Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Standard y Education Plus. Comparar tu edición
Antes de comenzar a configurar la encriptación del cliente (CSE) de Google Workspace, revisa los requisitos, las opciones de claves de encriptación y el resumen de la configuración.
Requisitos de la CSE
Privilegios de administrador para la CSE
Necesitas privilegios de administrador avanzado de Google Workspace para administrar la CSE de tu organización, lo que incluye lo siguiente:
- Cómo agregar y administrar servicios de claves
- Asigna servicios de claves a unidades organizativas y grupos
- Cómo activar o desactivar la CSE para los usuarios
Requisitos de los usuarios internos para la CSE
Requisitos de licencias de usuario
- Los usuarios necesitan una licencia de Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard o Google Workspace for Education Plus para usar el CSE en las siguientes acciones:
- Crear o subir contenido encriptado del lado del cliente
- Organiza reuniones encriptadas
- Enviar o recibir correos electrónicos encriptados
- Los usuarios pueden tener cualquier tipo de licencia de Google Workspace o Cloud Identity para realizar las siguientes acciones:
- Visualiza, edita o descarga contenido encriptado del lado del cliente
- Cómo unirse a una reunión con CSE desde una computadora, un dispositivo móvil o un dispositivo de hardware de Google Meet
- Los usuarios con una Cuenta de Google de consumidor (como los usuarios de Gmail) no pueden acceder al contenido encriptado del cliente, enviar correos electrónicos encriptados ni participar en reuniones con encriptación del cliente.
Requisitos del navegador
Para ver o editar contenido encriptado del cliente, los usuarios deben usar el navegador Google Chrome o Microsoft Edge (Chromium).
Requisitos para usuarios externos del CSE
Puedes permitir que los usuarios externos accedan al contenido encriptado del cliente. Para acceder a los mensajes encriptados de Gmail de tus usuarios, los usuarios externos solo deben usar S/MIME. En el caso de otro contenido, los requisitos difieren según el método que uses para proporcionar acceso externo. Para obtener más información, consulta Proporciona acceso externo al contenido con encriptación del cliente.
Información sobre las opciones de la clave de encriptación
Servicios de claves externos
Para usar la encriptación del cliente, tu organización debe usar sus propias claves de encriptación. Tienes 2 opciones para crear tus claves de encriptación:
- Usar un servicio de claves de encriptación externo que se asocie con Google Tu servicio clave te guiará para configurar el servicio para Google Workspace. Para obtener más información, consulta Elige tu servicio de claves para la encriptación del cliente.
- Compila tu propio servicio de claves con la API de CSE de Google Workspace.
Llaves de hardware para Gmail
Si los usuarios de tu organización usan tarjetas inteligentes para acceder a instalaciones y sistemas, puedes configurar la encriptación de claves de hardware para el CSE de Gmail en lugar de un servicio de claves. Los usuarios pueden usar su llave de hardware para firmar y encriptar correos electrónicos. Para obtener más información, consulta Solo Gmail: Configura y administra la encriptación con claves de hardware.
Descripción general de la configuración de la CSE
A continuación, se incluye una descripción general de los pasos que deberás seguir para configurar la encriptación del cliente de Google Workspace. La forma en que configures la CSE dependerá del tipo de claves de encriptación que quieras usar.
Si usas un servicio de claves de encriptación externo
Sigue estos pasos para configurar la encriptación de Google Drive, Calendario de Google y Google Meet. También seguirás estos pasos para Gmail, a menos que quieras usar solo claves de encriptación de hardware para Gmail.
| Paso | Descripción | Cómo completar este paso |
|---|---|---|
| Paso 1: Elige tu servicio de claves de encriptación externo |
Regístrate con uno de los socios de servicios de claves de encriptación de Google o crea tu propio servicio con la API de CSE de Google Workspace. Tu servicio de claves controla las claves de encriptación de nivel superior que protegen tus datos. |
Elige tu servicio de claves para la encriptación del cliente |
| Paso 2: Conecta Google Workspace a tu proveedor de identidad |
Conéctate a un IdP externo o a la identidad de Google, ya sea a través de la Consola del administrador o de un archivo .well-known alojado en tu servidor. Tu IdP verifica la identidad de los usuarios antes de permitirles encriptar contenido o acceder a contenido encriptado. |
Conéctate a tu proveedor de identidad para usar la encriptación del cliente |
| Paso 3: Configura tu servicio de claves externo |
Trabaja con tu socio de servicios de claves para configurar el servicio de encriptación del cliente de Google Workspace. Nota: Cuando se usa la CSE con hardware de Meet, el servidor del servicio de claves externo que se usa para la administración de claves debe admitir la llamada delegada, que se usa para autorizar a una sala a unirse a una reunión en nombre de un usuario autenticado. Para obtener más información, comunícate con tu servicio de claves. |
Configura tu servicio de claves para la encriptación del cliente |
| Paso 4: Agrega la información del servicio de claves a la Consola del administrador |
Agrega la URL de tu servicio de claves externo a la Consola del administrador para conectar el servicio a Google Workspace. Puedes agregar varios servicios de claves para asignar diferentes servicios de claves a unidades organizativas o grupos específicos. |
