Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Standard и Education Plus. Сравните вашу версию.
В качестве администратора вы можете включить шифрование на стороне клиента (CSE) в Google Workspace для пользователей, которым необходимо создавать зашифрованный контент с помощью этих сервисов:
| Для этой услуги... | Включите CSE для... |
|---|---|
| Google Диск | Пользователям, которым необходимо создавать документы, электронные таблицы и презентации с шифрованием на стороне клиента или загружать файлы с шифрованием на стороне клиента в Google Диск. Включать CSE пользователям, которые только просматривают и редактируют файлы, предоставленные им в общий доступ, не требуется. |
| Гмайл | Пользователи, которым необходимо отправлять или получать зашифрованные сообщения. Before you turn on CSE for Gmail: Review your options for enabling email encryption for users, which is required in addition to turning on Gmail CSE. For details, go to Gmail CSE: Make sure encryption is enabled for users later on this page. |
| Календарь Google | Users who need to create client-side encrypted calendar events. You also need to turn on CSE for Drive and Meet for these users if you want them to attach client-side encrypted documents and host client-side encrypted meetings. Включать CSE для приглашенных на мероприятие не требуется. |
| Google Meet | Пользователи, которым необходимо проводить зашифрованные онлайн-совещания на стороне клиента. Включать CSE для других участников совещания не требуется. |
Пользователям, которым необходимо только просматривать или редактировать зашифрованный контент, следует убедиться в следующем:
- Внутренние пользователи включены в список контроля доступа (KACL) вашей службы ключей. Для получения подробной информации перейдите в раздел «Настройка службы ключей для шифрования на стороне клиента» .
- External users have access to your client-side encrypted content. For details, go to Provide external access to client-side encrypted content .
Прежде чем начать
Убедитесь, что вы выполнили следующие шаги.
- Выберите ключевую услугу .
- Подключитесь к своему поставщику идентификационных данных (IdP) .
- Настройте внешнюю службу ключей или аппаратное шифрование ключей .
- Назначьте подразделению или группе организации ключевое шифрование или шифрование с помощью аппаратных ключей .
Если вы используете несколько ключевых сервисов, убедитесь, что они назначены соответствующим организационным подразделениям или группам конфигурации.
Поймите ограничения использования CSE с поддерживаемыми сервисами.
Для получения дополнительной информации о функциях, недоступных пользователям при использовании CSE, см. раздел «Пользовательский опыт CSE» .
При необходимости добавьте пользователей в организационные подразделения и группы.
Убедитесь, что вы включили CSE для всех или определенных служб в тех организационных подразделениях или группах, для которых вы хотите это сделать.
- Подробную информацию о создании организационных подразделений см. в разделе «Добавление организационного подразделения» .
- Подробную информацию о создании и использовании групп конфигурации см. в разделе «Настройка параметров службы с помощью групп конфигурации» .
Вы можете установить CSE в качестве настройки по умолчанию для пользовательских приложений.
При включении CSE для организационных подразделений вы можете установить CSE в качестве параметра по умолчанию для следующих сервисов, включая веб-приложения и мобильные приложения:
- Gmail — Содержимое электронных писем шифруется по умолчанию, когда пользователи создают, отвечают на письма или пересылают их.
- Google Drive — Содержимое по умолчанию шифруется при создании пользователями новых файлов, таких как документы, электронные таблицы и презентации.
- В Google Календаре описания событий по умолчанию шифруются при создании событий пользователями. Встречи в Google Meet также шифруются по умолчанию.
If you turn on CSE by default, users still have the option turn off encryption if needed. You can monitor user actions to turn off CSE for Drive and Calendar, using the security investigation tool. For details, go to View logs and reports for client-side encryption .
Примечание: В настоящее время установка CSE в качестве параметра по умолчанию для службы доступна только для организационных подразделений, а не для групп конфигурации.
Gmail CSE: Убедитесь, что шифрование электронной почты включено для пользователей.
