Conceder acesso externo a conteúdo criptografado do lado do cliente

Edições compatíveis com este recurso: Frontline Plus, Enterprise Plus, Education Standard e Education Plus. Comparar sua edição

Como administrador, você pode permitir que usuários externos acessem seu conteúdo criptografado com a criptografia do lado do cliente (CSE) do Google Workspace. Existem dois métodos para conceder acesso externo:

Configurar o acesso para organizações externas que também usam a CSE. Com esse método, é possível permitir que uma organização externa acesse o conteúdo criptografado caso ela atenda aos requisitos do usuário e da CSE.
Configure um provedor de identidade para convidados (IdP) para permitir acesso a usuários externos. Com esse método, os usuários podem conceder acesso ao conteúdo criptografado do lado do cliente para contas do Google e de terceiros. As organizações externas não precisam configurar a CSE, e os usuários não precisam de uma licença do Google Workspace ou do Cloud Identity.
No momento, a configuração do IdP de visitante está disponível apenas para os aplicativos da Web Gmail, Google Meet, Drive, Documentos, Planilhas e Apresentações. A configuração do IdP de visitante para aplicativos para dispositivos móveis desses serviços vai estar disponível em uma versão futura.

Sobre o acesso externo a e-mails criptografados

Você tem duas opções para conceder acesso externo a mensagens de e-mail criptografadas do lado do cliente.

Opção 1: usar a E2EE do Gmail sem S/MIME

Se os usuários trocarem mensagens criptografadas do lado do cliente com usuários externos que talvez não usem o S/MIME, use a opção Criptografia com contas de visitantes. Essa opção usa a criptografia de ponta a ponta (E2EE) do Gmail para processar automaticamente comunicações criptografadas com usuários externos, sem exigir a configuração ou os certificados tradicionais do S/MIME. Com a E2EE do Gmail, os usuários enviam mensagens criptografadas para qualquer usuário externo. É preciso ter o complemento Assured Controls ou Assured Controls Plus.

Para conceder acesso externo usando a E2EE do Gmail:

Você precisa configurar um IdP de visitante, conforme descrito mais adiante nesta página.
Quando um usuário envia uma mensagem criptografada para fora da organização, o destinatário externo precisa criar uma conta de visitante para abrir a mensagem.
É possível gerenciar as contas de visitantes na unidade organizacional Visitantes do Workspace no Admin Console. Essa unidade organizacional é criada automaticamente depois que você ativa a criptografia com contas de visitantes e configura um IdP de visitante. Confira mais detalhes em Gerenciar visitantes do Workspace.

Para mais detalhes sobre o envio e o recebimento de mensagens de e-mail criptografadas do lado do cliente e a criação de contas de visitantes, acesse Saiba mais sobre a criptografia do lado do cliente no Gmail.

Opção 2: usar certificados S/MIME

Se os usuários trocarem mensagens criptografadas do lado do cliente apenas com usuários externos que usam S/MIME, não é necessário fazer nenhuma configuração adicional. Não é necessário usar um IdP de visitante, e os usuários externos não precisam de uma licença do Google Workspace ou do Cloud Identity.

Configurar o acesso externo para organizações externas que usam a CSE

Se uma organização externa e sua organização atenderem aos requisitos a seguir, você poderá conceder acesso externo ao conteúdo criptografado do lado do cliente da organização nos apps Drive, Documentos, Agenda e Meet.

Requisitos de licença para usuários externos

Os usuários externos precisam ter uma licença do Google Workspace ou do Cloud Identity para acessar os dados criptografados com a CSE.

Observação:com esse método de acesso externo, os usuários com uma Conta do Google (não gerenciada) pessoal ou uma conta de visitante não podem acessar o conteúdo criptografado do lado do cliente da sua organização.

Requisitos de configuração para organizações externas

Para acessar o conteúdo criptografado do lado do cliente na sua organização, as organizações externas também precisam configurar a CSE.

Requisitos de configuração para sua organização

Inclua o serviço do IdP da organização externa na lista de permissões do serviço de chaves de criptografia. No geral, o serviço do IdP é encontrado no arquivo .well-known disponível publicamente (se estiver configurado). Caso contrário, fale com o admin do Google Workspace da organização externa para saber os detalhes do IdP.
Confirme se o administrador entende que os usuários precisam informar os tokens de autenticação ao seu serviço de chaves para acessar ou editar o conteúdo criptografado da sua organização. No processo de autenticação, um usuário precisa compartilhar o endereço IP e outras informações. Saiba mais em Tokens de autenticação no Guia de referência da API de criptografia do lado do cliente.
Dependendo da sua política e das políticas de segurança da organização externa, talvez eles também precisem criar IDs de cliente da Web e de dispositivos móveis separados para acessar o conteúdo criptografado da sua organização. Esses IDs de cliente precisam estar na lista de permissões com o serviço de chaves de criptografia.

Configurar um IdP convidado para usuários externos

Para conceder às organizações externas acesso ao conteúdo criptografado do lado do cliente, configure um IdP de convidado para autenticar usuários externos, usando o mesmo IdP que você usa ou outro. Com um IdP convidado, os usuários podem compartilhar conteúdo criptografado com outras pessoas em organizações externas, mesmo que elas não usem a CSE.

Observação:se você já tiver configurado o acesso externo para organizações que também usam a CSE (como descrito anteriormente nesta página), essa configuração vai ser ignorada depois que um IdP convidado for configurado.

Configurar um IdP convidado no Admin Console

Siga as instruções para configurar um IdP em Conectar-se ao provedor de identidade para usar a criptografia do lado do cliente. Durante a configuração, você vai:

Escolher um IdP compatível com OIDC: no Gmail e no Google Meet, é possível usar um IdP de terceiros ou a identidade do Google. No entanto, só é possível usar um IdP de terceiros no Google Drive e nos Editores de arquivos Google. Essa restrição garante o suporte a contas de visitantes no Drive e nos Documentos. O IdP de terceiros pode ser o mesmo que você usa para seus usuários ou um diferente.
Criar outro ID do cliente para o Google Meet: na etapa de criação do ID do cliente para serviços da Web, você vai precisar criar outro ID do cliente para o Google Meet.
O ID do cliente principal para serviços da Web é usado para o serviço de criptografia de chaves e não é compartilhado com os sistemas do Google. O ID do cliente adicional do Meet é usado para verificar se os convidados que não fizeram login foram convidados para a reunião.
Usar o Admin Console para configurar seu IdP convidado. Use o Admin Console para configurar a conexão do IdP convidado e escolha a opção Configurar IdP convidado. Não é possível configurar seu IdP convidado usando um arquivo .well-known.

Configurar opções de autenticação do IdP convidado

Depois de concluir a configuração do IdP no Admin Console, use as ferramentas do IdP para definir como os usuários externos serão autenticados. Dependendo da implementação do IdP convidado, as seguintes opções podem estar disponíveis:

Configurar contas separadas para convidados e fornecer as senhas das contas.
Enviar códigos únicos aos convidados para verificação do endereço de e-mail.
Permitir que os convidados usem IdPs pré-configurados, como Google, Apple ou Microsoft.
Observação:com a identidade do Google, os usuários podem fazer login com a Conta do Google. Se eles não tiverem uma conta, poderão criar uma.

Em qualquer método de autenticação, um pop-up vai aparecer pedindo que os convidados façam login com um provedor de identidade antes de acessar o conteúdo criptografado do lado do cliente.