הפעלה או השבתה של הצפנה בצד הלקוח למשתמשים

בואו נוודא שאתם נמצאים במקום הנכון השלבים האלה מיועדים לאדמינים שמנהלים חשבונות Gmail בחברה, במוסד לימודים או בקבוצה אחרת. הצפנה מצד הלקוח לא זמינה בחשבון האישי שלכם ב-gmail.com.

התכונה הזו נתמכת במהדורות הבאות: Frontline Plus,‏ Enterprise Plus,‏ Education Standard ו-Education Plus. השוואה בין מהדורות

אדמינים יכולים להפעיל הצפנה מצד הלקוח (CSE) ב-Google Workspace למשתמשים שצריכים ליצור תוכן מוצפן בשירותים הבאים:

בשירות הזה...	הפעלת הצפנה מצד הלקוח עבור…
Google Drive	משתמשים שצריכים ליצור מסמכים, גיליונות אלקטרוניים ומצגות מוצפנים מצד הלקוח או להעלות קבצים מוצפנים מצד הלקוח ל-Drive. אין צורך להפעיל את CSE למשתמשים שרק צופים בקבצים ששותפו איתם ועורכים אותם.
Gmail	משתמשים שצריכים לשלוח או לקבל הודעות מוצפנות. לפני שמפעילים את ההצפנה מצד הלקוח ב-Gmail: כדאי לבדוק את האפשרויות להפעלת הצפנת אימייל למשתמשים, שנדרשת בנוסף להפעלת ההצפנה מצד הלקוח ב-Gmail. פרטים נוספים מופיעים בהמשך הדף בקטע הצפנה מצד הלקוח ב-Gmail: מוודאים שההצפנה מופעלת עבור המשתמשים.
יומן Google	משתמשים שצריכים ליצור אירועים ביומן עם הצפנה מצד הלקוח. אם רוצים שהמשתמשים האלה יוכלו לצרף מסמכים עם הצפנה מצד הלקוח ולקיים פגישות עם הצפנה מצד הלקוח, צריך להפעיל עבורם גם את ההצפנה מצד הלקוח ב-Drive וב-Meet. אין צורך להפעיל הצפנה בצד הלקוח עבור מוזמנים לאירועים.
Google Meet	משתמשים שצריכים לארח פגישות אונליין שהוצפנו מצד הלקוח. לא צריך להפעיל את ההצפנה בצד הלקוח בשביל שאר המשתתפים בפגישה.

למשתמשים שצריכים רק לצפות בתוכן מוצפן או לערוך אותו, צריך לוודא:

משתמשים פנימיים מופיעים ברשימת המפתחות של בקרת הגישה (KACL) של השירות למפתחות הצפנה. פרטים נוספים מופיעים במאמר בנושא הגדרת שירות מפתחות להצפנה מצד הלקוח.
משתמשים חיצוניים יכולים לגשת לתוכן המוצפן בצד הלקוח. פרטים נוספים מופיעים במאמר בנושא מתן גישה חיצונית לתוכן מוצפן מצד הלקוח.

לפני שמתחילים

חשוב לוודא שהשלמתם את השלבים האלה

בחירת שירות למפתחות הצפנה.
התחברות לספק הזהויות (IdP)
מגדירים את השירות החיצוני למפתחות הצפנה או הצפנה של מפתחות פיזיים.
הקצאת שירות למפתחות הצפנה או מפתח פיזי ליחידות ארגוניות או לקבוצות.
אם אתם משתמשים בכמה שירותים למפתחות הצפנה, חשוב לוודא שהם מוקצים ליחידות הארגוניות או לקבוצות ההגדרות המתאימות.

הסבר על המגבלות בשימוש בהצפנה מצד הלקוח בשירותים נתמכים

מידע נוסף על תכונות שלא זמינות למשתמשים כשהם בוחרים להשתמש ב-CSE מופיע במאמר חוויית המשתמש ב-CSE.

אם צריך, מוסיפים משתמשים ליחידות ארגוניות ולקבוצות

חשוב לוודא שהמשתמשים נמצאים ביחידות הארגוניות או בקבוצות שרוצים להפעיל בהן את CSE לכל השירותים או לשירותים ספציפיים.

