התכונה הזו נתמכת במהדורות הבאות: Frontline Plus, Enterprise Plus, Education Standard ו-Education Plus. השוואה בין מהדורות
לפני שמתחילים להגדיר הצפנה מצד הלקוח (CSE) ב-Google Workspace, חשוב לעיין בדרישות, באפשרויות של מפתחות ההצפנה ובסקירה הכללית של ההגדרה.
דרישות ל-CSE
הרשאות אדמין ל-CSE
כדי לנהל את ההצפנה מצד הלקוח בארגון, כולל:
- הוספה וניהול של שירותים למפתחות הצפנה
- הקצאת שירותים למפתחות הצפנה ליחידות ארגוניות ולקבוצות
- הפעלה או השבתה של חיפוש מותאם אישית למשתמשים
דרישות למשתמשים פנימיים ב-CSE
דרישות רישוי למשתמשים
- משתמשים צריכים רישיון ל-Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard או Google Workspace for Education Plus כדי להשתמש ב-CSE כדי:
- יצירה או העלאה של תוכן שמוצפן בצד הלקוח
- אירוח פגישות מוצפנות
- שליחה או קבלה של אימייל מוצפן
- למשתמשים יכול להיות כל סוג של רישיון ל-Google Workspace או ל-Cloud Identity כדי:
- הצגה, עריכה או הורדה של תוכן מוצפן בצד הלקוח
- הצטרפות לפגישת CSE מהמחשב, מהנייד או מציוד ל-Google Meet
- משתמשים עם חשבון Google פרטי (כמו משתמשי Gmail) לא יכולים לגשת לתוכן מוצפן בצד הלקוח, לשלוח אימייל מוצפן או להשתתף בפגישות עם הצפנה בצד הלקוח.
דרישות הדפדפן
כדי להציג או לערוך תוכן מוצפן בצד הלקוח, המשתמשים צריכים להשתמש בדפדפן Google Chrome או בדפדפן Microsoft Edge (Chromium).
דרישות למשתמשים חיצוניים ב-CSE
אתם יכולים לאפשר למשתמשים חיצוניים לגשת לתוכן המוצפן בצד הלקוח. כדי לגשת להודעות Gmail המוצפנות של המשתמשים, משתמשים חיצוניים צריכים פשוט להשתמש ב-S/MIME. לגבי תוכן אחר, הדרישות שונות, בהתאם לשיטה שבה משתמשים כדי לספק גישה חיצונית. פרטים נוספים מופיעים במאמר בנושא מתן גישה חיצונית לתוכן שהוצפן מצד הלקוח.
הסבר על אפשרויות למפתח הצפנה
שירותים חיצוניים למפתחות הצפנה
כדי להשתמש בהצפנה מצד הלקוח, הארגון שלכם צריך להשתמש במפתחות הצפנה משלו. יש 2 אפשרויות ליצירת מפתחות הצפנה:
- שימוש בשירות חיצוני למפתחות הצפנה שהוא שותף של Google. השירות למפתחות הצפנה יספק לכם הנחיות להגדרת השירות ב-Google Workspace. פרטים נוספים מופיעים במאמר בנושא בחירת שירות מפתחות להצפנה מצד הלקוח.
- אפשר ליצור שירות למפתחות הצפנה משלכם באמצעות Google Workspace CSE API.
מקשי חומרה ב-Gmail
אם משתמשים בארגון שלכם משתמשים בכרטיסים חכמים כדי לגשת למתקנים ולמערכות, אתם יכולים להגדיר הצפנה של מפתחות חומרה עבור הצפנה מצד הלקוח ב-Gmail במקום שירות למפתחות הצפנה. המשתמשים יכולים להשתמש במפתח החומרה שלהם כדי לחתום על אימייל ולהצפין אותו. פרטים נוספים מופיעים במאמר Gmail בלבד: הגדרה וניהול של מפתחות הצפנה בחומרה.
סקירה כללית על הגדרה של ה-CSE
במאמר הזה מוסבר איך להגדיר הצפנה מצד הלקוח ב-Google Workspace. הדרך להגדיר CSE תלויה בסוג מפתחות ההצפנה שרוצים להשתמש בהם.
