Den här sidan översattes av Cloud Translation API:et.

Ge extern åtkomst till krypterat innehåll på klientsidan

Utgåvor som stöds för den här funktionen: Frontline Plus; Enterprise Plus; Education Standard och Education Plus. Jämför din utgåva

Som administratör kan du låta externa användare komma åt ditt innehåll som är krypterat med klientsideskryptering (CSE) i Google Workspace. Det finns två metoder för att ge extern åtkomst:

Konfigurera åtkomst för externa organisationer som också använder CSE . Med den här metoden kan du ge en extern organisation åtkomst till krypterat innehåll om de uppfyller användar- och CSE-kraven.
Konfigurera en gästidentitetsleverantör (IdP) för att tillåta åtkomst för externa användare. Med den här metoden kan dina användare ge åtkomst till ditt klientsideskrypterade innehåll till både Google-konton och konton som inte tillhör Google. Externa organisationer behöver inte konfigurera CSE, och deras användare behöver inte en Google Workspace- eller Cloud Identity-licens.
Konfigurationen av gäst-IdP är för närvarande endast tillgänglig för webbapparna Gmail, Google Meet, Drive, Docs, Sheets och Slides . Konfigurationen av gäst-IdP för mobilappar för dessa tjänster kommer att finnas tillgänglig i en kommande version.

Om extern åtkomst till krypterad e-post

Du har två alternativ för att ge extern åtkomst till krypterade e-postmeddelanden på klientsidan.

Alternativ 1: Använd Gmail E2EE utan S/MIME

Om användare ska utbyta krypterade meddelanden på klientsidan med externa användare som kanske inte använder S/MIME kan du använda alternativet Kryptering med gästkonton . Det här alternativet använder Gmail end-to-end-kryptering (E2EE) för att hantera krypterad kommunikation med externa användare automatiskt, utan att traditionell S/MIME-konfiguration eller certifikat krävs. Med Gmail E2EE skickar användare krypterade meddelanden till externa användare. Kräver att du har tillägget Assured Controls eller Assured Controls Plus .

Så här ger du extern åtkomst med Gmail E2EE:

Du måste konfigurera en gäst-IdP , enligt beskrivningen senare på den här sidan.
När en användare skickar ett krypterat meddelande utanför din organisation uppmanas den externa mottagaren att skapa ett gästkonto för att öppna meddelandet.
Du kan hantera gästkonton i organisationsenheten Arbetsytegäster i administratörskonsolen. Den här organisationsenheten skapas automatiskt efter att du har aktiverat kryptering med gästkonton och konfigurerat en gäst-IdP. Mer information finns i Hantera arbetsytegäster .

För mer information om hur du skickar och tar emot krypterade e-postmeddelanden på klientsidan och skapar gästkonton, gå till Läs mer om Gmails klientsideskryptering .

Alternativ 2: Använd S/MIME-certifikat

Om användare endast utbyter krypterade meddelanden på klientsidan med externa användare som använder S/MIME behövs ingen ytterligare konfiguration. Du behöver inte använda en gäst-IdP, och externa användare behöver inte en Google Workspace- eller Cloud Identity-licens.

Konfigurera extern åtkomst för externa organisationer som använder ASM

Om en extern organisation och din organisation uppfyller följande krav kan du ge den externa organisationen åtkomst till din organisations krypterade innehåll på klientsidan för Drive och Dokument, Kalender och Meet.

Licenskrav för externa användare

Externa användare måste ha en Google Workspace- eller Cloud Identity-licens för att få åtkomst till data som är krypterade med CSE.

Obs! Med den här externa åtkomstmetoden kan användare med ett konsumentkonto (ohanterat) Google-konto eller ett besökarkonto inte komma åt organisationens krypterade innehåll på klientsidan.

Installationskrav för externa organisationer

För att få åtkomst till din organisations krypterade innehåll på klientsidan måste externa organisationer också konfigurera CSE.

Installationskrav för din organisation

Få den externa organisationens IdP-tjänst godkänd med din krypteringsnyckeltjänst. Du hittar vanligtvis IdP-tjänsten i deras offentligt kända fil, om de har konfigurerat en sådan. Annars kontaktar du den externa organisationens Google Workspace-administratör för deras IdP-uppgifter.
Se till att deras administratör förstår att deras användare måste tillhandahålla sina autentiseringstokens till din nyckeltjänst för att visa eller redigera din organisations krypterade innehåll. Autentiseringsprocessen kräver att en användare delar sin IP-adress och annan identitetsinformation. Mer information finns i Autentiseringstokens i referensguiden för klientsideskrypterings-API.
Beroende på din och den externa organisationens säkerhetspolicyer kan de också behöva skapa separata klient-ID:n för webb och mobil för åtkomst till din organisations krypterade innehåll. Du måste ha dessa klient-ID:n godkända med krypteringsnyckeltjänsten.

Konfigurera en gäst-IdP för externa användare

För att ge externa organisationer åtkomst till ditt krypterade innehåll på klientsidan kan du konfigurera en gäst-IdP för att autentisera externa användare med hjälp av samma IdP som du använder eller en annan. Med en gäst-IdP kan dina användare dela krypterat innehåll med andra på externa organisationer, oavsett om dessa organisationer också använder CSE eller inte.

Obs! Om du redan har konfigurerat extern åtkomst för organisationer som också använder CSE (som beskrivs tidigare på den här sidan) ignoreras den konfigurationen när du konfigurerar en gäst-IdP.

Konfigurera en gäst-IdP i administratörskonsolen

Följ instruktionerna för att konfigurera en IdP i Anslut till identitetsleverantör för klientsideskryptering . Under installationen gör du följande:

Välj en OIDC-kompatibel IdP – För Gmail och Google Meet kan du använda antingen en tredjeparts-IdP eller en Google-identitet. För Google Drive- och Dokumentredigerare kan du dock bara använda en tredjeparts-IdP. Denna begränsning säkerställer stöd för besökarkonton för Drive och Dokument. Din tredjeparts-IdP kan vara samma IdP som du använder för dina användare eller en annan.
Skapa ett ytterligare klient-ID för Google Meet – Under steget där du skapar ditt klient-ID för webbtjänster måste du skapa ett ytterligare klient-ID för Google Meet.
Det primära klient-ID:t för webbtjänster används för nyckelkrypteringstjänsten och delas inte med Googles system. Det extra klient-ID:t för Meet används för att verifiera att gäster som inte är inloggade i Meet har blivit inbjudna till mötet.
Använd administratörskonsolen för att konfigurera din gäst-IdP — Du måste använda administratörskonsolen för att konfigurera din gäst-IdP-anslutning och välja alternativet Konfigurera gäst-IdP . Du kan inte konfigurera din gäst-IdP med en .well-known-fil.

Konfigurera autentiseringsalternativ för gäst-IdP

När du har slutfört IdP-konfigurationen i administratörskonsolen kan du använda din IdP:s verktyg för att konfigurera hur externa användare autentiseras. Beroende på din implementering av gäst-IdP kan följande alternativ vara tillgängliga:

Skapa separata konton för gäster och ge dem lösenorden till kontot.
Skicka gäster engångskoder för att verifiera deras e-postadress.
Tillåt gäster att använda förkonfigurerade IdP:er, till exempel Google, Apple eller Microsoft.
Obs! Med Google Identity kan användare logga in med sitt Google-konto. Om de inte har ett konto kan de skapa ett .

Med alla autentiseringsmetoder visas ett popup-meddelande som ber gäster att logga in med en identitetsleverantör innan de kan komma åt krypterat innehåll på klientsidan.