התכונה הזו נתמכת במהדורות הבאות: Frontline Plus, Enterprise Plus, Education Standard ו-Education Plus. השוואה בין המהדורות
לפני שמתחילים להגדיר הצפנה מצד הלקוח (CSE) ב-Google Workspace, חשוב לעיין בדרישות, באפשרויות של מפתחות ההצפנה ובסקירה הכללית של ההגדרה.
דרישות ל-CSE
הרשאות אדמין ל-CSE
כדי לנהל את ההצפנה מצד הלקוח בארגון, כולל:
- הוספה וניהול של שירותים למפתחות הצפנה
- הקצאת שירותים למפתחות הצפנה ליחידות ארגוניות ולקבוצות
- הפעלה או השבתה של חיפוש מותאם אישית למשתמשים
דרישות למשתמשים פנימיים ב-CSE
דרישות רישוי למשתמשים
- משתמשים צריכים רישיון ל-Google Workspace Frontline Plus, ל-Google Workspace Enterprise Plus, ל-Google Workspace Education Standard או ל-Google Workspace for Education Plus כדי להשתמש ב-CSE למטרות הבאות:
- יצירה או העלאה של תוכן שמוצפן בצד הלקוח
- אירוח פגישות מוצפנות
- שליחה או קבלה של אימייל מוצפן
- משתמשים יכולים לקבל כל סוג של רישיון ל-Google Workspace או ל-Cloud Identity כדי:
- הצגה, עריכה או הורדה של תוכן מוצפן בצד הלקוח
- הצטרפות לפגישה עם הצפנה מצד הלקוח מהמחשב, מהנייד או מציוד ל-Meet
- משתמשים עם חשבון Google פרטי (כמו משתמשי Gmail) לא יכולים לגשת לתוכן מוצפן בצד הלקוח, לשלוח אימייל מוצפן או להשתתף בפגישות עם הצפנה בצד הלקוח.
דרישות הדפדפן
כדי להציג או לערוך תוכן עם הצפנה מצד הלקוח, המשתמשים צריכים להשתמש בדפדפן Google Chrome או בדפדפן Microsoft Edge (Chromium).
דרישות למשתמשים חיצוניים ב-CSE
אתם יכולים לאפשר למשתמשים חיצוניים לגשת לתוכן מוצפן בצד הלקוח. כדי לגשת להודעות Gmail המוצפנות של המשתמשים שלכם, משתמשים חיצוניים צריכים להשתמש ב-S/MIME. לגבי תוכן אחר, הדרישות שונות, בהתאם לשיטה שבה אתם משתמשים כדי לספק גישה חיצונית. לפרטים נוספים, אפשר לעיין במאמר בנושא מתן גישה חיצונית לתוכן מוצפן בצד הלקוח.
הסבר על אפשרויות למפתח הצפנה
שירותים חיצוניים למפתחות הצפנה
כדי להשתמש בהצפנה מצד הלקוח, הארגון שלכם צריך להשתמש במפתחות הצפנה משלו. יש 2 אפשרויות ליצירת מפתחות הצפנה:
- שימוש בשירות חיצוני למפתחות הצפנה שהוא שותף של Google. השירות למפתחות הצפנה יספק לכם הנחיות להגדרת השירות ב-Google Workspace. פרטים נוספים מופיעים במאמר בנושא בחירת שירות מפתחות להצפנה מצד הלקוח.
- אפשר ליצור שירות למפתחות הצפנה משלכם באמצעות Google Workspace CSE API.
מפתחות חומרה ל-Gmail
אם משתמשים בארגון שלכם משתמשים בכרטיסים חכמים כדי לגשת למתקנים ולמערכות, אתם יכולים להגדיר הצפנה של מפתחות הצפנה פיזיים עבור CSE ב-Gmail במקום שירות למפתחות הצפנה. המשתמשים יכולים להשתמש במפתח הצפנה פיזי שלהם כדי לחתום על אימייל ולהצפין אותו. פרטים נוספים מופיעים במאמר Gmail בלבד: הגדרה וניהול של מפתחות הצפנה בחומרה.
סקירה כללית על הגדרה של ה-CSE
סקירה כללית של השלבים שצריך לבצע כדי להגדיר הצפנה מצד הלקוח ב-Google Workspace. הדרך להגדיר CSE תלויה בסוג מפתחות ההצפנה שרוצים להשתמש בהם.