אם אתם משתמשים בשירות חיצוני למפתחות הצפנה
כדי להגדיר הצפנה ב-Google Drive, ביומן Google וב-Google Meet, פועלים לפי השלבים הבאים. תצטרכו לבצע את השלבים האלה גם ב-Gmail, אלא אם אתם רוצים להשתמש רק במפתחות הצפנה של חומרה ב-Gmail.
| שלב | תיאור | איך משלימים את השלב הזה |
|---|---|---|
| שלב 1: בוחרים שירות חיצוני למפתחות הצפנה |
להירשם אצל אחד מהשותפים של Google שמספקים שירות למפתחות הצפנה, או ליצור שירות משלכם באמצעות ממשק ה-API של Google Workspace CSE. שירות המפתחות שלכם שולט במפתחות ההצפנה ברמה העליונה שמגנים על הנתונים שלכם. |
בחירת שירות מפתחות להצפנה מצד הלקוח |
| שלב 2: קישור Google Workspace לספק הזהויות |
מתחברים ל-IdP של צד שלישי או לזהות של Google באמצעות מסוף Admin או קובץ .well-known שמתארח בשרת. ספק הזהויות מאמת את הזהות של המשתמשים לפני שהוא מאפשר להם להצפין תוכן או לגשת לתוכן מוצפן. |
התחברות לספק הזהויות לצורך הצפנה מצד הלקוח |
| שלב 3: מגדירים את שירות המפתחות החיצוני |
כדי להגדיר את השירות להצפנה מצד הלקוח ב-Google Workspace, צריך לעבוד עם השותף שמספק את השירות למפתחות הצפנה. הערה: כשמשתמשים בהצפנה מצד הלקוח עם ציוד ל-Meet, השרת של שירות המפתחות החיצוני שמשמש לניהול מפתחות צריך לתמוך בקריאה להעברה, שמשמשת לאישור הצטרפות של חדר לפגישה בשם משתמש מאומת. לפרטים נוספים, אפשר לפנות לשירות למפתחות הצפנה. |
|
| שלב 4: מוסיפים את פרטי שירות למפתחות הצפנה למסוף Admin |
כדי לקשר את השירות ל-Google Workspace, מוסיפים את כתובת ה-URL של השירות החיצוני למפתחות הצפנה למסוף Admin. אפשר להוסיף כמה שירותים למפתחות הצפנה כדי להקצות שירותים שונים למפתחות הצפנה ליחידות ארגוניות או לקבוצות ספציפיות. |
הוספה וניהול של שירותים למפתחות הצפנה לצורך הצפנה מצד הלקוח |
| שלב 5: הקצאת שירות למפתחות הצפנה למשתמשים | מקצים את השירות למפתחות הצפנה, או כמה שירותים, ליחידות הארגוניות ולקבוצות. תצטרכו להקצות שירות למפתחות הצפנה כברירת המחדל לארגון. | הקצאת הצפנה מצד הלקוח למשתמשים |
| שלב 6: (אופציונלי רק להודעות S/MIME ב-Gmail) מעלים את מפתחות ההצפנה של המשתמשים |
יוצרים פרויקט ב-Google Cloud Platform (GCP) ומפעילים את Gmail API. לאחר מכן, מעניקים ל-API גישה לכל הארגון, מפעילים את CSE למשתמשי Gmail ומעלים ל-Gmail מפתחות הצפנה פרטיים וציבוריים. הערה: כדי לבצע את השלב הזה צריך ניסיון בשימוש בממשקי API ובסקריפטים של Python. |
ב-Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח |
| שלב 7: הפעלת CSE למשתמשים |
מפעילים את CSE לכל היחידות הארגוניות או הקבוצות בארגון שכוללות משתמשים שצריכים ליצור תוכן שמוצפן מצד הלקוח. אפשר להפעיל את ה-CSE לכל השירותים הנתמכים או רק לשירותים ספציפיים (Gmail, Meet, Drive ויומן). Gmail CSE: אם יש לכם את התוסף Assured Controls ואתם לא משתמשים בהצפנה באמצעות מפתח פיזי ב-Gmail, אתם יכולים לבחור באפשרות הצפנה באמצעות חשבונות אורחים בשלב הזה כדי להפעיל אוטומטית את ההצפנה מקצה לקצה ב-Gmail, בלי שתצטרכו להגדיר אישורי S/MIME. |
הפעלה או השבתה של חיפוש מותאם אישית למשתמשים |
| שלב 8: (אופציונלי) הגדרת גישה חיצונית | אתם יכולים להגדיר ספק זהויות (IdP) לאורחים כדי לתת גישה חיצונית לתוכן שמוצפן באמצעות הצפנה מצד הלקוח לארגונים שלא משתמשים בהצפנה מצד הלקוח ב-Google Workspace. | מתן גישה חיצונית לתוכן מוצפן בצד הלקוח |
| שלב 9: (אופציונלי) ייבוא הודעות ל-Gmail כהודעות S/MIME עם הצפנה מצד הלקוח | אם בארגון שלכם יש הודעות בשירות אחר או בפורמט הצפנה אחר, אתם יכולים להעביר את ההודעות האלה ל-Gmail כהודעות מוצפנות מצד הלקוח בפורמט S/MIME. | העברת הודעות ל-Gmail כאימייל מוצפן מצד הלקוח |
אם אתם משתמשים במפתחות הצפנה של חומרה ב-Gmail
כדי לעשות את זה צריך את התוסף Assured Controls או Assured Controls Plus.אם אתם רוצים להגדיר מפתחות הצפנה בחומרה לכל משתמשי Gmail או לחלק מהם, במקום שירות חיצוני למפתחות הצפנה, אתם צריכים לפעול לפי השלבים הבאים.
