Edisi yang didukung untuk fitur ini: Frontline Plus; Enterprise Plus; Education Standard dan Education Plus. Bandingkan edisi Anda
Sebelum Anda mulai menyiapkan Enkripsi sisi klien (CSE) Google Workspace, tinjau persyaratan, opsi kunci enkripsi, dan ringkasan penyiapan.
Persyaratan CSE
Hak istimewa administrator untuk CSE
Anda memerlukan hak istimewa administrator super untuk Google Workspace guna mengelola CSE untuk organisasi Anda, termasuk:
- Menambahkan dan mengelola layanan kunci enkripsi
- Menetapkan layanan kunci enkripsi ke unit organisasi dan grup
- Mengaktifkan atau menonaktifkan CSE untuk pengguna
Persyaratan pengguna internal untuk CSE
Persyaratan lisensi pengguna
- Pengguna memerlukan lisensi Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard, atau Google Workspace for Education Plus agar dapat menggunakan CSE untuk:
- Membuat atau mengupload konten terenkripsi sisi klien
- Menyelenggarakan rapat terenkripsi
- Mengirim atau menerima email terenkripsi
- Pengguna dapat menggunakan jenis lisensi Google Workspace atau Cloud Identity apa pun untuk:
- Melihat, mengedit, atau mendownload konten terenkripsi sisi klien
- Bergabung ke rapat CSE dari komputer, perangkat seluler, atau perangkat Google Meet hardware
- Pengguna dengan Akun Google konsumen (seperti pengguna Gmail) tidak dapat mengakses konten terenkripsi sisi klien, mengirim email terenkripsi, atau berpartisipasi dalam rapat terenkripsi sisi klien.
Persyaratan browser
Untuk melihat atau mengedit konten terenkripsi sisi klien, pengguna harus menggunakan browser Google Chrome atau Microsoft Edge (Chromium).
Persyaratan pengguna eksternal untuk CSE
Anda dapat mengizinkan pengguna eksternal mengakses konten terenkripsi sisi klien. Untuk mengakses pesan Gmail terenkripsi milik pengguna Anda, pengguna eksternal hanya perlu menggunakan S/MIME. Untuk konten lainnya, persyaratannya berbeda, bergantung pada metode yang Anda gunakan untuk memberikan akses eksternal. Untuk mengetahui detailnya, lihat Memberikan akses eksternal ke konten terenkripsi sisi klien.
Memahami opsi kunci enkripsi
Layanan kunci eksternal
Untuk menggunakan enkripsi sisi klien, organisasi Anda harus menggunakan kunci enkripsinya sendiri. Anda memiliki 2 opsi untuk membuat kunci enkripsi:
- Gunakan layanan kunci enkripsi eksternal yang berpartner dengan Google. Layanan kunci enkripsi akan memandu Anda menyiapkan layanan untuk Google Workspace. Untuk mengetahui detailnya, buka Memilih layanan kunci enkripsi untuk enkripsi sisi klien.
- Buat layanan kunci enkripsi Anda sendiri menggunakan Google Workspace CSE API.
Kunci hardware untuk Gmail
Jika pengguna di organisasi Anda menggunakan kartu smart untuk mengakses fasilitas dan sistem, Anda dapat menyiapkan enkripsi kunci hardware untuk CSE Gmail, bukan layanan kunci enkripsi. Pengguna dapat menggunakan kunci hardware mereka untuk menandatangani dan mengenkripsi email. Untuk mengetahui detailnya, buka Khusus Gmail: Menyiapkan dan mengelola kunci enkripsi hardware.
Ringkasan penyiapan CSE
Berikut ringkasan langkah-langkah yang diperlukan untuk menyiapkan Enkripsi sisi klien Google Workspace. Cara Anda menyiapkan CSE bergantung pada jenis kunci enkripsi yang ingin Anda gunakan.
