Éditions compatibles avec cette fonctionnalité : Frontline Plus, Enterprise Plus, Education Standard et Education Plus. Comparer votre édition
En tant qu'administrateur, vous pouvez autoriser les utilisateurs externes à accéder à votre contenu chiffré avec le chiffrement côté client (CSE) Google Workspace. Il existe deux méthodes pour fournir un accès externe :
- Configurez l'accès pour les organisations externes qui utilisent également le CSE. Cette méthode vous permet d'autoriser une organisation externe à accéder au contenu chiffré si elle répond aux exigences concernant les utilisateurs et le CSE.
- Configurez un fournisseur d'identité (IdP) pour les invités afin d'autoriser l'accès à tous les utilisateurs externes. Cette méthode permet à vos utilisateurs d'accorder l'accès à votre contenu chiffré côté client à des comptes Google et autres. Les organisations externes n'ont pas besoin de configurer le CSE, et leurs utilisateurs ne doivent pas disposer d'une licence Google Workspace ou Cloud Identity.
À propos de l'accès externe aux e-mails chiffrés
Vous avez deux options pour fournir un accès externe aux e-mails chiffrés côté client.
Option 1 : Utiliser le chiffrement de bout en bout de Gmail sans S/MIME
Si les utilisateurs échangent des messages chiffrés côté client avec des utilisateurs externes qui n'utilisent pas forcément S/MIME, vous pouvez utiliser l'option Chiffrement avec des comptes invités. Cette option utilise le chiffrement de bout en bout (E2EE) de Gmail pour gérer automatiquement les communications chiffrées avec les utilisateurs externes, sans nécessiter de configuration ni de certificats S/MIME traditionnels. Avec le chiffrement de bout en bout de Gmail, les utilisateurs peuvent envoyer des messages chiffrés à n'importe quel utilisateur externe. Vous devez disposer du module complémentaire Assured Controls ou Assured Controls Plus.
Pour fournir un accès externe à l'aide du chiffrement de bout en bout de Gmail :
- Vous devez configurer un IdP pour les invités, comme décrit plus loin sur cette page.
- Lorsqu'un utilisateur envoie un message chiffré en dehors de votre organisation, le destinataire externe est invité à créer un compte invité pour ouvrir le message.
- Vous pouvez gérer les comptes invités dans l'unité organisationnelle Invités Workspace de la console d'administration. Cette unité organisationnelle est créée automatiquement après l'activation de l'option Chiffrement avec des comptes invités et la configuration d'un IdP pour les invités. Pour en savoir plus, consultez Gérer les comptes invités Workspace.
Pour savoir comment envoyer et recevoir des e-mails chiffrés côté client et créer des comptes invités, consultez À propos du chiffrement côté client Gmail.
Option 2 : Utiliser des certificats S/MIME
Si les utilisateurs n'échangent des messages chiffrés côté client qu'avec des utilisateurs externes qui utilisent S/MIME, aucune configuration supplémentaire n'est requise. Vous n'avez pas besoin d'utiliser un IdP pour les invités, et les utilisateurs externes n'ont pas besoin d'une licence Google Workspace ou Cloud Identity.
Configurer l'accès externe pour les organisations externes qui utilisent le CSE
Si une organisation externe et votre organisation répondent aux exigences suivantes, vous pouvez accorder un accès externe au contenu chiffré côté client de votre organisation pour Drive, Docs, Agenda et Meet.
Exigences concernant les licences pour les utilisateurs externes
Les utilisateurs externes doivent disposer d'une licence Google Workspace ou Cloud Identity pour accéder aux données chiffrées avec le CSE.
Remarque : Avec cette méthode d'accès externe, les utilisateurs disposant d'un compte Google personnel (non géré) ou d'un compte visiteur n'ont pas accès au contenu chiffré côté client de votre organisation.
Configuration requise pour les organisations externes
Pour accéder au contenu chiffré côté client de votre organisation, les organisations externes doivent également configurer le CSE.