| שלב | תיאור | איך משלימים את השלב הזה |
|---|---|---|
| שלב 1: מחברים את Google Workspace לספק הזהויות | מתחברים ל-IdP של צד שלישי או לזהות של Google באמצעות מסוף Admin או קובץ .well-known שמתארח בשרת. ספק הזהויות מאמת את הזהות של המשתמשים לפני שהוא מאפשר להם להצפין תוכן או לגשת לתוכן מוצפן. | התחברות לספק הזהויות לצורך הצפנה מצד הלקוח |
| שלב 2: הגדרת מפתחות הצפנה של הציוד |
מתקינים את אפליקציית מפתח האבטחה של Google Workspace במכשירי Windows של המשתמשים. הערה: כדי לבצע את השלב הזה צריך ניסיון בעבודה עם סקריפטים של PowerShell. |
ב-Gmail בלבד: הגדרה וניהול של מפתחות הצפנה לחומרה |
| שלב 3: הוספת פרטי הצפנת החומרה למסוף Admin | מזינים את מספר היציאה שדרכה Google Workspace יתקשר עם קורא הכרטיסים החכמים במכשירי Windows של המשתמשים. | ב-Gmail בלבד: הגדרה וניהול של מפתחות הצפנה לחומרה |
| שלב 4: הקצאת הצפנת חומרה למשתמשים | הקצאת הצפנה באמצעות מפתחות פיזיים ליחידות הארגוניות או לקבוצות. | הקצאת הצפנה מצד הלקוח למשתמשים |
| שלב 5: מעלים את המפתחות הציבוריים להצפנה של המשתמשים |
יוצרים פרויקט ב-Google Cloud Platform (GCP) ומפעילים את Gmail API. לאחר מכן, מעניקים ל-API גישה לכל הארגון, מפעילים את CSE למשתמשי Gmail ומעלים מפתחות הצפנה ציבוריים ל-Gmail. הערה: כדי לבצע את השלב הזה צריך ניסיון בשימוש בממשקי API ובסקריפטים של Python. |
ב-Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח |
| שלב 6: (אופציונלי) ייבוא הודעות ל-Gmail כאימייל מוצפן מצד הלקוח | אם בארגון שלכם יש הודעות בשירות אחר או בפורמט הצפנה אחר, אתם יכולים להעביר אותן ל-Gmail בתור הודעות מוצפנות מצד הלקוח בפורמט S/MIME. | העברת הודעות ל-Gmail כאימייל מוצפן מצד הלקוח |
הצפנה מצד הלקוח (CSE) לציוד ל-Meet
כברירת מחדל, כל קובצי המדיה של השיחות ב-Meet מוצפנים, גם בזמן ההעברה וגם כשהם מאוחסנים. רק משתתפי הפגישה והשירותים שמיועדים ל-Meet במרכזי הנתונים של Google יכולים לפענח את המידע הזה.
הצפנה מצד הלקוח מספקת שכבת פרטיות נוספת על ידי הצפנת המדיה של השיחה ישירות בדפדפן של כל אחד מהמשתתפים, באמצעות מפתחות שרק להם יש גישה אליהם. רק המשתתפים יכולים לפענח את פרטי הפגישה שהוצפנו על ידי הדפדפן שלהם באמצעות המפתחות שלהם.
כדי לאפשר למשתמשים ליהנות מהיתרונות של ההצפנה מצד הלקוח, האדמינים צריכים לחבר את Workspace לספק זהויות חיצוני ולשירות למפתחות הצפנה (ספק זהויות + שירות מפתחות). פרטים על הגדרת ספק זהויות ושירות מפתחות מופיעים במאמר סקירה כללית על הגדרת CSE בדף הזה.
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.