אם אתם משתמשים בשירות חיצוני למפתחות הצפנה
כדי להגדיר הצפנה ב-Google Drive, ביומן Google וב-Google Meet, צריך לבצע את השלבים הבאים. צריך לבצע את השלבים האלה גם ב-Gmail, אלא אם רוצים להשתמש רק במפתחות הצפנה בחומרה עבור Gmail.
| שלב | תיאור | איך משלימים את השלב הזה |
|---|---|---|
| שלב 1: בוחרים את שירות המפתחות החיצוני להצפנה |
נרשמים אצל אחד מהשותפים של Google שמספקים שירותים של מפתחות הצפנה, או יוצרים שירות משלכם באמצעות Google Workspace CSE API. שירות המפתחות שולט במפתחות ההצפנה ברמה העליונה שמגנים על הנתונים. |
בחירת שירות מפתחות להצפנה מצד הלקוח |
| שלב 2: חיבור Google Workspace לספק הזהויות |
מתחברים לספק זהויות (IdP) של צד שלישי או לזהות Google באמצעות מסוף Admin או קובץ .well-known שמתארח בשרת. ספק הזהויות מאמת את זהות המשתמשים לפני שהוא מאפשר להם להצפין תוכן או לגשת לתוכן מוצפן. |
התחברות לספק הזהויות לצורך הצפנה מצד הלקוח |
| שלב 3: הגדרת שירות מפתחות חיצוני |
צריך לעבוד עם השותף שמספק את השירות למפתחות הצפנה כדי להגדיר את השירות להצפנה מצד הלקוח ב-Google Workspace. הערה: כשמשתמשים בהצפנה מצד הלקוח עם ציוד ל-Meet, השרת של שירות המפתחות החיצוני שמשמש לניהול מפתחות צריך לתמוך בקריאה להעברה, שמשמשת לאישור הצטרפות של חדר לפגישה בשם משתמש מאומת. לפרטים נוספים, אפשר לפנות לשירות למפתחות הצפנה. |
|
| שלב 4: מוסיפים את פרטי שירות למפתחות הצפנה למסוף Admin |
מוסיפים את כתובת ה-URL של השירות החיצוני למפתחות הצפנה למסוף Admin כדי לקשר את השירות ל-Google Workspace. אפשר להוסיף כמה שירותים למפתחות הצפנה כדי להקצות שירותים שונים למפתחות הצפנה ליחידות ארגוניות או לקבוצות ספציפיות. |
הוספה וניהול של שירותים למפתחות הצפנה לצורך הצפנה מצד הלקוח |
| שלב 5: הקצאת שירות למפתחות הצפנה למשתמשים | מקצים את השירות למפתחות הצפנה, או כמה שירותים, ליחידות הארגוניות ולקבוצות. תצטרכו להקצות שירות למפתחות הצפנה כברירת המחדל לארגון. | הקצאת הצפנה מצד הלקוח למשתמשים |
| שלב 6: (אופציונלי רק להודעות S/MIME ב-Gmail) מעלים את מפתחות ההצפנה של המשתמשים | יוצרים פרויקט ב-Google Cloud Platform (GCP) ומפעילים את Gmail API. לאחר מכן נותנים ל-API גישה לכל הארגון, מפעילים את CSE למשתמשי Gmail ומעלים ל-Gmail מפתחות הצפנה פרטיים וציבוריים. הערה: כדי לבצע את השלב הזה, צריך ניסיון בשימוש בממשקי API ובסקריפטים של Python. |
ב-Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח |
| שלב 7: הפעלת CSE למשתמשים |
מפעילים את ההצפנה מצד הלקוח לכל היחידות הארגוניות או הקבוצות בארגון שיש בהן משתמשים שצריכים ליצור תוכן מוצפן מצד הלקוח. אפשר להפעיל את ההצפנה מצד הלקוח לכל השירותים הנתמכים או רק לשירותים ספציפיים (Gmail, Meet, Drive ויומן Google). הצפנה מצד הלקוח ב-Gmail: אם יש לכם את התוסף Assured Controls ואתם לא משתמשים בהצפנה באמצעות מפתח הצפנה פיזי ב-Gmail, אתם יכולים לבחור באפשרות הצפנה באמצעות חשבונות אורחים בשלב הזה כדי להפעיל אוטומטית הצפנה מקצה לקצה ב-Gmail, בלי שתצטרכו להגדיר אישורי S/MIME. |
הפעלה או השבתה של חיפוש מותאם אישית למשתמשים |
| שלב 8: (אופציונלי) הגדרת גישה חיצונית | אתם יכולים לספק גישה חיצונית לתוכן מוצפן מצד הלקוח על ידי הגדרת ספק זהויות (IdP) לאורחים בארגונים שלא משתמשים בהצפנה מצד הלקוח ב-Google Workspace. | מתן גישה חיצונית לתוכן מוצפן בצד הלקוח |
| שלב 9: (אופציונלי) ייבוא הודעות ל-Gmail כהודעות S/MIME עם הצפנה מצד הלקוח | אם בארגון שלכם יש הודעות בשירות אחר או בפורמט הצפנה אחר, אתם יכולים להעביר את ההודעות האלה ל-Gmail כהודעות מוצפנות מצד הלקוח בפורמט S/MIME. | העברת הודעות ל-Gmail כאימייל מוצפן מצד הלקוח |
אם אתם משתמשים במפתחות הצפנה של חומרה ב-Gmail
כדי לעשות את זה צריך את התוסף Assured Controls או Assured Controls Plus.אם אתם רוצים להגדיר מפתחות הצפנה בחומרה לכל משתמשי Gmail או לחלק מהם, במקום שירות חיצוני למפתחות הצפנה, אתם יכולים לפעול לפי השלבים הבאים.