Configuration requise pour votre organisation
- Ajoutez le service d'IdP de l'organisation externe à la liste d'autorisation de votre service de clés de chiffrement. Le service d'IdP se trouve généralement dans leur fichier .well-known public, s'il est configuré. Sinon, contactez l'administrateur Google Workspace de l'organisation externe pour obtenir les détails de son IdP.
- Assurez-vous que l'administrateur comprend que ses utilisateurs doivent fournir leurs jetons d'authentification à votre service de clés pour afficher ou modifier le contenu chiffré de votre organisation. Le processus d'authentification nécessite que l'utilisateur partage son adresse IP et d'autres informations d'identité. Pour en savoir plus, consultez Jetons d'authentification dans le guide de référence de l'API Client-side encryption.
- En fonction des règles de sécurité de votre organisation et de l'organisation externe, il se peut que vous deviez créer des ID client Web et mobile distincts pour accéder au contenu chiffré de votre organisation. Vous devez ajouter ces ID client à la liste d'autorisation du service de clés de chiffrement.
Configurer un IdP pour les invités pour tous les utilisateurs externes
Pour permettre aux organisations externes d'accéder à votre contenu chiffré côté client, vous pouvez configurer un IdP pour les invités afin d'authentifier les utilisateurs externes, à l'aide du même IdP que celui que vous utilisez ou d'un autre. L'IdP pour les invités permet à vos utilisateurs de partager du contenu chiffré avec d'autres membres d'organisations externes, que celles-ci utilisent ou non le CSE.
Remarque : Si vous avez déjà configuré un accès externe pour des organisations qui utilisent également le CSE (comme décrit précédemment sur cette page), cette configuration est ignorée une fois que vous avez configuré un IdP pour les invités.
Configurer un IdP pour les invités dans la console d'administration
Suivez les instructions de la page Se connecter au fournisseur d'identité pour le chiffrement côté client pour configurer un IdP. Lors de la configuration, vous allez effectuer les tâches suivantes :
- Choisir un IdP conforme à OIDC : pour Gmail et Google Meet, vous pouvez utiliser un IdP tiers ou une identité Google. Toutefois, pour Google Drive et les éditeurs Docs, vous ne pouvez utiliser qu'un IdP tiers. Cette restriction permet d'assurer la compatibilité des comptes visiteur avec Drive et Docs. Votre IdP tiers peut être celui que vous utilisez pour vos utilisateurs ou un autre IdP.
- Créer un ID client supplémentaire pour Google Meet : au cours de l'étape de création de votre ID client pour les services Web, vous devrez créer un ID client supplémentaire pour Google Meet.
L'ID client principal des services Web est utilisé pour le service de clés de chiffrement. Il n'est pas partagé avec les systèmes Google. L'ID client supplémentaire pour Meet permet de vérifier que les invités qui ne sont pas connectés à Meet ont bien été invités à la réunion.
- Configurer l'IdP pour les invités à l'aide de la console d'administration : vous devez utiliser la console d'administration pour configurer la connexion à votre IdP pour les invités, et choisir l'option Configurer l'IdP pour les invités. Vous ne pouvez pas configurer l'IdP pour les invités à l'aide d'un fichier .well-known.
Configurer les options d'authentification de l'IdP pour les invités
Une fois la configuration de l'IdP terminée dans la console d'administration, vous pouvez utiliser les outils de votre IdP pour définir la manière dont les utilisateurs externes seront authentifiés. Selon l'implémentation de votre IdP pour les invités, les options suivantes peuvent être disponibles :
- Créez des comptes distincts pour les invités et fournissez-leur les mots de passe associés.
- Envoyez des codes à usage unique aux invités pour valider leur adresse e-mail.
- Autorisez les invités à utiliser des IdP préconfigurés tels que Google, Apple ou Microsoft.
Remarque : Avec l'identité Google, les utilisateurs peuvent se connecter avec leur compte Google. S'ils n'ont pas de compte, ils peuvent en créer un.
Quelle que soit la méthode d'authentification, les invités verront un message pop-up leur demandant de se connecter avec un fournisseur d'identité pour pouvoir accéder au contenu chiffré côté client.