Omówienie konfigurowania szyfrowania po stronie klienta

Ta funkcja jest dostępna w tych wersjach: Frontline Plus, Enterprise Plus, Education Standard i Education Plus. Porównanie wersji

Zanim rozpoczniesz konfigurowanie szyfrowania po stronie klienta Google Workspace, zapoznaj się z wymaganiami, opcjami klucza szyfrowania i omówieniem konfiguracji.

Wymagania dotyczące szyfrowania po stronie klienta

Uprawnienia administratora powiązane z szyfrowaniem po stronie klienta

Aby zarządzać szyfrowaniem po stronie klienta w organizacji, musisz mieć uprawnienia superadministratora Google Workspace, obejmujące:

Dodawanie usług kluczy i zarządzanie nimi
przypisywanie usług kluczy do jednostek organizacyjnych i grup,
włączanie i wyłączanie szyfrowania po stronie klienta dla użytkowników.

Wymagania dotyczące użytkowników wewnętrznych w przypadku szyfrowania po stronie klienta

Wymagania dotyczące licencji użytkownika

Użytkownicy muszą mieć licencję na Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard lub Google Workspace for Education Plus, aby korzystać z szyfrowania po stronie klienta w celu:
- tworzenia i przesyłania treści zaszyfrowanych po stronie klienta;
- organizowania zaszyfrowanych spotkań.
- wysyłania i odbierania zaszyfrowanych e-maili.
Użytkownicy mogą mieć dowolny typ licencji Google Workspace lub Cloud Identity, aby:
- wyświetlać, edytować i pobierać treści zaszyfrowane po stronie klienta;
- dołączać do spotkań szyfrowanych po stronie klienta za pomocą komputera, urządzenia mobilnego lub sprzętu do Google Meet.
Użytkownicy kont Google dla klientów indywidualnych (np. użytkownicy Gmaila) nie mają dostępu do treści zaszyfrowanych po stronie klienta, możliwości wysyłania zaszyfrowanych e-maili ani udziału w spotkaniach zaszyfrowanych po stronie klienta.

Wymagania dotyczące przeglądarki

Aby wyświetlać lub edytować treści zaszyfrowane po stronie klienta, użytkownicy muszą używać przeglądarki Google Chrome lub Microsoft Edge (Chromium).

Wymagania dotyczące użytkowników zewnętrznych w przypadku szyfrowania po stronie klienta

Możesz zezwolić użytkownikom zewnętrznym na dostęp do treści zaszyfrowanych po stronie klienta. Aby uzyskać dostęp do zaszyfrowanych wiadomości w Gmailu, użytkownicy zewnętrzni muszą używać jedynie protokołu S/MIME. W przypadku pozostałych treści wymagania różnią się w zależności od użytej metody zapewniania dostępu z zewnątrz. Więcej informacji znajdziesz w artykule Zapewnianie dostępu z zewnątrz do treści zaszyfrowanych po stronie klienta.

Omówienie opcji klucza szyfrowania

Zewnętrzne usługi kluczy

Aby używać szyfrowania po stronie klienta, Twoja organizacja musi korzystać z własnych kluczy szyfrowania. Klucze szyfrowania możesz utworzyć na 2 sposoby:

Skorzystaj z zewnętrznej usługi kluczy szyfrowania, która współpracuje z Google. Usługa kluczy pomoże Ci skonfigurować usługę na potrzeby Google Workspace. Więcej informacji znajdziesz w artykule Konfigurowanie usługi kluczy na potrzeby szyfrowania po stronie klienta.
Utwórz własną usługę kluczy za pomocą interfejsu Google Workspace CSE API.

Klucze sprzętowe w Gmailu

Wymaga to dodatku Bezpieczne ustawienia lub Bezpieczne ustawienia Plus.

Jeśli użytkownicy w Twojej organizacji korzystają z kart inteligentnych, aby uzyskiwać dostęp do obiektów i systemów, zamiast usługi kluczy możesz skonfigurować szyfrowanie klucza sprzętowego na potrzeby szyfrowania po stronie klienta w Gmailu. Użytkownicy mogą podpisywać i szyfrować e-maile za pomocą klucza sprzętowego. Więcej informacji znajdziesz w artykule Tylko w Gmailu: konfigurowanie sprzętowych kluczy szyfrowania i zarządzanie nimi.

Omówienie konfiguracji szyfrowania po stronie klienta

Poniżej znajdziesz omówienie czynności, które musisz wykonać, aby skonfigurować szyfrowanie po stronie klienta w Google Workspace. Sposób konfiguracji szyfrowania po stronie klienta zależy od typu kluczy szyfrowania, których chcesz używać.

W przypadku korzystania z zewnętrznej usługi kluczy szyfrowania

Wykonaj te czynności, aby skonfigurować szyfrowanie na Dysku Google, w Kalendarzu Google i Google Meet. Te czynności musisz też wykonać w przypadku Gmaila, chyba że chcesz używać tylko sprzętowych kluczy szyfrowania w Gmailu.

