriptación de nivel superior que protegen tus datos. |
Elige tu servicio de claves para la encriptación del cliente |
| Paso 2: Conecta Google Workspace a tu proveedor de identidad |
Conéctate a un IdP externo o a la identidad de Google con la Consola del administrador o un archivo .well-known alojado en tu servidor. Tu IdP verifica la identidad de los usuarios antes de permitirles encriptar contenido o acceder a él. |
Conéctate con tu proveedor de identidad a la encriptación del cliente |
| Paso 3: Configura tu servicio de claves externo |
Trabaja con tu socio de servicios de claves para configurar el servicio para la encriptación del cliente de Google Workspace. Nota: Cuando se usa la CSE con hardware de Meet, el servidor del servicio de claves externo que se usa para la administración de claves debe admitir la llamada delegada, que se usa para autorizar una sala a unirse a una reunión en nombre de un usuario autenticado. Para obtener más información, consulta a tu servicio de claves. |
Configura tu servicio de claves para la encriptación del cliente |
| Paso 4: Agrega la información de tu servicio de claves a la Consola del administrador |
Agrega la URL de tu servicio de claves externo a la Consola del administrador para conectar el servicio a Google Workspace. Puedes agregar varios servicios de claves para asignar diferentes servicios de claves a unidades organizativas o grupos específicos. |
Agrega y administra servicios de claves para la encriptación del cliente |
| Paso 5: Asigna tu servicio de claves a los usuarios | Asigna tu servicio de claves o varios servicios a tus unidades organizativas y grupos. Deberás asignar un servicio de claves como predeterminado para tu organización. | Asigna la encriptación del cliente a los usuarios |
| Paso 6: (Opcional, solo para mensajes S/MIME de Gmail) Sube las claves de encriptación de los usuarios |
Crea un proyecto de Google Cloud Platform (GCP) y habilita la API de Gmail. Luego, otorga acceso a la API a toda tu organización, activa la CSE para los usuarios de Gmail y sube las claves de encriptación privadas y públicas a Gmail. Nota: Este paso requiere experiencia en el uso de APIs y secuencias de comandos de Python. |
Configura certificados S/MIME para la encriptación del cliente (solo Gmail) |
| Paso 7: Activa la CSE para los usuarios |
Activa la CSE para cualquier unidad organizativa o grupo de tu organización con usuarios que necesiten crear contenido encriptado del lado del cliente. Puedes activar la CSE para todos los servicios compatibles o solo para algunos específicos (Gmail, Meet, Drive y Calendar). CSE de Gmail: Si tienes el complemento Assured Controls y no usas la encriptación de claves de hardware para Gmail, puedes seleccionar la opción Encriptación con cuentas de invitado durante este paso para habilitar automáticamente la E2EE de Gmail, sin necesidad de configurar certificados S/MIME. |
Activa o desactiva la CSE para los usuarios |
| Paso 8: (Opcional) Configura el acceso externo | Puedes proporcionar acceso externo al contenido encriptado del lado del cliente configurando un proveedor de identidad (IdP) invitado para las organizaciones que no usan la CSE de Google Workspace. | Proporciona acceso externo al contenido encriptado del lado del cliente |
| Paso 9: (Opcional) Importa mensajes a Gmail como mensajes S/MIME encriptados del lado del cliente | Si tu organización tiene mensajes en otro servicio o en otro formato de encriptación, puedes migrar esos mensajes a Gmail como mensajes encriptados del lado del cliente en formato S/MIME. | Migra mensajes a Gmail como correos electrónicos encriptados del lado del cliente |
Si usas claves de encriptación de hardware para Gmail
Requiere tener el complemento Assured Controls o Assured Controls Plus.Sigue estos pasos si quieres configurar claves de encriptación de hardware para todos o algunos de tus usuarios de Gmail, en lugar de un servicio de claves externo.
| Paso | Descripción | Cómo completar este paso |
|---|---|---|
| Paso 1: Conecta Google Workspace a tu proveedor de identidad | Conéctate a un IdP externo o a la identidad de Google con la Consola del administrador o un archivo .well-known alojado en tu servidor. Tu IdP verifica la identidad de los usuarios antes de permitirles encriptar contenido o acceder a él. | Conéctate con tu proveedor de identidad a la encriptación del cliente |
| Paso 2: Configura tus claves de encriptación de hardware |
Instala la aplicación de claves de hardware de Google Workspace en los dispositivos Windows de los usuarios. Nota: Este paso requiere experiencia en el uso de secuencias de comandos de PowerShell. |
Configura y administra claves de encriptación de hardware (solo Gmail) |
| Paso 3: Agrega información de encriptación de hardware a la Consola del administrador | Ingresa el número de puerto en el que Google Workspace se comunicará con el lector de tarjetas inteligentes en los dispositivos Windows de los usuarios. | Configura y administra claves de encriptación de hardware (solo Gmail) |
| Paso 4: Asigna la encriptación de hardware a los usuarios | Asigna la encriptación de claves de hardware a tus unidades organizativas y grupos. | Asigna la encriptación del cliente a los usuarios |
| Paso 5: Sube las claves de encriptación públicas de los usuarios |
Crea un proyecto de Google Cloud Platform (CGP) y habilita la API de Gmail. Luego, otorga acceso a la API a toda tu organización, activa la CSE para los usuarios de Gmail y sube las claves de encriptación públicas a Gmail. Nota: Este paso requiere experiencia en el uso de APIs y secuencias de comandos de Python. |
Configura certificados S/MIME para la encriptación del cliente (solo Gmail) |
| Paso 6: (Opcional) Importa mensajes a Gmail como correos electrónicos encriptados del lado del cliente | Si tu organización tiene mensajes en otro servicio o en otro formato de encriptación, como administrador, puedes migrar esos mensajes a Gmail como mensajes encriptados del lado del cliente en formato S/MIME. | Migra mensajes a Gmail como correos electrónicos encriptados del lado del cliente |
CSE para hardware de Meet
De forma predeterminada, Meet encripta todo el contenido multimedia de las llamadas, tanto en tránsito como en reposo. Solo los participantes de la reunión y los servicios del centro de datos de Google pueden desencriptar esta información.
La CSE ofrece otra capa de privacidad, ya que encripta el contenido multimedia de las llamadas directamente en el navegador de cada participante con claves a las que solo ellos tienen acceso. Solo el participante puede desencriptar la información de la reunión que encriptó su navegador con sus claves.
Para permitir que los usuarios aprovechen la CSE, los administradores deben conectar Workspace a un proveedor de identidad externo y a un servicio de claves de encriptación (servicio de claves + IdP). Para obtener detalles sobre la configuración de un servicio de claves + IdP, consulta la descripción general de la configuración de la CSE en esta página.
Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.