Configurer et gérer le chiffrement par clé matérielle (Gmail uniquement)

Éditions compatibles avec cette fonctionnalité : Frontline Plus, Enterprise Plus, Education Standard et Education Plus. Comparer votre édition

Vous devez disposer du module complémentaire Assured Controls ou Assured Controls Plus.

Si votre organisation accède aux installations et aux systèmes à l'aide de cartes à puce telles que des cartes PIV (Personal Identification Verification), vous pouvez utiliser le chiffrement par clé matérielle au lieu d'un service de clés pour le chiffrement côté client (CSE) Gmail.

Avec le chiffrement par clé matérielle, la clé privée d'un utilisateur se trouve sur sa carte à puce. Les utilisateurs doivent insérer leur carte à puce dans un lecteur connecté à leur appareil Windows pour signer et déchiffrer des e-mails dans Gmail. Ils chiffrent les messages à l'aide de leur clé publique.

Présentation de la configuration

Pour configurer le chiffrement par clé matérielle, procédez comme suit :

1. Installez l'application de clés matérielles Google Workspace sur l'appareil Windows de chaque utilisateur devant chiffrer des e-mails. Cette application se lance comme un service qui s'exécute sur un port spécifique et interagit avec la carte à puce d'un utilisateur pour gérer le chiffrement et le déchiffrement.
2. Activez le chiffrement par clé matérielle dans la console d'administration en saisissant le numéro de port sur lequel Google Workspace communiquera avec l'application de clés matérielles sur les appareils Windows des utilisateurs.

Une fois cette procédure terminée, vous pouvez attribuer le chiffrement par clé matérielle aux utilisateurs et activer le CSE pour Gmail.

Configuration requise

Les appareils des utilisateurs doivent :

• Microsoft Windows 10 ou version ultérieure
• Lecteur de carte à puce connecté à leur appareil
• Carte à puce avec leur clé de chiffrement privée

Étape 1 : Installez l'application Google Workspace Hardware Key

Vous pouvez configurer le chiffrement par clé matérielle à l'aide de l'application de clés matérielles Google Workspace pour le chiffrement côté client Gmail. Cela permet aux utilisateurs d'utiliser les clés privées de leurs cartes à puce (cartes PIV, par exemple) pour signer et chiffrer les e-mails.

Étape 2 : Activez le chiffrement par clé matérielle

Après avoir installé l'application de clés matérielles Google Workspace sur les appareils Windows des utilisateurs, vous pouvez activer le chiffrement par clé matérielle dans la console d'administration.

Avant de commencer : assurez-vous de disposer du numéro de port que vous avez sélectionné lors de l'installation de l'application de clés matérielles.

Pour activer le chiffrement avec des clés matérielles :

Pour cette tâche, vous devez être connecté en tant que super-administrateur.

1. Dans la console d'administration Google, accédez à Menu  Données Conformité Chiffrement côté client.

   Accéder au chiffrement côté client

   Pour cette tâche, vous devez être connecté en tant que super-administrateur.

2. Sous Chiffrement avec des clés matérielles, cliquez sur Ajouter un numéro de port.
3. Saisissez le numéro de port que vous avez sélectionné lors de l'installation de l'application de clés matérielles.
4. Cliquez sur Enregistrer.

Étapes suivantes

Après avoir installé l'application de clés matérielles Google Workspace et activé le chiffrement par clé matérielle dans la console d'administration, procédez comme suit :

• Attribuez le chiffrement par clé matérielle aux utilisateurs. Pour en savoir plus, consultez Définir le chiffrement côté client pour les utilisateurs.
• Connectez-vous à votre fournisseur d'identité (IdP). Pour en savoir plus, consultez Se connecter au fournisseur d'identité pour le chiffrement côté client.
• Activez l'API Gmail et importez les certificats de chiffrement des utilisateurs dans Gmail. Pour en savoir plus, consultez Gmail uniquement : Configurer des certificats S/MIME pour le chiffrement côté client.

Gérer le chiffrement par clé matérielle

Modifier le numéro de port pour le chiffrement par clé matérielle

Si le numéro de port sur lequel Google Workspace communique avec le lecteur de carte à puce sur les appareils Windows des utilisateurs change, vous devez le mettre à jour dans la console d'administration pour que les utilisateurs puissent continuer à utiliser le CSE Gmail.

Pour mettre à jour le numéro de port pour le chiffrement par clé matérielle :

1. Dans la console d'administration Google, accédez à Menu  Données Conformité Chiffrement côté client.

   Accéder au chiffrement côté client

   Pour cette tâche, vous devez être connecté en tant que super-administrateur.

2. Sous Chiffrement avec des clés matérielles, cliquez sur Modifier.
3. Saisissez le nouveau numéro de port.
4. Cliquez sur Enregistrer.

Si un utilisateur a besoin d'une nouvelle carte à puce

• Si la nouvelle carte à puce de l'utilisateur contient la même clé de chiffrement que la carte précédente, il peut simplement utiliser la nouvelle.
• Si la nouvelle carte à puce de l'utilisateur contient une nouvelle clé de chiffrement, vous devrez importer de nouveaux certificats de clé publique dans Gmail via l'API Gmail. Pour en savoir plus, consultez Gmail uniquement : Configurer des certificats S/MIME pour le chiffrement côté client.