Edições compatíveis com este recurso: Frontline Plus, Enterprise Plus, Education Standard e Education Plus. Comparar sua edição
Antes de começar a configurar a criptografia do lado do cliente (CSE) do Google Workspace, consulte os requisitos, as opções de chave de criptografia e a visão geral da configuração.
Requisitos da CSE
Privilégios de administrador da CSE
Você precisa de privilégios de superadministrador do Google Workspace para gerenciar a CSE da sua organização, incluindo:
- Adicionar e gerenciar serviços de chaves
- Atribuir serviços de chaves a unidades organizacionais e grupos
- Ativar ou desativar a CSE para os usuários
Requisitos internos do usuário para a CSE
Requisitos de licença do usuário
- Para usar a CSE, os usuários precisam de uma licença do Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard ou Google Workspace for Education Plus para:
- Criar ou fazer upload de conteúdo criptografado do lado do cliente
- Realizar reuniões criptografadas
- Enviar ou receber e-mails criptografados
- Os usuários podem ter qualquer tipo de licença do Google Workspace ou do Cloud Identity para:
- Acessar, editar ou fazer o download de conteúdo criptografado do lado do cliente
- Participar de uma reunião da CSE em um computador, dispositivo móvel ou dispositivos do Google Meet
- Os usuários com uma Conta do Google pessoal (como as do Gmail) não podem acessar o conteúdo criptografado do lado do cliente, enviar e-mails criptografados nem participar de reuniões com criptografia do lado do cliente.
Requisitos do navegador
Para ver ou editar conteúdo criptografado do lado do cliente, os usuários precisam usar o navegador Google Chrome ou o Microsoft Edge (Chromium).
Requisitos de usuários externos para a CSE
É possível permitir que usuários externos acessem conteúdo criptografado do lado do cliente. Para acessar as mensagens criptografadas dos seus usuários, os usuários externos só precisam usar o S/MIME. Para outros conteúdos, os requisitos variam de acordo com o método usado para fornecer acesso externo. Saiba mais em Conceder acesso externo a conteúdo criptografado do lado do cliente.
Entender as opções de chave de criptografia
Serviços de chaves externas
Para usar a criptografia do lado do cliente, sua organização precisa ter chaves de criptografia próprias. É possível criar chaves de criptografia de duas formas:
- Use um serviço de chaves de criptografia externo que tem parceria com o Google. Seu serviço de chaves vai orientar você na configuração do serviço para o Google Workspace. Saiba mais em Escolher seu serviço de chaves para usar a criptografia do lado do cliente.
- Crie seu próprio serviço de chaves usando a API Google Workspace CSE.
Chaves de hardware do Gmail
Se os usuários na sua organização usarem cartões inteligentes para acessar instalações e sistemas, você poderá configurar a criptografia de chaves de hardware para a CSE do Gmail em vez de um serviço de chaves. Os usuários podem usar a chave de hardware para assinar e criptografar e-mails. Saiba mais em Somente no Gmail: configurar e gerenciar chaves de criptografia de hardware.
Visão geral da configuração da CSE
Confira um resumo das etapas necessárias para configurar a criptografia do lado do cliente do Google Workspace. A forma de configuração da CSE depende do tipo de chave de criptografia que você quer usar.
Se você estiver usando um serviço de chaves de criptografia externo
Siga estas etapas para configurar a criptografia nos apps Drive, Agenda e Meet. Siga estas etapas para o Gmail, a menos que você queira apenas usar chaves de criptografia de hardware no Gmail.
| Etapa | Descrição | Como concluir esta etapa |
|---|---|---|
| Etapa 1: escolher o serviço de chaves de criptografia externo |
Inscreva-se com um dos parceiros de serviços de chaves de criptografia do Google ou crie seu próprio serviço usando a API Google Workspace CSE. O serviço de chaves controla as chaves de criptografia de nível superior que protegem seus dados. |
Escolher seu serviço de chaves para usar a criptografia do lado do cliente |
| Etapa 2: conectar o Google Workspace ao seu provedor de identidade |
Conecte-se a um IdP terceirizado ou à identidade do Google usando o Admin Console ou um arquivo .well-known hospedado no seu servidor. Seu IdP verifica a identidade dos usuários antes de permitir que eles criptografem conteúdo ou acessem conteúdo criptografado. |
Conectar-se ao provedor de identidade para usar a criptografia do lado do cliente |
| Etapa 3: configurar o serviço de chaves externo |
Trabalhe com seu parceiro de serviços de chaves para configurar o serviço para usar a criptografia do lado do cliente do Google Workspace. Observação: ao usar a CSE com hardware do Google Meet, o servidor externo do serviço de chaves usado para gerenciamento de chaves precisa oferecer suporte à chamada delegada, que é usada para autorizar uma sala a participar de uma reunião em nome de um usuário autenticado. Para saber mais, entre em contato com seu serviço de chaves. |
Configurar seu serviço de chaves para usar a criptografia do lado do cliente |
| Etapa 4: adicionar as informações do serviço de chaves ao Admin Console |
Adicione o URL do seu serviço de chaves externo ao Admin Console para conectar o serviço ao Google Workspace. É possível adicionar vários serviços de chaves para atribuir diferentes serviços a unidades organizacionais ou grupos específicos. |
Adicionar e gerenciar serviços de chaves para usar a criptografia do lado do cliente |