Agrega y administra servicios de claves para la encriptación del cliente |
| Paso 5: Asigna tu servicio de llaves a los usuarios | Asigna tu servicio de claves, o varios servicios, a tus unidades organizativas y grupos. Deberás asignar un servicio de claves como predeterminado para tu organización. | Cómo asignar la encriptación del cliente a los usuarios |
| Paso 6: Sube las claves de encriptación de los usuarios (opcional, solo para mensajes S/MIME de Gmail) |
Crea un proyecto de Google Cloud Platform (GCP) y habilita la API de Gmail. Luego, otorga acceso a la API a toda tu organización, activa la CSE para los usuarios de Gmail y sube las claves de encriptación privadas y públicas a Gmail. Nota: Este paso requiere experiencia en el uso de APIs y secuencias de comandos de Python. |
Solo Gmail: Configura certificados S/MIME para la encriptación del cliente |
| Paso 7: Activa la CSE para los usuarios |
Activa la CSE para cualquier unidad organizativa o grupo de tu organización que tenga usuarios que necesiten crear contenido con encriptación del cliente. Puedes activar la CSE para todos los servicios admitidos o solo para algunos específicos (Gmail, Meet, Drive y Calendario). CSE de Gmail: Si tienes el complemento Assured Controls y no usas la encriptación con clave de hardware para Gmail, puedes seleccionar la opción Encriptación con cuentas de invitado durante este paso para habilitar automáticamente la E2EE de Gmail, sin necesidad de configurar certificados S/MIME. |
Activa o desactiva la CSE para los usuarios |
| Paso 8: Configura el acceso externo (opcional) | Puedes proporcionar acceso externo al contenido encriptado del cliente configurando un proveedor de identidad (IdP) para invitados en las organizaciones que no usan la CSE de Google Workspace. | Proporciona acceso externo al contenido con encriptación del cliente |
| Paso 9: (Opcional) Importa mensajes a Gmail como mensajes S/MIME con encriptación del cliente | Si tu organización tiene mensajes en otro servicio o en otro formato de encriptación, puedes migrarlos a Gmail como mensajes encriptados del cliente en formato S/MIME. | Cómo migrar mensajes a Gmail como correos electrónicos con encriptación del cliente |
Si usas claves de encriptación de hardware para Gmail
Requiere tener el complemento de Assured Controls o Assured Controls Plus.Sigue estos pasos si deseas configurar claves de encriptación de hardware para todos o algunos de tus usuarios de Gmail, en lugar de un servicio de claves externo.
| Paso | Descripción | Cómo completar este paso |
|---|---|---|
| Paso 1: Conecta Google Workspace a tu proveedor de identidad | Conéctate a un IdP externo o a la identidad de Google, ya sea a través de la Consola del administrador o de un archivo .well-known alojado en tu servidor. Tu IdP verifica la identidad de los usuarios antes de permitirles encriptar contenido o acceder a contenido encriptado. | Conéctate a tu proveedor de identidad para usar la encriptación del cliente |
| Paso 2: Configura tus claves de encriptación de hardware |
Instala la aplicación de Claves de hardware de Google Workspace en los dispositivos Windows de los usuarios. Nota: Este paso requiere experiencia en el trabajo con secuencias de comandos de PowerShell. |
Solo Gmail: Configura y administra las claves de encriptación de hardware |
| Paso 3: Agrega información de encriptación por hardware a la Consola del administrador | Ingresa el número de puerto en el que Google Workspace se comunicará con el lector de tarjetas inteligentes en los dispositivos Windows de los usuarios. | Solo Gmail: Configura y administra las claves de encriptación de hardware |
| Paso 4: Asigna la encriptación por hardware a los usuarios | Asigna la encriptación de claves de hardware a tus grupos y unidades organizativas. | Cómo asignar la encriptación del cliente a los usuarios |
| Paso 5: Sube las claves de encriptación públicas de los usuarios |
Crea un proyecto de Google Cloud Platform (GCP) y habilita la API de Gmail. Luego, otorga acceso a la API a toda tu organización, activa el CSE para los usuarios de Gmail y sube las claves de encriptación públicas a Gmail. Nota: Este paso requiere experiencia en el uso de APIs y secuencias de comandos de Python. |
Solo Gmail: Configura certificados S/MIME para la encriptación del cliente |
| Paso 6: (Opcional) Importa mensajes a Gmail como correos electrónicos con encriptación del cliente | Si tu organización tiene mensajes en otro servicio o en otro formato de encriptación, como administrador, puedes migrar esos mensajes a Gmail como mensajes encriptados del cliente en formato S/MIME. | Cómo migrar mensajes a Gmail como correos electrónicos con encriptación del cliente |
CSE para hardware de Meet
De forma predeterminada, Meet encripta todo el contenido multimedia de las llamadas, tanto en tránsito como en reposo. Solo los participantes de la reunión y los servicios del centro de datos de Google pueden desencriptar esta información.
La CSE ofrece otra capa de privacidad, ya que encripta el contenido multimedia de la llamada directamente en el navegador de cada participante con claves a las que solo ellos tienen acceso. Solo el participante puede desencriptar la información de la reunión que encriptó su navegador con sus claves.
Para que los usuarios aprovechen la CSE, los administradores deben conectar Workspace a un proveedor de identidad externo y a un servicio de claves de encriptación (servicio de claves + IdP). Para obtener detalles sobre cómo configurar un servicio de IdP y claves, consulta Descripción general de la configuración de CSE en esta página.
Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.