To send and receive encrypted messages, users need both Gmail CSE and email encryption enabled for their accounts Depending on your subscription and needs, you can enable encryption in either of the following ways:
- Configure and upload S/MIME certificates for users (requires experience working with APIs and Python scripts). With this option, you need to enable the Gmail API before turning on CSE for Gmail. For details, go to Gmail only: Configure S/MIME certificates for client-side encryption .
- Если у вас установлено дополнение Assured Controls , и вы не используете аппаратное шифрование ключей для Gmail, используйте сквозное шифрование Gmail (E2EE), выбрав параметр «Шифрование с гостевыми учетными записями» при включении Gmail CSE (как описано далее на этой странице). При использовании этого параметра вам не нужно настраивать сертификаты S/MIME для пользователей. Для использования Gmail E2EE необходимо сначала настроить поставщика идентификации (IdP) для гостей. Подробности см. в разделе «Предоставление внешнего доступа к зашифрованному содержимому на стороне клиента» .
Important: With the Encryption with guest accounts option, you can also let users exchange client-side encrypted messages with anyone outside your organization. To provide this access, you need to configure a guest identity provider (IdP). For details, go to Provide external access to client-side encrypted content .
Включение или отключение CSE для пользователей
To turn on CSE for users, you need to turn on CSE for the organizational units or configuration groups the users belong to. Once you turn on user access for CSE, users can choose whether to encrypt content.
When turning on CSE for an organizational unit, you can make CSE the default for Gmail, Google Drive, and Google Calendar—for both web and mobile apps. Requires having the Assured Controls or Assured Controls Plus add-on .
To prevent users from encrypting content, you can turn off CSE for the organizational units or configuration groups they belong to. If you turn off CSE for users, any existing client-side encrypted content remains encrypted and accessible.
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .В консоли администратора Google перейдите в меню.
ДанныеСогласиеШифрование на стороне клиента .Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
В разделе «Приложения» щелкните название сервиса Google, для которого вы хотите включить или отключить функцию CSE для пользователей.
Alternatively, under Encryption with external key service or Encryption with hardware keys , click Assign . Then, under Encryption by app , select the Google service for which you want to turn on CSE.
В левой панели выберите организационное подразделение или группу, для которой вы хотите включить или выключить CSE.
В разделе «Состояние шифрования на стороне клиента» выберите «Вкл.» или «Выкл.».
Во всплывающем сообщении подтвердите свой выбор.
(Optional for Gmail only) To use automatically enable email encryption for users' accounts, under Encryption with guest accounts , select Allow users to send client-side encrypted messages to recipients who aren't using S/MIME . Requires having the Assured Controls or Assured Controls Plus add-on .
(Optional for organization units only) To encrypt Gmail, Drive, or Calendar content with the Google service by default, under On by default , check the Turn on client-side encryption by default box. Users will still have option to turn off encryption.
Для этого требуется наличие дополнительного модуля Assured Controls или Assured Controls Plus .Нажмите «Переопределить» , чтобы сохранить настройки при изменении параметров CSE для родительского организационного подразделения.
Если для организационной единицы уже установлен параметр «Переопределено» , выберите один из следующих вариантов:
- Наследование — Возвращает те же настройки CSE, что и у родительского элемента.
- Сохранить — Сохраняет новые настройки CSE (даже если изменились родительские настройки).
Если вы включили CSE для Gmail
If you weren't able to use the Encryption with guest accounts option after turning in CSE for Gmail: For each user who will use Gmail CSE, you need to prepare and upload their S/MIME certificates and encrypted private key metadata to Gmail. For details, go to Set up Gmail CSE for users .
Если у пользователей возникнут проблемы с использованием CSE
Если у пользователей возникли проблемы с использованием Gmail CSE, проверьте Центр оповещений. Для получения дополнительной информации перейдите по ссылке «Служба шифрования на стороне клиента недоступна» .