התכונה הזו נתמכת במהדורות הבאות: Frontline Plus, Enterprise Plus, Education Standard ו-Education Plus. השוואה בין מהדורות
לפני שמתחילים להגדיר הצפנה מצד הלקוח (CSE) ב-Google Workspace, חשוב לעיין בדרישות, באפשרויות של מפתחות ההצפנה ובסקירה הכללית של ההגדרה.
דרישות לשימוש ב-CSE
הרשאות אדמין ל-CSE
כדי לנהל את ההצפנה מצד הלקוח בארגון, כולל:
- הוספה וניהול של שירותים למפתחות הצפנה
- הקצאת שירותים למפתחות הצפנה ליחידות ארגוניות ולקבוצות
- הפעלה או השבתה של חיפוש מותאם אישית למשתמשים
דרישות למשתמשים פנימיים ב-CSE
דרישות רישוי למשתמשים
- משתמשים צריכים רישיון ל-Google Workspace Frontline Plus, ל-Google Workspace Enterprise Plus, ל-Google Workspace Education Standard או ל-Google Workspace for Education Plus כדי להשתמש ב-CSE למטרות הבאות:
- יצירה או העלאה של תוכן שמוצפן בצד הלקוח
- אירוח פגישות מוצפנות
- שליחה או קבלה של אימייל מוצפן
- משתמשים יכולים לקבל כל סוג של רישיון ל-Google Workspace או ל-Cloud Identity כדי:
- איך צופים בתוכן המוצפן בצד הלקוח, עורכים אותו או מורידים אותו
- הצטרפות לפגישה עם הצפנה מצד הלקוח מהמחשב, מהנייד או מציוד ל-Google Meet
- משתמשים עם חשבון Google פרטי (כמו משתמשי Gmail) לא יכולים לגשת לתוכן מוצפן בצד הלקוח, לשלוח אימייל מוצפן או להשתתף בפגישות עם הצפנה בצד הלקוח.
דרישות הדפדפן
כדי להציג או לערוך תוכן מוצפן בצד הלקוח, המשתמשים צריכים להשתמש בדפדפן Google Chrome או בדפדפן Microsoft Edge (Chromium).
דרישות למשתמשים חיצוניים ב-CSE
אתם יכולים לאפשר למשתמשים חיצוניים לגשת לתוכן המוצפן בצד הלקוח. כדי לגשת להודעות Gmail המוצפנות של המשתמשים, משתמשים חיצוניים צריכים פשוט להשתמש ב-S/MIME. לגבי תוכן אחר, הדרישות שונות, בהתאם לשיטה שבה משתמשים כדי לספק גישה חיצונית. פרטים נוספים מופיעים במאמר בנושא מתן גישה חיצונית לתוכן מוצפן מצד הלקוח.
הסבר על אפשרויות למפתח הצפנה
שירותים חיצוניים למפתחות הצפנה
כדי להשתמש בהצפנה מצד הלקוח, הארגון שלכם צריך להשתמש במפתחות הצפנה משלו. יש 2 אפשרויות ליצירת מפתחות הצפנה:
- שימוש בשירות חיצוני למפתחות הצפנה שהוא שותף של Google. השירות למפתחות הצפנה יספק לכם הנחיות להגדרת השירות ב-Google Workspace. פרטים נוספים מופיעים במאמר בנושא בחירת שירות מפתחות להצפנה מצד הלקוח.
- אפשר ליצור שירות מפתחות משלכם באמצעות Google Workspace CSE API.
מקשי חומרה ב-Gmail
אם המשתמשים בארגון שלכם משתמשים בכרטיסים חכמים כדי לגשת למתקנים ולמערכות, אתם יכולים להגדיר הצפנה של מפתחות חומרה עבור הצפנה מצד הלקוח ב-Gmail במקום שירות מפתחות. המשתמשים יכולים להשתמש במפתח החומרה שלהם כדי לחתום על אימייל ולהצפין אותו. פרטים נוספים מופיעים במאמר Gmail בלבד: הגדרה וניהול של מפתחות הצפנה בחומרה.
סקירה כללית על הגדרה של ה-CSE
במאמר הזה מוסבר איך להגדיר הצפנה מצד הלקוח ב-Google Workspace. הדרך שבה מגדירים את CSE תלויה בסוג מפתחות ההצפנה שרוצים להשתמש בהם.
