Éditions compatibles avec cette fonctionnalité : Frontline Plus, Enterprise Plus, Education Standard et Education Plus. Comparer votre édition
Avant de commencer à configurer le chiffrement côté client (CSE) Google Workspace, consultez les conditions requises, les options des clés de chiffrement et la présentation de la configuration.
Conditions requises pour le CSE
Droits d'administrateur pour le CSE
Vous devez disposer des droits de super-administrateur pour Google Workspace afin de gérer le CSE pour votre organisation, y compris pour :
- Ajouter et gérer des services de clés
- Attribuer des services de clés à des unités organisationnelles et à des groupes
- Activer ou désactiver le CSE pour les utilisateurs
Conditions requises pour les utilisateurs internes pour le CSE
Exigences concernant les licences utilisateur
- Les utilisateurs doivent disposer d'une licence Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard ou Google Workspace for Education Plus pour utiliser le CSE afin de :
- Créer ou importer du contenu chiffré côté client
- Organiser des réunions chiffrées
- Envoyer ou recevoir des e-mails chiffrés
- Les utilisateurs peuvent disposer de n'importe quel type de licence Google Workspace ou Cloud Identity pour :
- Afficher, modifier ou télécharger du contenu chiffré côté client
- Participer à une réunion CSE depuis un ordinateur, un appareil mobile ou un appareil Google Meet
- Les utilisateurs disposant d'un compte Google personnel (par exemple, des utilisateurs Gmail) ne peuvent pas accéder au contenu chiffré côté client ni envoyer d'e-mails chiffrés, ni participer à des réunions chiffrées côté client.
Conditions requises pour les navigateurs
Pour afficher ou modifier du contenu chiffré côté client, les utilisateurs doivent utiliser le navigateur Google Chrome ou Microsoft Edge (Chromium).
Conditions requises pour les utilisateurs externes pour le CSE
Vous pouvez autoriser les utilisateurs externes à accéder au contenu chiffré côté client. Pour accéder aux messages Gmail chiffrés de vos utilisateurs, il suffit aux utilisateurs externes d'utiliser S/MIME. Pour les autres contenus, les conditions requises varient en fonction de la méthode que vous utilisez pour fournir un accès externe. Pour en savoir plus, consultez Fournir un accès externe au contenu chiffré côté client.
Comprendre les options des clés de chiffrement
Services de clés externes
Pour utiliser le chiffrement côté client, votre organisation doit utiliser ses propres clés de chiffrement. Vous disposez de deux options pour créer vos clés de chiffrement :
- Utilisez un service de clés de chiffrement externe partenaire de Google. Votre service de clés vous aidera à configurer le service pour Google Workspace. Pour en savoir plus, consultez Choisir votre service de clés pour le chiffrement côté client.
- Créez votre propre service de clés à l'aide de l'API Google Workspace CSE.
Clés matérielles pour Gmail
Si des membres de votre organisation utilisent des cartes à puce pour accéder aux installations et aux systèmes, vous pouvez configurer le chiffrement par clé matérielle pour le CSE Gmail au lieu d'un service de clés. Les utilisateurs peuvent utiliser leur clé matérielle pour signer et chiffrer des e-mails. Pour en savoir plus, consultez Configurer et gérer les clés de chiffrement matérielles (Gmail uniquement).
Présentation de la configuration du CSE
Voici un aperçu de la procédure à suivre pour configurer le chiffrement côté client Google Workspace. La configuration du CSE dépend du type de clés de chiffrement que vous souhaitez utiliser.
Si vous utilisez un service de clés de chiffrement externe
Suivez cette procédure pour configurer le chiffrement dans Google Drive, Google Agenda et Google Meet. Elle s'applique également dans Gmail, sauf si vous souhaitez uniquement utiliser des clés de chiffrement matérielles pour Gmail.
| Étape | Description | Comment effectuer cette étape |
|---|---|---|
| Étape 1 : Choisissez votre service de clés de chiffrement externe |
Inscrivez-vous auprès de l'un des partenaires de services de clés de chiffrement de Google ou créez votre propre service à l'aide de l'API Google Workspace CSE. Votre service de clés contrôle les clés de chiffrement de premier niveau qui protègent vos données. |
Choisir votre service de clés pour le chiffrement côté client |
| Étape 2 : Associez Google Workspace à votre fournisseur d'identité |
Connectez-vous à un IdP tiers ou à une identité Google via la console d'administration ou un fichier .well-known hébergé sur votre serveur. Votre IdP valide l'identité des utilisateurs avant de leur permettre de chiffrer du contenu ou d'accéder à du contenu chiffré. |
Se connecter au fournisseur d'identité pour le chiffrement côté client |
| Étape 3 : Configurez votre service de clés externe |
Configurez le service pour le chiffrement côté client Google Workspace avec votre partenaire de services de clés. Remarque : Lorsque vous utilisez le CSE avec le matériel Meet, le serveur du service de clés externe utilisé pour la gestion des clés doit être compatible avec l'appel de délégation, qui permet d'autoriser une salle à rejoindre une réunion au nom d'un utilisateur authentifié. Pour en savoir plus, contactez votre service de clés. |
Configurer votre service de clés pour le chiffrement côté client |
| Étape 4 : Ajoutez les informations de votre service de clés à la console d'administration |
Ajoutez l'URL de votre service de clés externe à la console d'administration pour l'associer à Google Workspace. Vous pouvez ajouter plusieurs services de clés pour attribuer des services de clés différents à des unités organisationnelles ou à des groupes spécifiques. |
Ajouter et gérer des services de clés pour le chiffrement côté client |
