Solo Gmail: Configura y administra la encriptación con claves de hardware

Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Standard y Education Plus. Comparar tu edición

Requiere tener el complemento de Assured Controls o Assured Controls Plus.

Si tu organización usa tarjetas inteligentes, como tarjetas de verificación de identidad personal (PIV), para acceder a instalaciones y sistemas, puedes usar la encriptación con llave de hardware en lugar de un servicio de claves de encriptación para la encriptación del cliente (CSE) de Gmail.

Con la encriptación de claves de hardware, la clave privada de un usuario reside en su tarjeta inteligente. Los usuarios deben insertar su tarjeta inteligente en un lector conectado a su dispositivo Windows para firmar y desencriptar mensajes de correo electrónico en Gmail. Para encriptar mensajes, usan su clave pública.

Descripción general de la configuración

Para configurar el cifrado de la llave de hardware, debes completar estos pasos:

1. Instala la aplicación de la llave de hardware de Google Workspace en el dispositivo Windows para cada usuario que necesite encriptar correos electrónicos. Esta app comienza como un servicio que se ejecuta en un puerto específico y se conecta con la tarjeta inteligente de un usuario para controlar la encriptación y el desencriptado.
2. Activa el cifrado de la clave de hardware en la Consola del administrador. Para ello, ingresa el número de puerto en el que Google Workspace se comunicará con la app de Clave de hardware en los dispositivos Windows de los usuarios.

Después de completar estos pasos, puedes asignar la encriptación con llave de hardware a los usuarios y activar la CSE para Gmail.

Requisitos de configuración

Los dispositivos de los usuarios deben cumplir con los siguientes requisitos:

• Ejecutar Microsoft Windows 10 o una versión posterior
• Tener un lector de tarjetas inteligentes conectado a su dispositivo
• Tener una tarjeta inteligente con su clave de encriptación privada

Paso 1: Instala la aplicación de llave de hardware de Google Workspace

Puedes usar la app de llave de hardware de Google Workspace para configurar la encriptación con llave de hardware para la encriptación del cliente de Gmail. Esto permite que los usuarios usen sus claves privadas en sus tarjetas inteligentes, como las tarjetas PIV, para firmar y encriptar correos electrónicos.

Paso 2: Activa la encriptación de claves de hardware

Después de instalar la aplicación de llave de hardware de Google Workspace en los dispositivos Windows de los usuarios, puedes activar el cifrado de la llave de hardware en la Consola del administrador.

Antes de comenzar: Asegúrate de tener el número de puerto que seleccionaste cuando instalaste la app de Hardware Key.

Para activar la encriptación con claves de hardware, haz lo siguiente:

Debes acceder como administrador avanzado para realizar esta tarea.

1. En la Consola del administrador de Google, ve a Menú Datos Cumplimiento Encriptación del cliente.

   Ir a Encriptación del cliente

   Debes acceder como administrador avanzado para realizar esta tarea.

2. En Encriptación con claves de hardware, haz clic en Agregar número de puerto.
3. Ingresa el número de puerto que seleccionaste cuando instalaste la app de Hardware Key.
4. Haz clic en Guardar.

Próximos pasos

Después de instalar la aplicación de clave de hardware de Google Workspace y activar el cifrado de clave de hardware en la Consola del administrador, debes hacer lo siguiente:

• Asigna la encriptación de claves de hardware a los usuarios. Para obtener más información, consulta Cómo asignar encriptación del cliente a los usuarios.
• Conéctate a tu proveedor de identidad (IdP). Para obtener más información, consulta Conecta tu proveedor de identidad para usar la encriptación del cliente.
• Habilita la API de Gmail y sube los certificados de encriptación de los usuarios a Gmail. Para obtener más información, consulta Solo Gmail: Configura certificados S/MIME para la encriptación del cliente.

Administra la encriptación de claves de hardware

Cómo cambiar el número de puerto para la encriptación de claves de hardware

Si cambia el número de puerto en el que Google Workspace se comunica con el lector de tarjetas inteligentes en los dispositivos Windows de los usuarios, debes actualizarlo en la Consola del administrador para asegurarte de que los usuarios puedan seguir usando la CSE de Gmail.

Para actualizar el número de puerto de la encriptación de claves de hardware, haz lo siguiente:

1. En la Consola del administrador de Google, ve a Menú Datos Cumplimiento Encriptación del cliente.

   Ir a Encriptación del cliente

   Debes acceder como administrador avanzado para realizar esta tarea.

2. En Encriptación con llaves de hardware, haz clic en Editar.
3. Ingresa el nuevo número de puerto.
4. Haz clic en Guardar.

Si un usuario necesita una nueva tarjeta inteligente

• Si la nueva tarjeta inteligente del usuario contiene la misma clave de encriptación que la tarjeta anterior, puede usar la nueva sin problemas.
• Si la nueva tarjeta inteligente del usuario contiene una nueva clave de encriptación, deberás subir nuevos certificados de clave pública a Gmail con la API de Gmail. Para obtener más información, consulta Solo Gmail: Configura certificados S/MIME para la encriptación del cliente.