Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Standard и Education Plus. Сравните вашу версию.
As an administrator, you can turn on Google Workspace Client-side encryption (CSE) for users who need to create encrypted content with these services:
| For this service... | Turn on CSE for... |
|---|---|
| Google Диск | Users who need to create client-side encrypted documents, spreadsheets, and presentations or upload client-side encrypted files to Drive. You don't need to turn on CSE for users who only view and edit files shared with them. |
| Гмайл | Users who need to send or receive encrypted messages. Прежде чем включить CSE для Gmail: проверьте параметры включения шифрования электронной почты для пользователей, что необходимо в дополнение к включению Gmail CSE. Подробности см. на странице Gmail CSE: Убедитесь, что шифрование включено для пользователей (см. далее на этой странице). |
| Календарь Google | Пользователям, которым необходимо создавать зашифрованные на стороне клиента события календаря, также необходимо включить функцию CSE для Google Диска и Meet для этих пользователей, если вы хотите, чтобы они могли прикреплять зашифрованные на стороне клиента документы и проводить зашифрованные на стороне клиента встречи. You don't need to turn on CSE for event invitees. |
| Google Meet | Users who need to host client-side encrypted online meetings. You don't need to turn on CSE for other meeting participants. |
For users who need to only view or edit encrypted content, make sure:
- Internal users are on your key service's key access control list (KACL). For details, go to Set up your key service for client-side encryption .
- Внешние пользователи имеют доступ к вашему зашифрованному на стороне клиента контенту. Подробности см. в разделе «Предоставление внешнего доступа к зашифрованному на стороне клиента контенту» .
Прежде чем начать
Убедитесь, что вы выполнили следующие шаги.
- Выберите ключевую услугу .
- Подключитесь к своему поставщику идентификационных данных (IdP) .
- Настройте внешнюю службу ключей или аппаратное шифрование ключей .
- Assign a key service or hardware key encryption to organizational units or groups.
Если вы используете несколько ключевых сервисов, убедитесь, что они назначены соответствующим организационным подразделениям или группам конфигурации.
Understand the limitations of using CSE with supported services
For more information about features that aren't available to users when they choose to use CSE, see CSE user experience .
If needed, add users to organizational units and groups
Make sure you've placed users into the organizational units or groups for which you want to turn on CSE for all or specific services.
- For details on creating organizational units, go to Add an organizational unit .
- For details on creating and using configuration groups, go to Customize service settings with configuration groups .
You can make CSE the default setting for users apps
When turning on CSE for organizational units, you can make CSE the default setting for the following services, including both web and mobile apps:
- Gmail —Content is encrypted by default when users compose, reply to, or forward an email.
- Google Drive —Content is encrypted by default when users create new files, such as documents, spreadsheets, and presentations.
- Google Calendar —Event descriptions are encrypted by default when users create an event. Google Meet meetings are also encrypted by default.
Если шифрование на стороне клиента включено по умолчанию, у пользователей всё равно есть возможность отключить его при необходимости. Вы можете отслеживать действия пользователей по отключению шифрования на стороне клиента для Google Диска и Календа с помощью инструмента анализа безопасности. Для получения подробной информации перейдите в раздел «Просмотр журналов и отчетов по шифрованию на стороне клиента» .
Note: Setting CSE as the default for a service is currently available for only organizational units, not configuration groups.
Gmail CSE: Make sure email encryption is enabled for users
Для отправки и получения зашифрованных сообщений пользователям необходимо включить шифрование как в Gmail CSE, так и в электронной почте. В зависимости от вашей подписки и потребностей вы можете включить шифрование одним из следующих способов:
- Настройка и загрузка S/MIME-сертификатов для пользователей (требуется опыт работы с API и скриптами Python). При использовании этой опции необходимо включить API Gmail перед включением CSE для Gmail. Подробности см. только в Gmail: Настройка S/MIME-сертификатов для шифрования на стороне клиента .
