Zapewnianie dostępu z zewnątrz do treści zaszyfrowanych po stronie klienta

Ta funkcja jest dostępna w tych wersjach: Frontline Plus, Enterprise Plus, Education Standard i Education Plus. Porównanie wersji

Jako administrator możesz zezwolić użytkownikom zewnętrznym na dostęp do Twoich treści zaszyfrowanych za pomocą szyfrowania po stronie klienta Google Workspace. Są 2 sposoby przyznawania dostępu z zewnątrz:

Skonfiguruj dostęp dla organizacji zewnętrznych, które też korzystają z szyfrowania po stronie klienta. Dzięki tej metodzie możesz przyznać organizacji zewnętrznej dostęp do zaszyfrowanych treści, jeśli spełnia ona wymagania dotyczące użytkowników i szyfrowania po stronie klienta.
Skonfiguruj dostawcę tożsamości dla gości, aby umożliwić dostęp wszystkim użytkownikom zewnętrznym. Dzięki tej metodzie użytkownicy będą mogli zapewnić dostęp do treści zaszyfrowanych po stronie klienta zarówno z konta Google, jak i kont innych firm. Organizacje zewnętrzne nie muszą konfigurować szyfrowania po stronie klienta, a ich użytkownicy nie potrzebują licencji Google Workspace ani Cloud Identity.
Konfiguracja dostawcy tożsamości dla gości jest obecnie dostępna tylko w aplikacjach internetowych Gmaila, Google Meet, Dysku, Dokumentów, Arkuszy i Prezentacji. Konfiguracja dostawcy tożsamości dla gości na potrzeby aplikacji mobilnych tych usług będzie dostępna w nadchodzącej wersji.

Dostęp z zewnątrz do zaszyfrowanych e-maili

Dostęp z zewnątrz do e-maili zaszyfrowanych po stronie klienta możesz przyznać na 2 sposoby.

Opcja 1. Użycie pełnego szyfrowania w Gmailu bez S/MIME

Jeśli użytkownicy będą wymieniać wiadomości zaszyfrowane po stronie klienta z użytkownikami zewnętrznymi, którzy nie korzystają z S/MIME, możesz użyć opcji Szyfrowanie z kontami gości. Ta opcja korzysta z pełnego szyfrowania w Gmailu, aby automatycznie obsługiwać zaszyfrowaną komunikację z użytkownikami zewnętrznymi bez konieczności stosowania tradycyjnej konfiguracji S/MIME ani certyfikatów. Dzięki pełnemu szyfrowaniu w Gmailu użytkownicy mogą wysyłać zaszyfrowane wiadomości do dowolnych użytkowników zewnętrznych. Wymaga to dodatku Bezpieczne ustawienia lub Bezpieczne ustawienia Plus.

Aby zapewnić dostęp zewnętrzny za pomocą pełnego szyfrowania w Gmailu:

Musisz skonfigurować dostawcę tożsamości gościa w sposób opisany poniżej.
Gdy użytkownik wyśle zaszyfrowaną wiadomość poza organizację, odbiorca spoza organizacji zostanie poproszony o utworzenie konta gościa, aby ją otworzyć.
Kontami gości możesz zarządzać w jednostce organizacyjnej Goście Workspace w konsoli administracyjnej. Ta jednostka organizacyjna jest tworzona automatycznie po włączeniu Szyfrowania z kontami gości i skonfigurowaniu dostawcy tożsamości gościa. Szczegółowe informacje znajdziesz w artykule o zarządzaniu gośćmi w Workspace.

Więcej informacji o wysyłaniu i odbieraniu e-maili zaszyfrowanych po stronie klienta oraz tworzeniu kont gości znajdziesz w artykule Szyfrowanie po stronie klienta w Gmailu.

Opcja 2. Użycie certyfikatów S/MIME

Jeśli użytkownicy będą wymieniać wiadomości zaszyfrowane po stronie klienta tylko z użytkownikami zewnętrznymi, którzy korzystają z S/MIME, nie jest wymagana żadna dodatkowa konfiguracja. Nie musisz używać dostawcy tożsamości dla gości, a użytkownicy zewnętrzni nie potrzebują licencji Google Workspace ani Cloud Identity.

Konfigurowanie dostępu dla organizacji zewnętrznych, które korzystają z szyfrowania po stronie klienta

Jeśli Twoja organizacja i organizacja zewnętrzna spełniają poniższe wymagania, możesz przyznać im dostęp do znajdujących się na Dysku, w Dokumentach, Kalendarzu i Meet treści zaszyfrowanych po stronie klienta.

Wymagania licencyjne dotyczące użytkowników zewnętrznych

Aby uzyskać dostęp do danych zaszyfrowanych po stronie klienta, użytkownicy zewnętrzni muszą mieć licencję Google Workspace lub Cloud Identity.

Uwaga: przy użyciu tej metody dostępu zewnętrznego użytkownicy z indywidualnym (niezarządzanym) kontem Google lub kontem gościa nie mają dostępu do treści Twojej organizacji zaszyfrowanych po stronie klienta.

Wymagania dotyczące konfiguracji w przypadku organizacji zewnętrznych

Aby mieć dostęp do treści zaszyfrowanych po stronie klienta w Twojej organizacji, organizacje zewnętrzne również muszą skonfigurować szyfrowanie po stronie klienta.