Krok	Opis	Jak wykonać ten krok
Krok 1. Wybierz zewnętrzną usługę kluczy szyfrowania	Zarejestruj się u jednego z partnerów Google obsługujących usługę kluczy szyfrowania lub utwórz własną usługę za pomocą interfejsu Google Workspace CSE API. Usługa steruje kluczami szyfrowania najwyższego poziomu, które chronią Twoje dane.	Konfigurowanie usługi kluczy na potrzeby szyfrowania po stronie klienta
Krok 2. Połącz Google Workspace z dostawcą tożsamości	Połącz się z zewnętrznym dostawcą tożsamości lub tożsamością Google przy użyciu konsoli administracyjnej albo pliku .well-known hostowanego na Twoim serwerze. Dostawca tożsamości weryfikuje tożsamość użytkowników, zanim zezwoli im na szyfrowanie treści lub na dostęp do zaszyfrowanych treści.	Łączenie z dostawcą tożsamości na potrzeby szyfrowania po stronie klienta
Krok 3. Skonfiguruj zewnętrzną usługę kluczy	Aby skonfigurować usługę szyfrowania po stronie klienta w Google Workspace, skontaktuj się ze swoim partnerem obsługującym usługę kluczy. Uwaga: jeśli używasz szyfrowania po stronie klienta w przypadku sprzętu do Google Meet, serwer zewnętrznej usługi kluczy używany do zarządzania kluczami musi obsługiwać funkcję wywołania zastępczego, która służy do autoryzowania pokoju na potrzeby dołączania do spotkania w imieniu uwierzytelnionego użytkownika. Więcej informacji uzyskasz w usłudze kluczy.	Konfigurowanie usługi kluczy na potrzeby szyfrowania po stronie klienta Wywołanie zastępcze
Krok 4. Dodaj informacje o usłudze kluczy do konsoli administracyjnej	Aby połączyć zewnętrzną usługę kluczy z Google Workspace, dodaj jej adres URL do konsoli administracyjnej. Aby przypisać różne usługi kluczy do określonych jednostek organizacyjnych lub grup, możesz dodać kilka usług kluczy.	Dodawanie usług kluczy na potrzeby szyfrowania po stronie klienta i zarządzanie nimi
Krok 5. Przypisz usługę kluczy do użytkowników	Przypisz jednostkom organizacyjnym i grupom usługę kluczy lub kilka usług. Musisz przypisać usługę kluczy jako domyślną dla organizacji.	Przypisywanie szyfrowania po stronie klienta do użytkowników
Krok 6. (Opcjonalnie, tylko w przypadku wiadomości S/MIME w Gmailu) Prześlij klucze szyfrowania użytkowników	Ważne: jeśli masz dodatek Bezpieczne ustawienia i nie korzystasz z szyfrowania za pomocą klucza sprzętowego, możesz pominąć ten krok i użyć pełnego szyfrowania w Gmailu, włączając opcję Szyfrowanie z kontami gości. Utwórz projekt Google Cloud Platform (GCP) i włącz interfejs Gmail API. Następnie przyznaj dostęp do interfejsu API dla całej organizacji, włącz szyfrowanie po stronie klienta dla użytkowników Gmaila oraz prześlij prywatne i publiczne klucze szyfrowania do Gmaila. Uwaga: ten krok wymaga doświadczenia w korzystaniu z interfejsów API i skryptów Python.	Tylko Gmail: konfigurowanie certyfikatów S/MIME na potrzeby szyfrowania po stronie klienta
Krok 7. Włącz szyfrowanie po stronie klienta u użytkowników	Włącz szyfrowanie po stronie klienta dla wszystkich jednostek organizacyjnych i grup w organizacji, których użytkownicy chcą tworzyć treści zaszyfrowane po stronie klienta. Szyfrowanie po stronie klienta możesz włączyć we wszystkich obsługiwanych usługach lub tylko w wybranych (Gmail, Meet, Dysk i Kalendarz). Szyfrowanie po stronie klienta w Gmailu: jeśli masz dodatek Bezpieczne ustawienia i nie używasz szyfrowania za pomocą klucza sprzętowego w Gmailu, możesz wybrać w tym kroku opcję Szyfrowanie z kontami gości, aby automatycznie włączyć pełne szyfrowanie w Gmailu bez konieczności konfigurowania certyfikatów S/MIME.	Włączanie i wyłączanie szyfrowania po stronie klienta dla użytkowników
Krok 8. (Opcjonalnie) Skonfiguruj dostęp z zewnątrz	Aby zapewnić dostęp z zewnątrz do treści zaszyfrowanych po stronie klienta, możesz skonfigurować dostawcę tożsamości gości dla organizacji, które nie korzystają z szyfrowania po stronie klienta w Google Workspace.	Zapewnianie dostępu z zewnątrz do treści zaszyfrowanych po stronie klienta
Krok 9. (Opcjonalnie) Zaimportuj wiadomości do Gmaila jako zaszyfrowane po stronie klienta wiadomości S/MIME	Jeśli w Twojej organizacji są wiadomości w innej usłudze lub w innym formacie szyfrowania, możesz przenieść je do Gmaila jako wiadomości zaszyfrowane po stronie klienta w formacie S/MIME.	Migracja wiadomości do Gmaila jako e-maili zaszyfrowanych po stronie klienta

