Versioni supportate per questa funzionalità: Frontline Plus; Enterprise Plus; Education Standard ed Education Plus. Confronta la tua versione
Prima di iniziare a configurare la crittografia lato client di Google Workspace, esamina i requisiti, le opzioni per le chiavi di crittografia e la panoramica della configurazione.
Requisiti per la crittografia lato client
Privilegi amministrativi per la crittografia lato client
Per gestire la crittografia lato client per la tua organizzazione, devi disporre dei privilegi di super amministratore per Google Workspace, tra cui:
- Aggiunta e gestione dei servizi chiavi
- Assegnazione di servizi chiavi a unità organizzative e gruppi
- Attivazione o disattivazione della crittografia lato client per gli utenti
Requisiti per gli utenti interni per la crittografia lato client
Requisiti relativi alle licenze utente
- Gli utenti devono disporre di una licenza Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard o Google Workspace for Education Plus per utilizzare la crittografia lato client per:
- Creare o caricare contenuti con crittografia lato client
- Organizzare riunioni criptate
- Inviare o ricevere email criptate
- È sufficiente un qualsiasi tipo di licenza Google Workspace o Cloud Identity per:
- Visualizzare, modificare o scaricare i contenuti con crittografia lato client
- Partecipare a una riunione con crittografia lato client da un computer, un dispositivo mobile o un dispositivo hardware Google Meet
- Gli utenti con un Account Google consumer, ad esempio gli utenti di Gmail, non possono accedere ai contenuti criptati sul lato client, inviare email criptate o partecipare a riunioni con crittografia lato client.
Requisiti del browser
Per visualizzare o modificare contenuti con crittografia lato client, gli utenti devono utilizzare il browser Google Chrome o Microsoft Edge (Chromium).
Requisiti per gli utenti esterni per la crittografia lato client
Puoi consentire agli utenti esterni di accedere ai contenuti criptati sul lato client. Per accedere ai messaggi Gmail criptati dei tuoi utenti, gli utenti esterni devono solo utilizzare S/MIME. Per gli altri contenuti, i requisiti variano a seconda del metodo utilizzato per fornire l'accesso esterno. Per maggiori dettagli, vedi Fornisci accesso esterno ai contenuti con crittografia lato client.
Comprendere le opzioni della chiave di crittografia
Servizi chiavi esterni
Per utilizzare la crittografia lato client, la tua organizzazione deve utilizzare le proprie chiavi di crittografia. Hai due opzioni per creare le chiavi di crittografia:
- Utilizzare un servizio chiavi di crittografia esterno che collabora con Google. Il servizio chiavi ti guiderà nella configurazione del servizio per Google Workspace. Per maggiori dettagli, vedi Scegliere il servizio chiavi per la crittografia lato client.
- Crea il tuo servizio chiavi utilizzando l'API Client-Side Encryption di Google Workspace.
Tasti hardware per Gmail
Se gli utenti della tua organizzazione utilizzano smart card per accedere a strutture e sistemi, puoi configurare la crittografia delle chiavi hardware per la crittografia lato client di Gmail, anziché un servizio chiavi. Gli utenti possono utilizzare la propria chiave hardware per firmare e criptare le email. Per maggiori dettagli, consulta Solo Gmail: configurare e gestire le chiavi di crittografia hardware.
Panoramica della configurazione della crittografia lato client
Ecco una panoramica dei passaggi da seguire per configurare la crittografia lato client di Google Workspace. La modalità di configurazione della crittografia lato client dipende dal tipo di chiavi di crittografia che vuoi utilizzare.
Se utilizzi un servizio chiavi di crittografia esterno
Segui questi passaggi per configurare la crittografia per Google Drive, Google Calendar e Google Meet. Dovrai seguire questi passaggi anche per Gmail, a meno che tu non voglia solo utilizzare chiavi di crittografia hardware per Gmail.
| Passaggio | Descrizione | Come completare questo passaggio |
|---|---|---|
| Passaggio 1: scegli il servizio chiavi di crittografia esterno |
Registrati con uno dei partner di Google per i servizi chiavi di crittografia o crea il tuo servizio utilizzando l'API Client-Side Encryption di Google Workspace. Il servizio chiavi controlla le chiavi di crittografia di primo livello che proteggono i tuoi dati. |
Scegliere il servizio chiavi per la crittografia lato client |
| Passaggio 2: connetti Google Workspace al provider di identità |
Connettiti a un IdP di terze parti o a un'identità Google utilizzando la Console di amministrazione o un file .well-known ospitato sul tuo server. L'IdP verifica l'identità degli utenti prima di consentire loro di criptare contenuti o di accedervi. |
Stabilire la connessione a un provider di identità per la crittografia lato client |
| Passaggio 3: configura il servizio chiavi esterno |
Collabora con il tuo partner del servizio chiavi per configurare il servizio per la crittografia lato client di Google Workspace. Nota: quando utilizzi la crittografia lato client con l'hardware Meet, il server del servizio chiavi esterno utilizzato per la gestione delle chiavi deve supportare la chiamata delegata, che viene utilizzata per autorizzare una sala a partecipare a una riunione per conto di un utente autenticato. Per maggiori dettagli, rivolgiti al tuo servizio chiavi. |
Configurare il servizio chiavi per la crittografia lato client |
| Passaggio 4: aggiungi le informazioni del servizio chiavi alla Console di amministrazione |
Aggiungi l'URL del servizio chiavi esterno alla Console di amministrazione per connettere il servizio a Google Workspace. Puoi aggiungere più servizi chiavi se vuoi assegnare servizi chiavi diversi per unità organizzative o gruppi specifici. |
Aggiungere e gestire i servizi chiavi per la crittografia lato client |