אם אתם משתמשים בשירות חיצוני למפתחות הצפנה
כדי להגדיר הצפנה ב-Google Drive, ביומן Google וב-Google Meet, פועלים לפי השלבים הבאים. תצטרכו לבצע את השלבים האלה גם ב-Gmail, אלא אם אתם רוצים להשתמש במפתחות הצפנה של חומרה רק ב-Gmail.
| שלב | תיאור | איך משלימים את השלב הזה |
|---|---|---|
| שלב 1: בוחרים את שירות המפתחות החיצוני להצפנה |
להירשם אצל אחד מהשותפים של Google שמספקים שירותים של מפתחות הצפנה, או ליצור שירות משלכם באמצעות ממשק ה-API של Google Workspace CSE. שירות המפתחות שולט במפתחות ההצפנה ברמה העליונה שמגנים על הנתונים שלכם. |
בחירת שירות מפתחות להצפנה מצד הלקוח |
| שלב 2: קישור Google Workspace לספק הזהויות |
להתחבר לספק זהויות של צד שלישי או לזהות Google באמצעות מסוף Admin או קובץ .well-known שמתארח בשרת. ספק הזהויות מאמת את הזהות של המשתמשים לפני שהוא מאפשר להם להצפין תוכן או לגשת לתוכן מוצפן. |
התחברות לספק הזהויות לצורך הצפנה מצד הלקוח |
| שלב 3: הגדרת שירות המפתחות החיצוני |
צריך לעבוד עם השותף שמספק את השירות למפתחות הצפנה כדי להגדיר את השירות להצפנה מצד הלקוח ב-Google Workspace. הערה: כשמשתמשים בהצפנה מצד הלקוח עם ציוד ל-Meet, השרת של שירות המפתחות החיצוני שמשמש לניהול מפתחות צריך לתמוך בהעברת שיחה, שמשמשת לאישור הצטרפות של חדר לפגישה בשם משתמש מאומת. לפרטים נוספים, אפשר לפנות לשירות המפתחות. |
|
| שלב 4: מוסיפים את פרטי שירות המפתחות למסוף Admin |
מוסיפים את כתובת ה-URL של השירות החיצוני למפתחות הצפנה למסוף Admin כדי לקשר את השירות ל-Google Workspace. אפשר להוסיף כמה שירותים למפתחות הצפנה כדי להקצות שירותים שונים למפתחות הצפנה ליחידות ארגוניות או לקבוצות ספציפיות. |
הוספה וניהול של שירותים למפתחות הצפנה לצורך הצפנה מצד הלקוח |
| שלב 5: הקצאת שירות המפתחות למשתמשים | מקצים את השירות למפתחות הצפנה, או כמה שירותים, ליחידות הארגוניות ולקבוצות. תצטרכו להקצות שירות מפתחות כברירת מחדל לארגון. | הקצאת הצפנה מצד הלקוח למשתמשים |
| שלב 6: (אופציונלי רק להודעות S/MIME ב-Gmail) מעלים את מפתחות ההצפנה של המשתמשים |
יוצרים פרויקט ב-Google Cloud Platform (GCP) ומפעילים את Gmail API. לאחר מכן, מעניקים ל-API גישה לכל הארגון, מפעילים את CSE למשתמשי Gmail ומעלים ל-Gmail מפתחות הצפנה פרטיים וציבוריים. הערה: כדי לבצע את השלב הזה צריך ניסיון בשימוש בממשקי API ובסקריפטים של Python. |
ב-Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח |
| שלב 7: הפעלת CSE למשתמשים |
מפעילים את CSE לכל יחידה ארגונית או קבוצה בארגון שכוללת משתמשים שצריכים ליצור תוכן שמוצפן מצד הלקוח. אפשר להפעיל את ה-CSE לכל השירותים הנתמכים או רק לשירותים ספציפיים (Gmail, Meet, Drive ויומן). הצפנת Gmail: אם יש לכם את התוסף Assured Controls ואתם לא משתמשים בהצפנה באמצעות מפתח חומרה ב-Gmail, אתם יכולים לבחור באפשרות הצפנה באמצעות חשבונות אורחים בשלב הזה כדי להפעיל אוטומטית את ההצפנה מקצה לקצה ב-Gmail, בלי שתצטרכו להגדיר אישורי S/MIME. |
הפעלה או השבתה של CSE למשתמשים |
| שלב 8: (אופציונלי) הגדרת גישה חיצונית | אתם יכולים להגדיר ספק זהויות (IdP) לאורחים כדי לתת גישה חיצונית לתוכן שמוצפן באמצעות הצפנה מצד הלקוח לארגונים שלא משתמשים בהצפנה מצד הלקוח ב-Google Workspace. | מתן גישה חיצונית לתוכן מוצפן בצד הלקוח |
| שלב 9: (אופציונלי) ייבוא הודעות ל-Gmail כהודעות S/MIME עם הצפנה מצד הלקוח | אם בארגון שלכם יש הודעות בשירות אחר או בפורמט הצפנה אחר, אתם יכולים להעביר את ההודעות האלה ל-Gmail כהודעות מוצפנות מצד הלקוח בפורמט S/MIME. | העברת הודעות ל-Gmail כאימייל מוצפן מצד הלקוח |
אם אתם משתמשים במפתחות הצפנה של חומרה ב-Gmail
נדרש התוסף Assured Controls או Assured Controls Plus.אם אתם רוצים להגדיר מפתחות הצפנה בחומרה לכל משתמשי Gmail או לחלק מהם, במקום שירות חיצוני למפתחות הצפנה, אתם צריכים לבצע את השלבים הבאים.