Jeśli używasz sprzętowych kluczy szyfrowania w Gmailu

Wymaga to dodatku Bezpieczne ustawienia lub Bezpieczne ustawienia Plus.

Wykonaj te czynności, jeśli chcesz skonfigurować sprzętowe klucze szyfrowania dla wszystkich lub niektórych użytkowników Gmaila zamiast zewnętrznej usługi kluczy.

Krok	Opis	Jak wykonać ten krok
Krok 1. Połącz Google Workspace z dostawcą tożsamości	Połącz się z zewnętrznym dostawcą tożsamości lub tożsamością Google przy użyciu konsoli administracyjnej albo pliku .well-known hostowanego na Twoim serwerze. Dostawca tożsamości weryfikuje tożsamość użytkowników, zanim zezwoli im na szyfrowanie treści lub na dostęp do zaszyfrowanych treści.	Łączenie z dostawcą tożsamości na potrzeby szyfrowania po stronie klienta
Krok 2. Skonfiguruj sprzętowe klucze szyfrowania	Zainstaluj aplikację Google Workspace Hardware Key na urządzeniach użytkowników z systemem Windows. Uwaga: ten krok wymaga doświadczenia w korzystaniu ze skryptów PowerShell.	Tylko w Gmailu: konfigurowanie sprzętowych kluczy szyfrowania i zarządzanie nimi
Krok 3. Dodaj do konsoli administracyjnej informacje o szyfrowaniu sprzętu	Wpisz numer portu, przez który Google Workspace będzie się komunikować z czytnikiem kart inteligentnych na urządzeniach użytkowników z systemem Windows.	Tylko w Gmailu: konfigurowanie sprzętowych kluczy szyfrowania i zarządzanie nimi
Krok 4. Przypisz użytkownikom szyfrowanie sprzętowe	Przypisz szyfrowanie klucza sprzętowego do jednostek organizacyjnych i grup.	Przypisywanie szyfrowania po stronie klienta do użytkowników
Krok 5. Prześlij publiczne klucze szyfrowania użytkowników	Utwórz projekt Google Cloud Platform (CGP) i włącz interfejs Gmail API. Następnie przyznaj dostęp do interfejsu API dla całej organizacji, włącz szyfrowanie po stronie klienta dla użytkowników Gmaila oraz prześlij publiczne klucze szyfrowania do Gmaila. Uwaga: ten krok wymaga doświadczenia w korzystaniu z interfejsów API i skryptów Python.	Tylko Gmail: konfigurowanie certyfikatów S/MIME na potrzeby szyfrowania po stronie klienta
Krok 6. (Opcjonalnie) Zaimportuj wiadomości do Gmaila jako e-maile zaszyfrowane po stronie klienta	Jeśli w Twojej organizacji są wiadomości w innej usłudze lub w innym formacie szyfrowania, jako administrator możesz przenieść je do Gmaila jako wiadomości zaszyfrowane po stronie klienta w formacie S/MIME.	Migracja wiadomości do Gmaila jako e-maili zaszyfrowanych po stronie klienta

Szyfrowanie po stronie klienta dla sprzętu do Google Meet

Domyślnie Meet szyfruje wszystkie multimedia używane w trakcie połączenia, zarówno w trakcie ich przesyłania, jak i w spoczynku. Tylko uczestnicy spotkania i usługi centrum danych Google mogą odszyfrować te informacje.

Szyfrowanie po stronie klienta zapewnia dodatkową warstwę ochrony prywatności, ponieważ szyfruje multimedia używane w trakcie połączenia bezpośrednio w przeglądarce każdego uczestnika przy użyciu kluczy dostępnych tylko dla niego. Tylko uczestnik może odszyfrować informacje o spotkaniu zaszyfrowane przez przeglądarkę za pomocą jego kluczy.

Aby umożliwić użytkownikom korzystanie z szyfrowania po stronie klienta, administratorzy muszą połączyć Workspace z zewnętrznym dostawcą tożsamości i usługą kluczy szyfrowania (dostawca tożsamości + usługa kluczy). Szczegółowe informacje o konfigurowaniu dostawcy tożsamości i usługi kluczy znajdziesz w sekcji Omówienie konfiguracji szyfrowania po stronie klienta na tej stronie.

Google, Google Workspace i inne powiązane nazwy są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.