Versioni supportate per questa funzionalità: Frontline Plus; Enterprise Plus; Education Standard ed Education Plus. Confronta la tua versione
Prima di iniziare a configurare la crittografia lato client di Google Workspace, esamina i requisiti, le opzioni per le chiavi di crittografia e la panoramica della configurazione.
Requisiti per la crittografia lato client
Privilegi di amministratore per la crittografia lato client
Per gestire la crittografia lato client per la tua organizzazione, devi disporre dei privilegi di super amministratore per Google Workspace, tra cui:
- Aggiunta e gestione dei servizi chiavi
- Assegnazione di servizi chiavi a unità organizzative e gruppi
- Attivazione o disattivazione della crittografia lato client per gli utenti
Requisiti per gli utenti interni per la crittografia lato client
Requisiti per la licenza utente
- Gli utenti devono disporre di una licenza Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard o Google Workspace for Education Plus per utilizzare la crittografia lato client per:
- Creare o caricare contenuti criptati sul lato client
- Ospitare riunioni criptate
- Inviare o ricevere email criptate
- È sufficiente un qualsiasi tipo di licenza Google Workspace o Cloud Identity per:
- Visualizzare, modificare o scaricare contenuti criptati sul lato client
- Partecipare a una riunione con crittografia lato client da un computer, un dispositivo mobile o un dispositivo hardware Meet
- Gli utenti con un Account Google consumer, ad esempio gli utenti di Gmail, non possono accedere ai contenuti criptati sul lato client, inviare email criptate o partecipare a riunioni con crittografia lato client.
Requisiti del browser
Per visualizzare o modificare contenuti con crittografia lato client, gli utenti devono utilizzare il browser Google Chrome o Microsoft Edge (Chromium).
Requisiti per gli utenti esterni per la crittografia lato client
Puoi consentire agli utenti esterni di accedere ai contenuti criptati sul lato client. Per accedere ai messaggi Gmail criptati dei tuoi utenti, gli utenti esterni devono solo utilizzare S/MIME. Per altri contenuti, i requisiti variano a seconda del metodo utilizzato per fornire l'accesso esterno. Per maggiori dettagli, vedi Fornire accesso esterno ai contenuti criptati sul lato client.
Informazioni sulle opzioni per le chiavi di crittografia
Servizi chiavi esterni
Per utilizzare la crittografia lato client, la tua organizzazione deve utilizzare le proprie chiavi di crittografia. Hai a disposizione due opzioni per creare le chiavi di crittografia:
- Utilizzare un servizio chiavi di crittografia esterno che collabora con Google. Il servizio chiavi ti guiderà nella configurazione del servizio per Google Workspace. Per maggiori dettagli, vedi Scegli il servizio chiavi per la crittografia lato client.
- Crea il tuo servizio chiavi utilizzando l'API CSE di Google Workspace.
Chiavi hardware per Gmail
Se gli utenti della tua organizzazione utilizzano smart card per accedere a strutture e sistemi, puoi configurare la crittografia delle chiavi hardware per la crittografia lato client di Gmail, anziché un servizio chiavi. Gli utenti possono utilizzare la chiave hardware per firmare e criptare le email. Per maggiori dettagli, consulta Solo Gmail: configurare e gestire le chiavi di crittografia hardware.
Panoramica della configurazione della crittografia lato client
Ecco una panoramica dei passaggi da seguire per configurare la crittografia lato client di Google Workspace. La configurazione della crittografia lato client dipende dal tipo di chiavi di crittografia che vuoi utilizzare.
Se utilizzi un servizio chiavi di crittografia esterno
Segui questi passaggi per configurare la crittografia per Google Drive, Google Calendar e Google Meet. Dovrai seguire questi passaggi anche per Gmail, a meno che tu non voglia solo utilizzare chiavi di crittografia hardware per Gmail.
| Passaggio | Descrizione | Come completare questo passaggio |
|---|---|---|
| Passaggio 1: scegli il servizio chiavi di crittografia esterno |
Registrati a uno dei servizi chiavi di crittografia partner di Google o crea il tuo servizio utilizzando l'API CSE di Google Workspace. Il servizio chiavi controlla le chiavi di crittografia di primo livello che proteggono i tuoi dati. |
Scegli il servizio chiavi per la crittografia lato client |
| Passaggio 2: connetti Google Workspace al tuo provider di identità |
Connettiti a un IdP di terze parti o a un'identità Google utilizzando la Console di amministrazione o un file .well-known ospitato sul tuo server. L'IdP verifica l'identità degli utenti prima di consentire loro di criptare i contenuti o accedere ai contenuti criptati. |
Stabilire la connessione a un provider di identità per la crittografia lato client |
| Passaggio 3: configura il servizio chiavi esterno |
Collabora con il partner del servizio chiavi per configurare il servizio per la crittografia lato client di Google Workspace. Nota: quando utilizzi la crittografia lato client con l'hardware Meet, il server del servizio chiavi esterno utilizzato per la gestione delle chiavi deve supportare la delega di una chiamata, che viene utilizzata per autorizzare una sala a partecipare a una riunione per conto di un utente autenticato. Per maggiori dettagli, contatta il servizio chiavi. |
Configurare il servizio chiavi per la crittografia lato client |
| Passaggio 4: aggiungi le informazioni del servizio chiavi alla Console di amministrazione |
Aggiungi l'URL del servizio chiavi esterno alla Console di amministrazione per connettere il servizio a Google Workspace. Puoi aggiungere più servizi chiavi se vuoi assegnare servizi chiavi diversi per unità organizzative o gruppi specifici. |
Aggiungere e gestire i servizi chiavi per la crittografia lato client |