| Etapa 5: atribuir seu serviço de chaves aos usuários | Atribua um ou vários serviços de chaves a unidades organizacionais e grupos. Atribua um serviço de chaves como o padrão na sua organização. | Atribuir criptografia do lado do cliente aos usuários |
| Etapa 6: (opcional apenas para mensagens S/MIME do Gmail) fazer upload das chaves de criptografia dos usuários |
Crie um projeto do Google Cloud Platform (GCP) e ative a API Gmail. Em seguida, conceda à API acesso a toda a organização, ative a CSE para usuários do Gmail e faça upload de chaves de criptografia privadas e públicas no Gmail. Observação:essa etapa exige experiência com APIs e scripts Python. |
Somente Gmail: configurar certificados S/MIME para usar a criptografia do lado do cliente |
| Etapa 7: ativar a CSE para os usuários |
Ative a CSE para unidades ou grupos da organização com usuários que precisam criar conteúdo criptografado do lado do cliente. Você pode ativar a CSE para todos os serviços compatíveis ou apenas para alguns (Gmail, Meet, Drive e Agenda). CSE do Gmail:se você tiver o complemento Assured Controls e não estiver usando a criptografia de chave de hardware para o Gmail, selecione a opção Criptografia com contas de convidados durante essa etapa para ativar automaticamente a E2EE do Gmail sem precisar configurar certificados S/MIME. |
Ativar ou desativar a CSE para os usuários |
| Etapa 8: (opcional) configurar o acesso externo | É possível conceder acesso externo ao conteúdo criptografado do lado do cliente configurando um provedor de identidade (IdP) para convidados para organizações que não usam a CSE do Google Workspace. | Conceder acesso externo a conteúdo criptografado do lado do cliente |
| Etapa 9: (opcional) importar mensagens para o Gmail como mensagens S/MIME criptografadas do lado do cliente | Caso sua organização tenha mensagens em outro serviço ou em outro formato de criptografia, você poderá migrar essas mensagens para o Gmail como mensagens criptografadas do lado do cliente no formato S/MIME. | Migrar mensagens para o Gmail como e-mails criptografados do lado do cliente |
Se você usa chaves de criptografia de hardware no Gmail
É preciso ter o complemento Assured Controls ou Assured Controls Plus.Siga estas etapas se você quiser configurar chaves de criptografia de hardware para todos ou alguns usuários do Gmail em vez de um serviço de chaves externo.
| Etapa | Descrição | Como concluir esta etapa |
|---|---|---|
| Etapa 1: conectar o Google Workspace ao seu provedor de identidade | Conecte-se a um IdP terceirizado ou à identidade do Google usando o Admin Console ou um arquivo .well-known hospedado no seu servidor. Seu IdP verifica a identidade dos usuários antes de permitir que eles criptografem conteúdo ou acessem conteúdo criptografado. | Conectar-se ao provedor de identidade para usar a criptografia do lado do cliente |
| Etapa 2: configurar as chaves de criptografia de hardware |
Instale o app Hardware Key do Google Workspace nos dispositivos Windows dos usuários. Observação:essa etapa exige experiência de trabalho com scripts do PowerShell. |
Somente no Gmail: configurar e gerenciar chaves de criptografia de hardware |
| Etapa 3: adicionar informações de criptografia de hardware ao Admin Console | Digite o número da porta em que o Google Workspace vai se comunicar com o leitor de cartão inteligente nos dispositivos Windows dos usuários. | Somente no Gmail: configurar e gerenciar chaves de criptografia de hardware |
| Etapa 4: atribuir criptografia de hardware aos usuários | Atribua a criptografia de chaves de hardware a unidades organizacionais e grupos. | Atribuir criptografia do lado do cliente aos usuários |
| Etapa 5: fazer upload das chaves de criptografia públicas dos usuários |
Crie um projeto do Google Cloud Platform (CGP) e ative a API Gmail. Em seguida, conceda à API acesso a toda a organização, ative a CSE para usuários do Gmail e faça upload de chaves de criptografia públicas para o Gmail. Observação:essa etapa exige experiência com APIs e scripts Python. |
Somente Gmail: configurar certificados S/MIME para usar a criptografia do lado do cliente |
| Etapa 6: (opcional) importar mensagens para o Gmail como e-mails criptografados do lado do cliente | Caso sua organização tenha mensagens em outro serviço ou em outro formato de criptografia, como administrador, você poderá migrar essas mensagens para o Gmail como mensagens criptografadas do lado do cliente no formato S/MIME. | Migrar mensagens para o Gmail como e-mails criptografados do lado do cliente |
CSE para hardware do Google Meet
Por padrão, o Meet criptografa toda a mídia da chamada, tanto em trânsito quanto em repouso. Somente os participantes da reunião e os serviços de data center do Google podem descriptografar essas informações.
A CSE oferece outra camada de privacidade ao criptografar a mídia de chamada diretamente no navegador de cada participante usando chaves acessíveis apenas por eles. Somente o participante pode descriptografar as informações da reunião criptografadas pelo navegador usando as chaves dele.
Para que os usuários aproveitem a CSE, os administradores precisam conectar o Workspace a um provedor de identidade externo e a um serviço de chaves de criptografia (IdP+chave). Para saber como configurar um serviço de chaves e IdP, acesse Visão geral da configuração da CSE nesta página.
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.