| שלב | תיאור | איך משלימים את השלב הזה |
|---|---|---|
| שלב 1: חיבור Google Workspace לספק הזהויות | מתחברים לספק זהויות (IdP) של צד שלישי או לזהות Google באמצעות מסוף Admin או קובץ .well-known שמתארח בשרת. ספק הזהויות מאמת את זהות המשתמשים לפני שהוא מאפשר להם להצפין תוכן או לגשת לתוכן מוצפן. | התחברות לספק הזהויות לצורך הצפנה מצד הלקוח |
| שלב 2: הגדרת מפתחות ההצפנה של הציוד |
מתקינים את אפליקציית מפתח האבטחה של Google Workspace במכשירי Windows של המשתמשים. הערה: כדי לבצע את השלב הזה צריך ניסיון בעבודה עם סקריפטים של PowerShell. |
ב-Gmail בלבד: הגדרה וניהול של מפתחות הצפנה לחומרה |
| שלב 3: הוספת פרטי הצפנת החומרה למסוף Admin | מזינים את מספר היציאה שדרכה Google Workspace יתקשר עם קורא הכרטיסים החכמים במכשירי Windows של המשתמשים. | ב-Gmail בלבד: הגדרה וניהול של מפתחות הצפנה לחומרה |
| שלב 4: הקצאת הצפנת חומרה למשתמשים | הקצאת הצפנה באמצעות מפתחות הצפנה פיזיים ליחידות הארגוניות ולקבוצות. | הקצאת הצפנה מצד הלקוח למשתמשים |
| שלב 5: מעלים את המפתחות הציבוריים להצפנה של המשתמשים |
יוצרים פרויקט ב-Google Cloud Platform (CGP) ומפעילים את Gmail API. לאחר מכן נותנים ל-API גישה לכל הארגון, מפעילים את CSE למשתמשי Gmail ומעלים מפתחות הצפנה ציבוריים ל-Gmail. הערה: כדי לבצע את השלב הזה, צריך ניסיון בשימוש בממשקי API ובסקריפטים של Python. |
ב-Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח |
| שלב 6: (אופציונלי) ייבוא הודעות ל-Gmail כאימייל מוצפן מצד הלקוח | אם בארגון שלכם יש הודעות בשירות אחר או בפורמט הצפנה אחר, אתם יכולים להעביר אותן ל-Gmail בתור הודעות מוצפנות מצד הלקוח בפורמט S/MIME. | העברת הודעות ל-Gmail כאימייל מוצפן מצד הלקוח |
הצפנה מצד הלקוח בציוד ל-Meet
כברירת מחדל, כל קובצי המדיה של השיחות ב-Meet מוצפנים, גם בזמן ההעברה וגם כשהם מאוחסנים. רק משתתפי הפגישה והשירותים שמיועדים ל-Meet במרכזי הנתונים של Google יכולים לפענח את המידע הזה.
הצפנה מצד הלקוח מספקת שכבת פרטיות נוספת על ידי הצפנת המדיה של השיחה ישירות בדפדפן של כל משתתף, באמצעות מפתחות שרק לו יש גישה אליהם. רק המשתתף יכול לפענח את פרטי הפגישה שהוצפנו על ידי הדפדפן שלו באמצעות המפתחות שלו.
כדי לאפשר למשתמשים ליהנות מהיתרונות של הצפנה מצד הלקוח, האדמינים צריכים לחבר את Workspace לספק זהויות חיצוני ולשירות למפתחות הצפנה (ספק זהויות + שירות מפתחות). פרטים על הגדרת ספק זהויות (IdP) ושירות למפתחות הצפנה זמינים במאמר סקירה כללית על הגדרת CSE בדף הזה.
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.