Jika Anda menggunakan layanan kunci enkripsi eksternal
Ikuti langkah-langkah berikut untuk menyiapkan enkripsi untuk Google Drive, Google Kalender, dan Google Meet. Anda juga perlu mengikuti langkah-langkah ini untuk Gmail, kecuali jika Anda hanya ingin menggunakan kunci enkripsi hardware untuk Gmail.
| Langkah | Deskripsi | Cara menyelesaikan langkah ini |
|---|---|---|
| Langkah 1: Pilih layanan kunci enkripsi eksternal Anda |
Daftar ke salah satu partner layanan kunci enkripsi Google, atau buat layanan Anda sendiri menggunakan Google Workspace CSE API. Layanan kunci enkripsi Anda mengontrol kunci enkripsi tingkat atas yang melindungi data Anda. |
Memilih layanan kunci enkripsi untuk enkripsi sisi klien |
| Langkah 2: Hubungkan Google Workspace ke penyedia identitas Anda |
Hubungkan ke IdP pihak ketiga atau identitas Google, menggunakan konsol Admin atau file .well-known yang dihosting di server Anda. IdP Anda memverifikasi identitas pengguna sebelum mengizinkan mereka mengenkripsi konten atau mengakses konten terenkripsi. |
Menghubungkan ke penyedia identitas Anda untuk enkripsi sisi klien |
| Langkah 3: Siapkan layanan kunci eksternal Anda |
Bekerja sama dengan partner layanan kunci enkripsi Anda dalam menyiapkan layanan untuk Enkripsi sisi klien Google Workspace. Catatan: Saat menggunakan CSE dengan Meet hardware, server layanan kunci eksternal yang digunakan untuk pengelolaan kunci harus mendukung panggilan delegasi, yang digunakan untuk memberikan otorisasi ke ruang agar dapat bergabung ke rapat atas nama pengguna yang diautentikasi. Untuk mengetahui detailnya, hubungi layanan kunci enkripsi Anda. |
|
| Langkah 4: Tambahkan informasi layanan kunci enkripsi Anda ke konsol Admin |
Tambahkan URL layanan kunci eksternal Anda ke konsol Admin untuk menghubungkan layanan ke Google Workspace. Anda dapat menambahkan beberapa layanan kunci enkripsi untuk menetapkan layanan kunci enkripsi yang berbeda untuk unit organisasi atau grup tertentu. |
Menambahkan dan mengelola layanan kunci enkripsi untuk enkripsi sisi klien |
| Langkah 5: Tetapkan layanan kunci enkripsi Anda ke pengguna | Tetapkan layanan, atau beberapa layanan, kunci enkripsi ke unit organisasi dan grup Anda. Anda harus menetapkan layanan kunci enkripsi sebagai default untuk organisasi Anda. | Menetapkan enkripsi sisi klien kepada pengguna |
| Langkah 6: (Opsional hanya untuk pesan S/MIME Gmail) Upload kunci enkripsi pengguna |
Buat project Google Cloud Platform (GCP) dan aktifkan Gmail API. Kemudian, beri API akses ke seluruh organisasi Anda, aktifkan CSE untuk pengguna Gmail, dan upload kunci enkripsi pribadi dan publik ke Gmail. Catatan: Langkah ini memerlukan pengalaman dalam menggunakan API dan skrip Python. |
Khusus Gmail: Mengonfigurasi sertifikat S/MIME untuk enkripsi sisi klien |
| Langkah 7: Aktifkan CSE untuk pengguna |
Aktifkan CSE untuk unit organisasi atau grup apa pun dalam organisasi Anda yang penggunanya perlu membuat konten terenkripsi sisi klien. Anda dapat mengaktifkan CSE untuk semua layanan yang didukung atau hanya layanan tertentu (Gmail, Meet, Drive, dan Kalender). CSE Gmail: Jika memiliki add-on Assured Controls dan tidak menggunakan enkripsi kunci hardware untuk Gmail, Anda dapat memilih opsi Enkripsi dengan akun tamu di langkah ini untuk mengaktifkan E2EE Gmail secara otomatis, tanpa perlu mengonfigurasi sertifikat S/MIME. |
Mengaktifkan atau menonaktifkan CSE untuk pengguna |
| Langkah 8: (Opsional) Siapkan akses eksternal | Anda dapat memberikan akses eksternal ke konten terenkripsi sisi klien dengan mengonfigurasi penyedia identitas (IdP) tamu untuk organisasi yang tidak menggunakan CSE Google Workspace. | Memberikan akses eksternal ke konten terenkripsi sisi klien |
| Langkah 9: (Opsional) Impor pesan ke Gmail sebagai pesan S/MIME terenkripsi sisi klien | Jika organisasi Anda memiliki pesan di layanan lain atau dalam format enkripsi lain, Anda dapat memigrasikan pesan tersebut ke Gmail sebagai pesan terenkripsi sisi klien dalam format S/MIME. | Memigrasikan pesan ke Gmail sebagai email terenkripsi sisi klien |
Jika Anda menggunakan kunci enkripsi hardware untuk Gmail
Memerlukan add-on Assured Controls atau Assured Controls Plus.Ikuti langkah-langkah ini jika Anda ingin menyiapkan kunci enkripsi hardware dan bukan layanan kunci enkripsi eksternal untuk semua atau beberapa pengguna Gmail.
