Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Standard и Education Plus. Сравните вашу версию.
Прежде чем приступить к настройке шифрования на стороне клиента (CSE) в Google Workspace, ознакомьтесь с требованиями, параметрами ключей шифрования и общим обзором настроек.
Требования CSE
Права администратора для CSE
Для управления CSE в вашей организации в Google Workspace необходимы права суперадминистратора , включая:
- Добавление и управление ключевыми сервисами.
- Распределение ключевых услуг между организационными подразделениями и группами.
- Включение или выключение CSE для пользователей
Внутренние требования пользователей к CSE
Требования к пользовательской лицензии
- Для использования CSE пользователям необходима лицензия Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard или Google Workspace for Education Plus.
- Создание или загрузка зашифрованного контента на стороне клиента.
- Проведение зашифрованных встреч
- Отправляйте или получайте зашифрованные электронные письма.
- Пользователи могут иметь любой тип лицензии Google Workspace или Cloud Identity для:
- Просматривайте, редактируйте или загружайте зашифрованный контент на стороне клиента.
- Присоединяйтесь к встрече CSE с компьютера, мобильного устройства или устройства, подключенного к Google Meet.
- Пользователи с пользовательской учетной записью Google (например, пользователи Gmail) не могут получить доступ к зашифрованному на стороне клиента контенту, отправлять зашифрованные электронные письма или участвовать в зашифрованных на стороне клиента совещаниях.
Требования к браузеру
Для просмотра или редактирования зашифрованного на стороне клиента контента пользователям необходимо использовать браузер Google Chrome или Microsoft Edge (Chromium).
Внешние требования пользователей к CSE
Вы можете разрешить внешним пользователям доступ к зашифрованному на стороне клиента содержимому. Для доступа к зашифрованным сообщениям Gmail ваших пользователей внешним пользователям достаточно использовать S/MIME. Для другого содержимого требования различаются в зависимости от метода предоставления внешнего доступа. Подробнее см. раздел «Предоставление внешнего доступа к зашифрованному на стороне клиента содержимому» .
Разберитесь в параметрах ключей шифрования.
Внешние ключевые сервисы
Для использования шифрования на стороне клиента вашей организации необходимо использовать собственные ключи шифрования. У вас есть 2 варианта создания ключей шифрования:
- Используйте внешний сервис ключей шифрования, сотрудничающий с Google. Ваш сервис ключей поможет вам настроить его для Google Workspace. Подробности см. в разделе «Выбор сервиса ключей для шифрования на стороне клиента» .
- Создайте собственную ключевую службу, используя API Google Workspace CSE .
Аппаратные ключи для Gmail
Если пользователи в вашей организации используют смарт-карты для доступа к объектам и системам, вы можете настроить аппаратное шифрование с помощью ключей для Gmail CSE вместо службы ключей. Пользователи смогут использовать свои аппаратные ключи для подписи и шифрования электронных писем. Для получения более подробной информации перейдите только в Gmail: Настройка и управление аппаратными ключами шифрования.
Обзор настройки CSE
Ниже представлен обзор шагов, необходимых для настройки шифрования на стороне клиента в Google Workspace. Способ настройки CSE зависит от типа используемых ключей шифрования.
Если вы используете внешний сервис ключей шифрования
Выполните следующие шаги, чтобы настроить шифрование для Google Drive, Google Calendar и Google Meet. Эти же шаги вам понадобятся и для Gmail, если только вы не хотите использовать только аппаратные ключи шифрования для Gmail.
| Шаг | Описание | Как выполнить этот шаг |
|---|---|---|
| Шаг 1: Выберите службу для предоставления внешних ключей шифрования. | Зарегистрируйтесь у одного из партнеров Google по предоставлению ключей шифрования или создайте собственный сервис, используя API Google Workspace CSE . Ваш сервис ключей управляет ключами шифрования верхнего уровня, которые защищают ваши данные. | Выберите службу ключей для шифрования на стороне клиента. |
| Шаг 2: Подключите Google Workspace к вашему поставщику идентификации. | Подключитесь к стороннему поставщику идентификации (IdP) или к системе идентификации Google, используя либо консоль администратора, либо файл .well-known, размещенный на вашем сервере. Ваш поставщик идентификации проверяет личность пользователей, прежде чем разрешить им шифровать контент или получать доступ к зашифрованному контенту. | Подключитесь к своему поставщику идентификационных данных для шифрования на стороне клиента. |
| Шаг 3: Настройте внешнюю службу ключей. | В сотрудничестве с вашим ключевым партнером по предоставлению услуг настройте службу шифрования на стороне клиента Google Workspace. Примечание : При использовании CSE с оборудованием Meet сервер внешней службы ключей, используемый для управления ключами, должен поддерживать вызов делегата , который используется для авторизации комнаты для присоединения к собранию от имени аутентифицированного пользователя. Для получения подробной информации обратитесь в службу ключей. | |
| Шаг 4: Добавьте информацию о вашей ключевой службе в консоль администратора. | Добавьте URL-адрес вашей внешней службы ключей в консоль администратора, чтобы подключить службу к Google Workspace. Вы можете добавить несколько служб ключей, чтобы назначить разные службы ключей для конкретных организационных подразделений или групп. | Добавление и управление ключевыми службами для шифрования на стороне клиента. |