כאן תוכלו לקבל מידע איך מוסיפים יחידות ארגוניות.
פרטים על יצירה ושימוש בהגדרות לקבוצות משתמשים מופיעים במאמר התאמה אישית של הגדרות של שירות באמצעות הגדרות לקבוצות משתמשים.

אפשר להגדיר את CSE כהגדרת ברירת המחדל באפליקציות של המשתמשים

כדי לעשות את זה צריך את התוסף Assured Controls או Assured Controls Plus.

כשמפעילים הצפנה מצד הלקוח ליחידות ארגוניות, אפשר להגדיר אותה כהגדרת ברירת המחדל בשירותים הבאים, כולל אפליקציות לאינטרנט ולנייד:

‫Gmail – התוכן מוצפן כברירת מחדל כשמשתמשים כותבים אימייל, משיבים לו או מעבירים אותו.
‫Google Drive – התוכן מוצפן כברירת מחדל כשמשתמשים יוצרים קבצים חדשים, כמו מסמכים, גיליונות אלקטרוניים ומצגות.
יומן Google – תיאורי האירועים מוצפנים כברירת מחדל כשמשתמשים יוצרים אירוע. גם הפגישות ב-Google Meet מוצפנות כברירת מחדל.

אם מפעילים את CSE כברירת מחדל, המשתמשים עדיין יכולים להשבית את ההצפנה אם צריך. אתם יכולים לעקוב אחרי פעולות של משתמשים כדי להשבית את ההצפנה מצד הלקוח ב-Drive וביומן באמצעות הכלי לחקירת אבטחה. פרטים נוספים מופיעים במאמר בנושא צפייה ביומנים ובדוחות של הצפנה מצד הלקוח.

הערה: כרגע אפשר להגדיר CSE כברירת מחדל לשירות רק ליחידות ארגוניות, ולא לקבוצות הגדרות.

הצפנה מצד הלקוח ב-Gmail: מוודאים שהצפנת האימייל מופעלת עבור המשתמשים

כדי לשלוח ולקבל הודעות מוצפנות, המשתמשים צריכים להפעיל בחשבונות שלהם גם את ההצפנה ב-Gmail וגם את הצפנת האימייל. בהתאם למינוי ולצרכים שלכם, אתם יכולים להפעיל את ההצפנה באחת מהדרכים הבאות:

הגדרת אישורי S/MIME והעלאה שלהם למשתמשים (נדרש ניסיון בעבודה עם ממשקי API וסקריפטים של Python). כדי להשתמש באפשרות הזו, צריך להפעיל את Gmail API לפני שמפעילים את ההצפנה מצד הלקוח ב-Gmail. פרטים נוספים מופיעים במאמר בנושא Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח.
אם יש לכם את התוסף Assured Controls ואתם לא משתמשים בהצפנה באמצעות מפתח פיזי ב-Gmail, אתם יכולים להשתמש בהצפנה מקצה לקצה (E2EE) ב-Gmail. לשם כך, צריך לבחור באפשרות הצפנה באמצעות חשבונות אורחים כשמפעילים את ה-CSE ב-Gmail (כפי שמתואר בהמשך הדף). באפשרות הזו, לא צריך להגדיר אישורי S/MIME למשתמשים. כדי להשתמש בהצפנה מקצה לקצה ב-Gmail, צריך קודם להגדיר ספק זהויות (IdP) לאורחים. פרטים נוספים מופיעים במאמר בנושא מתן גישה חיצונית לתוכן מוצפן מצד הלקוח.
חשוב לדעת: באמצעות האפשרות הצפנה באמצעות חשבונות אורחים, אתם יכולים גם לאפשר למשתמשים להחליף הודעות מוצפנות מצד הלקוח עם כל מי שנמצא מחוץ לארגון. כדי לספק את הגישה הזו, צריך להגדיר ספק זהויות (IdP) לאורחים. פרטים נוספים מופיעים במאמר בנושא מתן גישה חיצונית לתוכן מוצפן מצד הלקוח.

הפעלה או השבתה של חיפוש מותאם אישית למשתמשים

כדי להפעיל CSE למשתמשים, צריך להפעיל CSE ליחידות הארגוניות או לקבוצות ההגדרות שהמשתמשים שייכים אליהן. אחרי שמפעילים את גישת המשתמש להצפנה בצד הלקוח, המשתמשים יכולים לבחור אם להצפין את התוכן.