| Langkah | Deskripsi | Cara menyelesaikan langkah ini |
|---|---|---|
| Langkah 1: Hubungkan Google Workspace ke penyedia identitas Anda | Hubungkan ke IdP pihak ketiga atau identitas Google, menggunakan konsol Admin atau file .well-known yang dihosting di server Anda. IdP Anda memverifikasi identitas pengguna sebelum mengizinkan mereka mengenkripsi konten atau mengakses konten terenkripsi. | Menghubungkan ke penyedia identitas Anda untuk enkripsi sisi klien |
| Langkah 2: Siapkan kunci enkripsi hardware Anda |
Instal aplikasi Kunci Hardware Google Workspace di perangkat Windows pengguna. Catatan: Langkah ini memerlukan pengalaman dalam menggunakan skrip PowerShell. |
Khusus Gmail: Menyiapkan dan mengelola kunci enkripsi hardware |
| Langkah 3: Tambahkan informasi enkripsi hardware ke konsol Admin | Masukkan nomor port yang akan digunakan Google Workspace untuk berkomunikasi dengan pembaca kartu smart di perangkat Windows pengguna. | Khusus Gmail: Menyiapkan dan mengelola kunci enkripsi hardware |
| Langkah 4: Tetapkan enkripsi hardware untuk pengguna | Tetapkan enkripsi kunci hardware ke unit organisasi dan grup Anda. | Menetapkan enkripsi sisi klien kepada pengguna |
| Langkah 5: Upload kunci enkripsi publik pengguna |
Buat project Google Cloud Platform (CGP) dan aktifkan Gmail API. Kemudian, beri API akses ke seluruh organisasi Anda, aktifkan CSE untuk pengguna Gmail, dan upload kunci enkripsi publik ke Gmail. Catatan: Langkah ini memerlukan pengalaman dalam menggunakan API dan skrip Python. |
Khusus Gmail: Mengonfigurasi sertifikat S/MIME untuk enkripsi sisi klien |
| Langkah 6: (Opsional) Impor pesan ke Gmail sebagai email terenkripsi sisi klien | Jika organisasi Anda memiliki pesan di layanan lain atau dalam format enkripsi lain, sebagai administrator, Anda dapat memigrasikan pesan tersebut ke Gmail sebagai pesan terenkripsi sisi klien dalam format S/MIME. | Memigrasikan pesan ke Gmail sebagai email terenkripsi sisi klien |
CSE untuk Meet hardware
Secara default, Meet mengenkripsi semua media panggilan, baik saat dalam pengiriman maupun dalam penyimpanan. Hanya peserta rapat dan layanan pusat data Google yang dapat mendekripsi informasi ini.
CSE menawarkan lapisan privasi lain dengan mengenkripsi media panggilan langsung dalam browser setiap peserta, menggunakan kunci yang hanya dapat dia akses. Hanya peserta yang dapat mendekripsi informasi rapat yang telah dienkripsi oleh browser-nya menggunakan kuncinya.
Agar pengguna dapat memanfaatkan CSE, admin harus menghubungkan Workspace ke penyedia identitas eksternal dan layanan kunci enkripsi (IdP+layanan kunci enkripsi). Untuk mengetahui detail tentang cara menyiapkan IdP+layanan kunci enkripsi, buka Ringkasan penyiapan CSE di halaman ini.
Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang dari masing-masing perusahaan yang bersangkutan.