| Passaggio 5: assegna il servizio chiavi agli utenti | Assegna il servizio chiavi o più servizi a unità organizzative e gruppi. Dovrai assegnare un servizio chiavi come predefinito per la tua organizzazione. | Assegnare la crittografia lato client agli utenti |
| Passaggio 6: (facoltativo solo per i messaggi S/MIME di Gmail) carica le chiavi di crittografia degli utenti |
Crea un progetto Google Cloud e abilita l'API Gmail. Quindi concedi l'accesso API all'intera organizzazione, attiva la crittografia lato client per gli utenti Gmail e carica le chiavi di crittografia private e pubbliche su Gmail. Nota:questo passaggio richiede esperienza nell'utilizzo di API e script Python. |
Solo Gmail: configura i certificati S/MIME per la crittografia lato client |
| Passaggio 7: attiva la crittografia lato client per gli utenti |
Attiva la crittografia lato client per tutte le unità organizzative o i gruppi della tua organizzazione con utenti che devono creare contenuti criptati sul lato client. Puoi attivare la crittografia lato client per tutti i servizi supportati o solo per alcuni specifici (Gmail, Meet, Drive e Calendar). Crittografia lato client di Gmail:se hai il componente aggiuntivo Assured Controls e non utilizzi la crittografia con chiavi hardware per Gmail, puoi selezionare l'opzione Crittografia con account ospite durante questo passaggio per attivare automaticamente la crittografia end-to-end di Gmail, senza dover configurare i certificati S/MIME. |
Attivare o disattivare la crittografia lato client per gli utenti |
| (Facoltativo) Passaggio 8: configura l'accesso esterno | Puoi fornire l'accesso esterno ai contenuti criptati sul lato client configurando un provider di identità (IdP) ospite per le organizzazioni che non utilizzano la crittografia lato client di Google Workspace. | Fornire accesso esterno ai contenuti con crittografia lato client |
| Passaggio 9: (facoltativo) importa i messaggi in Gmail come messaggi S/MIME con crittografia lato client | Se la tua organizzazione utilizza messaggi in un altro servizio o in un altro formato di crittografia, puoi eseguirne la migrazione a Gmail come messaggi con crittografia lato client in formato S/MIME. | Esegui la migrazione dei messaggi a Gmail come email con crittografia lato client |
Se utilizzi chiavi di crittografia hardware per Gmail
È necessario disporre del componente aggiuntivo Assured Controls o Assured Controls Plus.Segui questi passaggi se vuoi configurare chiavi di crittografia hardware per tutti o alcuni dei tuoi utenti di Gmail, anziché un servizio chiavi esterno.
| Passaggio | Descrizione | Come completare questo passaggio |
|---|---|---|
| Passaggio 1: connetti Google Workspace al tuo provider di identità | Connettiti a un IdP di terze parti o a un'identità Google utilizzando la Console di amministrazione o un file .well-known ospitato sul tuo server. L'IdP verifica l'identità degli utenti prima di consentire loro di criptare contenuti o di accedervi. | Stabilire la connessione a un provider di identità per la crittografia lato client |
| Passaggio 2: configura le chiavi di crittografia hardware |
Installa l'applicazione Google Workspace Hardware Key sui dispositivi Windows degli utenti. Nota:questo passaggio richiede esperienza con gli script di PowerShell. |
Solo Gmail: configura e gestisci le chiavi di crittografia hardware |
| Passaggio 3: aggiungi le informazioni sulla crittografia hardware alla Console di amministrazione | Inserisci il numero di porta su cui Google Workspace comunicherà con il lettore di smart card sui dispositivi Windows degli utenti. | Solo Gmail: configura e gestisci le chiavi di crittografia hardware |
| Passaggio 4: assegna la crittografia hardware agli utenti | Assegna la crittografia della chiave hardware alle unità organizzative e ai gruppi. | Assegnare la crittografia lato client agli utenti |
| Passaggio 5: carica le chiavi di crittografia pubbliche degli utenti |
Crea un progetto Google Cloud e abilita l'API Gmail. Quindi concedi l'accesso API all'intera organizzazione, attiva la crittografia lato client per gli utenti Gmail e carica le chiavi di crittografia pubbliche su Gmail. Nota:questo passaggio richiede esperienza nell'utilizzo di API e script Python. |
Solo Gmail: configura i certificati S/MIME per la crittografia lato client |
| Passaggio 6: (facoltativo) importa i messaggi in Gmail come email con crittografia lato client | Se la tua organizzazione utilizza messaggi in un altro servizio o in un altro formato di crittografia, in qualità di amministratore puoi eseguirne la migrazione a Gmail come messaggi con crittografia lato client in formato S/MIME. | Esegui la migrazione dei messaggi a Gmail come email con crittografia lato client |
Crittografia lato client per l'hardware Meet
Per impostazione predefinita, Meet cripta tutti i contenuti multimediali delle chiamate, sia in transito che at-rest. Solo i partecipanti alla riunione e i servizi di data center di Google possono decriptare queste informazioni.
La crittografia lato client offre un ulteriore livello di privacy criptando i contenuti multimediali delle chiamate direttamente nel browser di ciascun partecipante, utilizzando chiavi accessibili solo a loro. Solo il partecipante è in grado di decriptare le informazioni della riunione criptate dal browser utilizzando le proprie chiavi.
Per consentire agli utenti di usufruire della crittografia lato client, gli amministratori devono connettere Workspace a un provider di identità e un servizio chiavi di crittografia (IdP+servizio chiavi) esterni. Per informazioni dettagliate sulla configurazione di un servizio chiavi + IdP, vedi Panoramica della configurazione della crittografia lato client in questa pagina.
Google, Google Workspace e i marchi e i loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.