כשמפעילים הצפנה מצד הלקוח ליחידה ארגונית, אפשר להגדיר אותה כברירת המחדל ב-Gmail, ב-Google Drive וביומן Google – גם באפליקציות לנייד וגם באפליקציות לאינטרנט. כדי לעשות את זה צריך את התוסף Assured Controls או Assured Controls Plus.

כדי למנוע ממשתמשים להצפין תוכן, אתם יכולים להשבית את CSE ביחידות הארגוניות או בקבוצות ההגדרות שהם שייכים אליהן. אם תשביתו את ה-CSE עבור משתמשים, תוכן קיים שמוצפן בצד הלקוח יישאר מוצפן ונגיש.

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

במסוף Google Admin, נכנסים לתפריט נתונים תאימות הצפנה בצד הלקוח.

מעבר אל 'הצפנה מצד הלקוח'

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.
בקטע אפליקציות, לוחצים על השם של שירות Google שרוצים להפעיל או להשבית בו את ה-CSE עבור משתמשים.

אפשר גם ללחוץ על הקצאה בקטע הצפנה עם שירות חיצוני למפתחות הצפנה או הצפנה עם מפתחות חומרה. לאחר מכן, בקטע הצפנה לפי אפליקציה, בוחרים את השירות של Google שבו רוצים להפעיל את ה-CSE.
בחלונית הימנית, בוחרים יחידה ארגונית או קבוצה שרוצים להפעיל או להשבית עבורן את CSE.
בקטע סטטוס ההצפנה בצד הלקוח, בוחרים באפשרות מופעל או מושבת.
בהודעה הקופצת, מאשרים את הבחירה.
(אופציונלי רק ב-Gmail) כדי להפעיל אוטומטית הצפנת אימייל בחשבונות של המשתמשים, בקטע הצפנה באמצעות חשבונות אורחים, בוחרים באפשרות המשתמשים יכולים לשלוח הודעות עם הצפנה בצד הלקוח לאנשים שלא משתמשים ב-S/MIME. כדי לעשות את זה צריך את התוסף Assured Controls או Assured Controls Plus.
(אופציונלי ליחידות ארגוניות בלבד) כדי להצפין תוכן ב-Gmail, ב-Drive או ביומן באמצעות שירות Google כברירת מחדל, בקטע מופעל כברירת מחדל, מסמנים את התיבה הפעלת הצפנה מצד הלקוח כברירת מחדל. המשתמשים עדיין יוכלו להשבית את ההצפנה.
נדרש התוסף Assured Controls או Assured Controls Plus.
כדי שההגדרה תישאר כמו שהיא גם כשההגדרות של ה-CSE ביחידה הארגונית הראשית משתנות, לוחצים על שינוי מברירת המחדל.
אם האפשרות בוטלה כבר מוגדרת ליחידה הארגונית, בוחרים באחת מהאפשרויות הבאות:
- קבלה בירושה: חזרה להגדרה של מנוע החיפוש המותאם אישית שמוגדרת ביחידה הארגונית ברמה העליונה.
- שמירה: שמירת ההגדרה החדשה של מנוע החיפוש המותאם אישית (גם אם ההגדרה הראשית משתנה).

יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

אם הפעלתם הצפנה מצד הלקוח ב-Gmail

אם לא הצלחתם להשתמש באפשרות הצפנה באמצעות חשבונות אורחים אחרי שהפעלתם את הצפנה מצד הלקוח ב-Gmail: לכל משתמש שישתמש בהצפנה מצד הלקוח ב-Gmail, אתם צריכים להכין ולהעלות ל-Gmail את אישורי ה-S/MIME ואת המטא-נתונים של המפתח הפרטי המוצפן. פרטים נוספים מופיעים במאמר בנושא הגדרת הצפנת CSE ב-Gmail למשתמשים.

אם למשתמשים יש בעיות בשימוש ב-CSE

בודקים במרכז ההתראות אם למשתמשים יש בעיות בשימוש ב-Gmail CSE. מידע נוסף זמין במאמר שירות ההצפנה מצד הלקוח לא זמין.

הפעלה או השבתה של הצפנה בצד הלקוח למשתמשים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.