| שלב | תיאור | איך משלימים את השלב הזה |
|---|---|---|
| שלב 1: מחברים את Google Workspace לספק הזהויות | להתחבר לספק זהויות של צד שלישי או לזהות Google באמצעות מסוף Admin או קובץ .well-known שמתארח בשרת. ספק הזהויות מאמת את הזהות של המשתמשים לפני שהוא מאפשר להם להצפין תוכן או לגשת לתוכן מוצפן. | התחברות לספק הזהויות לצורך הצפנה מצד הלקוח |
| שלב 2: מגדירים את מפתחות ההצפנה של הציוד |
התקנה של אפליקציית מפתח האבטחה של Google Workspace במכשירי Windows של המשתמשים. הערה: כדי לבצע את השלב הזה, צריך ניסיון בעבודה עם סקריפטים של PowerShell. |
ב-Gmail בלבד: הגדרה וניהול של מפתחות הצפנה בחומרה |
| שלב 3: הוספת פרטי הצפנת החומרה למסוף Admin | מזינים את מספר היציאה שדרכה Google Workspace יתקשר עם קורא הכרטיסים החכמים במכשירי Windows של המשתמשים. | ב-Gmail בלבד: הגדרה וניהול של מפתחות הצפנה בחומרה |
| שלב 4: הקצאת הצפנת חומרה למשתמשים | הקצאת הצפנה באמצעות מפתחות חומרה ליחידות הארגוניות ולקבוצות. | הקצאת הצפנה מצד הלקוח למשתמשים |
| שלב 5: מעלים את המפתחות הציבוריים להצפנה של המשתמשים |
יוצרים פרויקט ב-Google Cloud Platform (GCP) ומפעילים את Gmail API. לאחר מכן, מעניקים ל-API גישה לכל הארגון, מפעילים את CSE למשתמשי Gmail ומעלים מפתחות הצפנה ציבוריים ל-Gmail. הערה: כדי לבצע את השלב הזה צריך ניסיון בשימוש בממשקי API ובסקריפטים של Python. |
ב-Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח |
| שלב 6: (אופציונלי) ייבוא הודעות ל-Gmail כאימייל מוצפן מצד הלקוח | אם בארגון שלכם יש הודעות בשירות אחר או בפורמט הצפנה אחר, אתם יכולים להעביר אותן ל-Gmail בתור הודעות מוצפנות מצד הלקוח בפורמט S/MIME. | העברת הודעות ל-Gmail כאימייל מוצפן מצד הלקוח |
הצפנה מצד הלקוח (CSE) בציוד ל-Meet
כברירת מחדל, כל קובצי המדיה של השיחות ב-Meet מוצפנים, גם בזמן ההעברה וגם כשהם מאוחסנים. רק משתתפי הפגישה והשירותים שמיועדים ל-Meet במרכזי הנתונים של Google יכולים לפענח את המידע הזה.
הצפנה מצד הלקוח מספקת שכבת פרטיות נוספת על ידי הצפנת קובצי המדיה של השיחה ישירות בדפדפן של כל אחד מהמשתתפים, באמצעות מפתחות שרק להם יש גישה אליהם. רק המשתתף יכול לפענח את פרטי הפגישה שהוצפנו על ידי הדפדפן שלו באמצעות המפתחות שלו.
כדי לאפשר למשתמשים ליהנות מהיתרונות של ההצפנה מצד הלקוח, האדמינים צריכים לחבר את Workspace לספק זהויות חיצוני ולשירות למפתחות הצפנה (ספק זהויות + שירות מפתחות). פרטים על הגדרת ספק זהויות (IdP) ושירות מפתחות מופיעים בקטע סקירה כללית על הגדרת CSE בדף הזה.
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.