| Passaggio 5: assegna il servizio chiavi agli utenti | Assegna il servizio chiavi o più servizi alle unità organizzative e ai gruppi. Dovrai assegnare un servizio chiavi come predefinito per la tua organizzazione. | Assegna la crittografia lato client agli utenti |
| Passaggio 6: (facoltativo, solo per i messaggi S/MIME di Gmail) carica le chiavi di crittografia degli utenti |
Crea un progetto piattaforma Google Cloud e abilita l'API Gmail. Quindi concedi l'accesso API all'intera organizzazione, attiva la crittografia lato client per gli utenti Gmail e carica le chiavi di crittografia private e pubbliche su Gmail. Nota:questo passaggio richiede esperienza nell'utilizzo di API e script Python. |
Solo Gmail: configura i certificati S/MIME per la crittografia lato client |
| Passaggio 7: attiva la crittografia lato client per gli utenti |
Attiva la crittografia lato client per tutte le unità organizzative o i gruppi della tua organizzazione con utenti che devono creare contenuti criptati sul lato client. Puoi attivare la crittografia lato client per tutti i servizi supportati o solo per quelli specifici (Gmail, Meet, Drive e Calendar). Crittografia lato client di Gmail:se hai il componente aggiuntivo Assured Controls e non utilizzi la crittografia della chiave hardware per Gmail, puoi selezionare l'opzione Crittografia con account ospiti durante questo passaggio per attivare automaticamente la crittografia E2EE di Gmail, senza dover configurare i certificati S/MIME. |
Attiva o disattiva la crittografia lato client per gli utenti |
| Passaggio 8: (facoltativo) configura l'accesso esterno | Puoi fornire l'accesso esterno ai contenuti criptati sul lato client configurando un provider di identità (IdP) ospite per le organizzazioni che non utilizzano la crittografia lato client di Google Workspace. | Fornire accesso esterno ai contenuti criptati sul lato client |
| Passaggio 9: (facoltativo) importa i messaggi in Gmail come messaggi S/MIME criptati sul lato client | Se la tua organizzazione utilizza messaggi in un altro servizio o in un altro formato di crittografia, puoi eseguirne la migrazione a Gmail come messaggi criptati sul lato client in formato S/MIME. | Esegui la migrazione dei messaggi a Gmail come email criptate sul lato client |
Se utilizzi chiavi di crittografia hardware per Gmail
È necessario disporre del componente aggiuntivo Assured Controls o Assured Controls Plus.Segui questi passaggi se vuoi configurare chiavi di crittografia hardware per tutti o alcuni dei tuoi utenti di Gmail, anziché un servizio chiavi esterno.
| Passaggio | Descrizione | Come completare questo passaggio |
|---|---|---|
| Passaggio 1: connetti Google Workspace al tuo provider di identità | Connettiti a un IdP di terze parti o a un'identità Google utilizzando la Console di amministrazione o un file .well-known ospitato sul tuo server. L'IdP verifica l'identità degli utenti prima di consentire loro di criptare i contenuti o accedere ai contenuti criptati. | Stabilire la connessione a un provider di identità per la crittografia lato client |
| Passaggio 2: configura le chiavi di crittografia hardware |
Installa l'applicazione Google Workspace Hardware Key sui dispositivi Windows degli utenti. Nota: questo passaggio richiede esperienza con gli script di PowerShell. |
Solo Gmail: configura e gestisci le chiavi di crittografia hardware |
| Passaggio 3: aggiungi le informazioni sulla crittografia hardware alla Console di amministrazione | Inserisci il numero di porta su cui Google Workspace comunicherà con il lettore di smart card sui dispositivi Windows degli utenti. | Solo Gmail: configura e gestisci le chiavi di crittografia hardware |
| Passaggio 4: assegna la crittografia hardware agli utenti | Assegna la crittografia della chiave hardware alle unità organizzative e ai gruppi. | Assegna la crittografia lato client agli utenti |
| Passaggio 5: carica le chiavi di crittografia pubbliche degli utenti |
Crea un progetto piattaforma Google Cloud e abilita l'API Gmail. Quindi concedi l'accesso API all'intera organizzazione, attiva la crittografia lato client per gli utenti Gmail e carica le chiavi di crittografia pubbliche su Gmail. Nota:questo passaggio richiede esperienza nell'utilizzo di API e script Python. |
Solo Gmail: configura i certificati S/MIME per la crittografia lato client |
| Passaggio 6: (facoltativo) importa i messaggi in Gmail come email criptate sul lato client | Se la tua organizzazione utilizza messaggi in un altro servizio o in un altro formato di crittografia, in qualità di amministratore puoi eseguirne la migrazione a Gmail come messaggi criptati sul lato client in formato S/MIME. | Esegui la migrazione dei messaggi a Gmail come email criptate sul lato client |
Crittografia lato client per l'hardware Meet
Per impostazione predefinita, Meet cripta tutti i contenuti multimediali delle chiamate, sia in transito che at-rest. Solo i partecipanti alla riunione e i servizi di data center di Google possono decriptare queste informazioni.
La crittografia lato client offre un ulteriore livello di privacy criptando i contenuti multimediali delle chiamate direttamente nel browser di ciascun partecipante, utilizzando chiavi accessibili solo a loro. Solo il partecipante è in grado di decriptare le informazioni della riunione criptate dal proprio browser utilizzando le proprie chiavi.
Per consentire agli utenti di usufruire della crittografia lato client, gli amministratori devono connettere Workspace a un provider di identità e un servizio chiavi di crittografia (IdP+servizio chiavi) esterni. Per informazioni dettagliate sulla configurazione di un servizio chiavi + IdP, vedi Panoramica della configurazione della crittografia lato client in questa pagina.
Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.