- Если у вас установлено дополнение Assured Controls , и вы не используете аппаратное шифрование ключей для Gmail, используйте сквозное шифрование Gmail (E2EE), выбрав параметр «Шифрование с гостевыми учетными записями» при включении Gmail CSE (как описано далее на этой странице). При использовании этого параметра вам не нужно настраивать сертификаты S/MIME для пользователей. Для использования Gmail E2EE необходимо сначала настроить поставщика идентификации (IdP) для гостей. Подробности см. в разделе «Предоставление внешнего доступа к зашифрованному содержимому на стороне клиента» .
Важно: с помощью опции «Шифрование с использованием гостевых учетных записей » вы также можете разрешить пользователям обмениваться зашифрованными на стороне клиента сообщениями с кем угодно за пределами вашей организации. Для предоставления такого доступа необходимо настроить поставщика идентификации (IdP) для гостевых учетных записей. Подробности см. в разделе «Предоставление внешнего доступа к зашифрованному на стороне клиента содержимому» .
Turn CSE on or off for users
Чтобы включить CSE для пользователей, необходимо включить CSE для организационных подразделений или групп конфигурации, к которым принадлежат пользователи. После включения доступа пользователей к CSE, они смогут выбирать, следует ли шифровать контент.
При включении CSE для организационного подразделения вы можете сделать CSE инструментом по умолчанию для Gmail, Google Drive и Google Calendar — как для веб-приложений, так и для мобильных приложений. Требуется наличие надстройки Assured Controls или Assured Controls Plus .
Чтобы предотвратить шифрование контента пользователями, можно отключить CSE для организационных подразделений или групп конфигурации, к которым они принадлежат. Если отключить CSE для пользователей, любой существующий зашифрованный на стороне клиента контент останется зашифрованным и доступным.
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .В консоли администратора Google перейдите в меню.
Данные Согласие Шифрование на стороне клиента .Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
Under Apps , click the name of the Google service for which you want to turn CSE on or off for users.
В качестве альтернативы, в разделе «Шифрование с помощью внешней службы ключей» или «Шифрование с помощью аппаратных ключей» нажмите «Назначить» . Затем в разделе «Шифрование приложением» выберите службу Google, для которой вы хотите включить CSE.
В левой панели выберите организационное подразделение или группу, для которой вы хотите включить или выключить CSE.
Under Client-side encryption status , select On or Off.
In the pop-up message, confirm your selection.
(Необязательно, только для Gmail) Чтобы автоматически включить шифрование электронной почты для учетных записей пользователей, в разделе «Шифрование для гостевых учетных записей » выберите «Разрешить пользователям отправлять зашифрованные на стороне клиента сообщения получателям, которые не используют S/MIME» . Требуется наличие надстройки Assured Controls или Assured Controls Plus .
(Необязательно только для подразделений организации) Чтобы по умолчанию шифровать содержимое Gmail, Google Диска или Календа с помощью сервиса Google, в разделе «Включено по умолчанию» установите флажок «Включить шифрование на стороне клиента по умолчанию» . Пользователи по-прежнему смогут отключить шифрование.
Requires having the Assured Controls or Assured Controls Plus add-on .Click Override to keep your setting if the CSE settings for the parent organizational unit are changed.
Если для организационной единицы уже установлен параметр «Переопределено» , выберите один из следующих вариантов:
- Наследование — Возвращает те же настройки CSE, что и у родительского элемента.
- Сохранить — Сохраняет новые настройки CSE (даже если изменились родительские настройки).
Если вы включили CSE для Gmail
Если после активации CSE для Gmail у вас не получилось использовать опцию «Шифрование с гостевыми учетными записями» : для каждого пользователя, который будет использовать Gmail CSE, необходимо подготовить и загрузить в Gmail его S/MIME-сертификаты и зашифрованные метаданные закрытого ключа. Подробности см. в разделе «Настройка Gmail CSE для пользователей» .
If users have issues using CSE
Check the Alert Center if users have any issues using Gmail CSE. For more information, go to Client-side encryption service unavailable .