| Étape 5 : Attribuez votre service de clés aux utilisateurs | Attribuez votre service de clés ou plusieurs services à vos unités organisationnelles et groupes. Vous devez attribuer un service de clés par défaut à votre organisation. | Définir le chiffrement côté client pour les utilisateurs |
| Étape 6 : (Facultatif pour les messages S/MIME Gmail uniquement) Importez les clés de chiffrement des utilisateurs |
Créez un projet Google Cloud Platform (GCP), puis activez l'API Gmail. Autorisez ensuite l'API à accéder à l'ensemble de votre organisation, activez le CSE pour les utilisateurs Gmail, et importez des clés de chiffrement privées et publiques dans Gmail. Remarque : Cette étape nécessite une bonne connaissance des API et des scripts Python. |
Gmail uniquement : Configurer des certificats S/MIME pour le chiffrement côté client |
| Étape 7 : Activez le CSE pour les utilisateurs |
Activez le CSE pour toutes les unités organisationnelles ou tous les groupes de votre organisation dont les utilisateurs doivent créer du contenu chiffré côté client. Vous pouvez activer le CSE pour tous les services compatibles ou seulement pour certains (Gmail, Meet, Drive et Agenda). CSE Gmail : si vous disposez du module complémentaire Assured Controls et que vous n'utilisez pas le chiffrement par clé matérielle pour Gmail, vous pouvez sélectionner l'option Chiffrement avec des comptes invités lors de cette étape pour activer automatiquement le chiffrement de bout en bout de Gmail, sans avoir à configurer de certificats S/MIME. |
Activer ou désactiver le CSE pour les utilisateurs |
| Étape 8 : (Facultatif) Configurez l'accès externe | Vous pouvez accorder un accès externe au contenu chiffré côté client en configurant un fournisseur d'identité (IdP) pour les invités pour les organisations qui n'utilisent pas le CSE Google Workspace. | Fournir un accès externe au contenu chiffré côté client |
| Étape 9 : (Facultatif) Importez les messages dans Gmail en tant que messages S/MIME chiffrés côté client | Si votre organisation possède des messages dans un autre service ou dans un autre format de chiffrement, vous pouvez les migrer vers Gmail en tant que messages chiffrés côté client au format S/MIME. | Migrer des messages vers Gmail en tant qu'e-mails chiffrés côté client |
Si vous utilisez des clés de chiffrement matérielles pour Gmail
Vous devez disposer du module complémentaire Assured Controls ou Assured Controls Plus.Suivez cette procédure si vous souhaitez configurer des clés de chiffrement matérielles pour tous vos utilisateurs Gmail ou certains d'entre eux, au lieu d'un service de clés externe.
| Étape | Description | Comment effectuer cette étape |
|---|---|---|
| Étape 1 : Associez Google Workspace à votre fournisseur d'identité | Connectez-vous à un IdP tiers ou à une identité Google via la console d'administration ou un fichier .well-known hébergé sur votre serveur. Votre IdP valide l'identité des utilisateurs avant de leur permettre de chiffrer du contenu ou d'accéder à du contenu chiffré. | Se connecter au fournisseur d'identité pour le chiffrement côté client |
| Étape 2 : Configurez vos clés de chiffrement matérielles |
Installez l'application Google Workspace Hardware Key sur les appareils Windows des utilisateurs. Remarque : Cette étape nécessite une bonne connaissance des scripts PowerShell. |
Configurer et gérer les clés de chiffrement matérielles (Gmail uniquement) |
| Étape 3 : Ajoutez les informations sur le chiffrement par clé matérielle dans la console d'administration | Saisissez le numéro de port sur lequel Google Workspace communiquera avec le lecteur de carte à puce sur les appareils Windows des utilisateurs. | Configurer et gérer les clés de chiffrement matérielles (Gmail uniquement) |
| Étape 4 : Attribuez le chiffrement par clé matérielle aux utilisateurs | Attribuez le chiffrement par clé matérielle à vos unités organisationnelles et groupes. | Définir le chiffrement côté client pour les utilisateurs |
| Étape 5 : Importez les clés de chiffrement publiques des utilisateurs |
Créez un projet Google Cloud Platform (GCP), puis activez l'API Gmail. Autorisez ensuite l'API à accéder à l'ensemble de votre organisation, activez le CSE pour les utilisateurs Gmail et importez des clés de chiffrement publiques dans Gmail. Remarque : Cette étape nécessite une bonne connaissance des API et des scripts Python. |
Gmail uniquement : Configurer des certificats S/MIME pour le chiffrement côté client |
| Étape 6 : (Facultatif) Importez les messages dans Gmail en tant qu'e-mails chiffrés côté client | Si votre organisation possède des messages dans un autre service ou dans un autre format de chiffrement, vous pouvez, en tant qu'administrateur, les migrer vers Gmail en tant que messages chiffrés côté client au format S/MIME. | Migrer des messages vers Gmail en tant qu'e-mails chiffrés côté client |
CSE pour le matériel Meet
Par défaut, Meet chiffre tous les contenus multimédias des appels, en transit et au repos. Seuls les participants à la réunion et les services des centres de données de Google peuvent déchiffrer ces informations.
Le CSE offre une couche de confidentialité supplémentaire en chiffrant les contenus multimédias des appels directement dans le navigateur de chaque participant à l'aide de clés auxquelles seul le participant a accès. Seul le participant peut déchiffrer les informations de la réunion chiffrées par son navigateur à l'aide de ses clés.
Pour permettre aux utilisateurs de profiter du CSE, les administrateurs doivent associer Workspace à un fournisseur d'identité externe et à un service de clés de chiffrement (IdP + service de clés). Pour savoir comment configurer un service de clés et un fournisseur d'identité, consultez Présentation de la configuration du CSE sur cette page.
Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.