| Шаг 5: Назначьте пользователям ключевой сервис. | Назначьте ключевую службу (или несколько служб) подразделениям и группам вашей организации. Вам потребуется назначить ключевую службу в качестве службы по умолчанию для вашей организации. | Назначьте пользователям шифрование на стороне клиента. |
| Шаг 6: (Необязательно, только для сообщений Gmail S/MIME) Загрузите ключи шифрования пользователей. | Создайте проект на платформе Google Cloud Platform (GCP) и включите API Gmail. Затем предоставьте доступ к API всей вашей организации, включите CSE для пользователей Gmail и загрузите закрытые и открытые ключи шифрования в Gmail. Примечание: Для выполнения этого шага необходим опыт работы с API и скриптами Python. | Только для Gmail: настройка S/MIME-сертификатов для шифрования на стороне клиента. |
| Шаг 7: Включите CSE для пользователей. | Включите CSE для всех организационных подразделений или групп в вашей организации, пользователям которых необходимо создавать контент с шифрованием на стороне клиента. Вы можете включить CSE для всех поддерживаемых сервисов или только для определенных (Gmail, Meet, Drive и Calendar). Gmail CSE: Если у вас установлено дополнение Assured Controls , и вы не используете аппаратное шифрование ключей для Gmail, вы можете выбрать параметр «Шифрование с гостевыми учетными записями» на этом шаге, чтобы автоматически включить сквозное шифрование Gmail без необходимости настройки сертификатов S/MIME. | Включение или отключение CSE для пользователей |
| Шаг 8: (Необязательно) Настройка внешнего доступа | Для организаций, не использующих Google Workspace CSE, можно обеспечить внешний доступ к зашифрованному на стороне клиента контенту, настроив гостевого поставщика удостоверений (IdP). | Обеспечить внешний доступ к зашифрованному содержимому на стороне клиента. |
| Шаг 9: (Необязательно) Импортируйте сообщения в Gmail в виде зашифрованных на стороне клиента сообщений S/MIME. | Если ваша организация использует сообщения, отправленные через другой сервис или в другом формате шифрования, вы можете перенести эти сообщения в Gmail в виде зашифрованных на стороне клиента сообщений в формате S/MIME. | Перенесите сообщения в Gmail в виде зашифрованных на стороне клиента электронных писем. |
Если вы используете аппаратные ключи шифрования для Gmail
Для этого требуется наличие дополнительного модуля Assured Controls или Assured Controls Plus .Выполните следующие шаги, если хотите настроить аппаратные ключи шифрования для всех или некоторых пользователей Gmail вместо внешнего сервиса ключей.
| Шаг | Описание | Как выполнить этот шаг |
|---|---|---|
| Шаг 1: Подключите Google Workspace к вашему поставщику идентификации. | Подключитесь к стороннему поставщику идентификации (IdP) или к системе идентификации Google, используя либо консоль администратора, либо файл .well-known, размещенный на вашем сервере. Ваш поставщик идентификации проверяет личность пользователей, прежде чем разрешить им шифровать контент или получать доступ к зашифрованному контенту. | Подключитесь к своему поставщику идентификационных данных для шифрования на стороне клиента. |
| Шаг 2: Настройте аппаратные ключи шифрования | Установите приложение Google Workspace Hardware Key на устройства пользователей под управлением Windows. Примечание: Для выполнения этого шага необходим опыт работы со скриптами PowerShell. | Только для Gmail: настройка и управление аппаратными ключами шифрования. |
| Шаг 3: Добавьте информацию об аппаратном шифровании в консоль администратора. | Введите номер порта, по которому Google Workspace будет взаимодействовать со считывателем смарт-карт на устройствах пользователей под управлением Windows. | Только для Gmail: настройка и управление аппаратными ключами шифрования. |
| Шаг 4: Назначьте пользователям аппаратное шифрование. | Назначьте аппаратное шифрование с помощью ключей подразделениям и группам вашей организации. | Назначьте пользователям шифрование на стороне клиента. |
| Шаг 5: Загрузка открытых ключей шифрования пользователей | Создайте проект на платформе Google Cloud Platform (CGP) и включите API Gmail. Затем предоставьте доступ к API всей вашей организации, включите CSE для пользователей Gmail и загрузите открытые ключи шифрования в Gmail. Примечание: Для выполнения этого шага необходим опыт работы с API и скриптами Python. | Только для Gmail: настройка S/MIME-сертификатов для шифрования на стороне клиента. |
| Шаг 6: (Необязательно) Импортируйте сообщения в Gmail в виде зашифрованных на стороне клиента писем. | Если в вашей организации используются сообщения, отправленные через другой сервис или в другом формате шифрования, то как администратор вы можете перенести эти сообщения в Gmail в виде зашифрованных на стороне клиента сообщений в формате S/MIME. | Перенесите сообщения в Gmail в виде зашифрованных на стороне клиента электронных писем. |
CSE для Meet hardware
По умолчанию Meet шифрует все данные, передаваемые во время разговора, как в процессе передачи, так и в состоянии покоя. Расшифровать эту информацию могут только участники встречи и сервисы центров обработки данных Google.
Технология CSE обеспечивает дополнительный уровень конфиденциальности, шифруя данные о ходе звонка непосредственно в браузере каждого участника с помощью ключей, доступных только ему. Только участник может расшифровать информацию о встрече, зашифрованную его браузером с помощью его собственных ключей.
Для того чтобы пользователи могли воспользоваться преимуществами CSE, администраторы должны подключить Workspace к внешнему поставщику идентификации и службе ключей шифрования (служба IdP+ключи). Подробную информацию о настройке службы IdP+ключи см. в разделе «Обзор настройки CSE» на этой странице.
Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.