Wymagania dotyczące konfiguracji w organizacji

Należy dodać usługę dostawcy tożsamości organizacji zewnętrznej do listy dozwolonych w usłudze kluczy szyfrowania. Usługę dostawcy tożsamości można zwykle znaleźć w ich publicznie dostępnym pliku well-known, jeśli został skonfigurowany. W przeciwnym razie skontaktuj się z administratorem Google Workspace organizacji zewnętrznej, aby uzyskać szczegółowe informacje o dostawcy tożsamości.
Upewnij się, że administrator rozumie, że użytkownicy muszą przekazać tokeny uwierzytelniania Twojej usłudze kluczy, aby mogli wyświetlać lub edytować zaszyfrowane treści w organizacji. Proces uwierzytelniania wymaga od użytkownika podania adresu IP i innych informacji dotyczących tożsamości. Więcej szczegółów znajdziesz w sekcji dotyczącej tokenów uwierzytelniania w przewodniku po interfejsach API szyfrowania po stronie klienta.
W zależności od zasad bezpieczeństwa obowiązujących w Twojej organizacji i w organizacji zewnętrznej może być również konieczne utworzenie osobnych identyfikatorów klienta dla stron internetowych i mobilnych w celu uzyskania dostępu do zaszyfrowanych treści w organizacji. Musisz dodać te identyfikatory klientów do listy dozwolonych w usłudze kluczy szyfrowania.

Konfigurowanie dostawcy tożsamości gościa dla wszystkich użytkowników zewnętrznych

Aby zapewnić organizacjom zewnętrznym dostęp do treści zaszyfrowanych po stronie klienta, możesz skonfigurować dostawcę tożsamości dla gości tak, aby uwierzytelniał użytkowników zewnętrznych przy użyciu tego samego dostawcy tożsamości, którego używasz, lub innego. Korzystając z dostawcy tożsamości dla gości, Twoi użytkownicy mogą udostępniać zaszyfrowane treści innym osobom w organizacjach zewnętrznych bez względu na to, czy te organizacje również używają szyfrowania po stronie klienta.

Uwaga: jeśli masz już skonfigurowany dostęp zewnętrzny dla organizacji, które też używają szyfrowania po stronie klienta (jak opisano wcześniej na tej stronie), ta konfiguracja zostanie zignorowana po skonfigurowaniu dostawcy tożsamości dla gości.

Konfigurowanie dostawcy tożsamości gościa w konsoli administracyjnej

Postępuj zgodnie z instrukcjami konfigurowania dostawcy tożsamości w artykule Łączenie z dostawcą tożsamości na potrzeby szyfrowania po stronie klienta. Podczas konfiguracji:

Wybierz dostawcę tożsamości zgodnego z OIDC – w Gmailu i Google Meet możesz używać zewnętrznego dostawcy tożsamości lub tożsamości Google. W przypadku Dysku Google i edytorów Dokumentów Google możesz jednak używać tylko zewnętrznego dostawcy tożsamości. To ograniczenie zapewnia obsługę kont gości w przypadku Dysku i Dokumentów. Twoim zewnętrznym dostawcą tożsamości może być ten sam dostawca, którego używasz w przypadku użytkowników, lub inny dostawca tożsamości.
Utwórz dodatkowy identyfikator klienta dla Google Meet – w kroku, w którym tworzysz identyfikator klienta dla usług sieciowych, musisz utworzyć dodatkowy identyfikator klienta dla Google Meet.
Podstawowy identyfikator klienta dla usług sieciowych jest używany na potrzeby usługi kluczy szyfrowania i nie jest udostępniany systemom Google. Dodatkowy identyfikator klienta dla Meet jest używany do sprawdzania, czy goście, którzy nie są zalogowani w Meet, zostali zaproszeni na spotkanie.
Skonfiguruj dostawcę tożsamości dla gości w konsoli administracyjnej – musisz użyć konsoli administracyjnej, aby skonfigurować połączenie z dostawcą tożsamości dla gości, i wybrać opcję Konfigurowanie dostawcy tożsamości dla gości. Dostawcy tożsamości dla gości nie można skonfigurować przy użyciu pliku .well-known.

Konfigurowanie opcji uwierzytelniania dostawcy tożsamości dla gości

Po zakończeniu konfiguracji dostawcy tożsamości w konsoli administracyjnej możesz użyć narzędzi dostawcy tożsamości, aby skonfigurować sposób uwierzytelniania użytkowników zewnętrznych. W zależności od implementacji dostawcy tożsamości dla gości mogą być dostępne te opcje:

Skonfiguruj osobne konta dla gości i podaj im hasła do nich.
Wyślij gościom kody jednorazowe, aby zweryfikować ich adresy e-mail.
Zezwól gościom na korzystanie ze wstępnie skonfigurowanych dostawców tożsamości, takich jak Google, Apple lub Microsoft.
Uwaga: dzięki tożsamości Google użytkownicy mogą logować się za pomocą swoich kont Google. Jeśli użytkownik nie ma takiego konta, może je utworzyć.

W przypadku każdej metody uwierzytelniania goście zobaczą wyskakujące okienko z prośbą o zalogowanie się u dostawcy tożsamości, zanim będą mogli uzyskać dostęp do treści zaszyfrowanych po stronie klienta.