Ativar ou desativar a criptografia do lado do cliente para os usuários

Confirme se você está no lugar certo. Estas etapas são para administradores que gerenciam contas do Gmail de uma empresa, escola ou outro grupo. A criptografia do lado do cliente não está disponível na sua conta pessoal do gmail.com.

Edições compatíveis com este recurso: Frontline Plus, Enterprise Plus, Education Standard e Education Plus. Comparar sua edição

Como administrador, você pode ativar a criptografia do lado do cliente (CSE) do Google Workspace para usuários que precisam criar conteúdo criptografado com estes serviços:

Para este serviço...	Ativar a CSE para...
Google Drive	Usuários que precisam criar documentos, planilhas e apresentações criptografados do lado do cliente ou fazer upload de arquivos criptografados do lado do cliente para o Drive. Não é preciso ativar a CSE para usuários que apenas veem e editam os arquivos compartilhados.
Gmail	Usuários que precisam enviar ou receber mensagens criptografadas. Antes de ativar a CSE no Gmail:analise suas opções para ativar a criptografia de e-mail para os usuários, o que é necessário além de ativar a CSE do Gmail. Saiba mais em CSE do Gmail: verificar se a criptografia está ativada para os usuários mais adiante nesta página.
Google Agenda	Usuários que precisam criar eventos da agenda criptografados do lado do cliente. Ative também a CSE para o Drive e o Meet se quiser que esses usuários anexem documentos criptografados do lado do cliente e organizem reuniões criptografadas da mesma forma. Não é necessário ativar a CSE para convidados de eventos.
Google Meet	Usuários que precisam organizar reuniões on-line criptografadas do lado do cliente. Não é preciso ativar a CSE para outros participantes da reunião.

Para usuários que só precisam acessar ou editar o conteúdo criptografado, confirme se:

Os usuários internos estão na lista de controle de acesso a chaves (KACL, na sigla em inglês) do serviço de chaves. Para detalhes, acesse Configurar seu serviço de chaves para usar a criptografia do lado do cliente.
Os usuários externos têm acesso ao conteúdo criptografado do lado do cliente. Para mais detalhes, acesse Conceder acesso externo ao conteúdo criptografado do lado do cliente.

Antes de começar

Confirme que você concluiu estas etapas

Escolha um serviço de chaves.
Conecte ao seu provedor de identidade (IdP).
Configure o serviço de chaves externo ou a criptografia de chave de hardware.
Atribua um serviço de chaves ou criptografia de chaves de hardware a unidades organizacionais ou grupos.
Se você estiver usando vários serviços de chaves, eles precisam estar atribuídos às unidades organizacionais ou aos grupos de configuração apropriados.

Entenda as limitações do uso da CSE nos serviços com suporte

Saiba mais sobre os recursos que não estão disponíveis para os usuários quando eles escolhem usar a CSE em Experiência do usuário da CSE.

Se necessário, adicione usuários a unidades organizacionais e grupos

Coloque os usuários nos grupo ou unidades organizacionais em que você quer ativar a CSE para todos ou para serviços específicos.

Saiba mais sobre como criar unidades organizacionais em Adicionar uma unidade organizacional.
Para mais detalhes sobre como criar e usar grupos de configuração, acesse Personalizar configurações de serviço com grupos de configuração.

Você pode definir a CSE como a configuração padrão para os apps dos usuários

É preciso ter o complemento Assured Controls ou Assured Controls Plus.

Ao ativar a CSE para unidades organizacionais, você pode definir esse recurso como a configuração padrão para os seguintes serviços, inclusive apps da Web e para dispositivos móveis:

Gmail: o conteúdo é criptografado por padrão quando os usuários escrevem, respondem ou encaminham um e-mail.
Google Drive: o conteúdo é criptografado por padrão quando os usuários criam novos arquivos, como documentos, planilhas e apresentações.
Google Agenda: as descrições de eventos são criptografadas por padrão quando os usuários criam um evento. As reuniões do Google Meet também são criptografadas por padrão.

Se você ativar a CSE por padrão, os usuários ainda terão a opção de desativar a criptografia, se necessário. Você pode monitorar as ações dos usuários para desativar a CSE no Drive e no Agenda com a ferramenta de investigação de segurança. Saiba mais em Acessar registros e relatórios sobre a criptografia do lado do cliente.

Observação:no momento, a configuração da CSE como padrão para um serviço está disponível apenas para unidades organizacionais, não para grupos de configuração.

CSE do Gmail: verifique se a criptografia de e-mails está ativada para os usuários

Para enviar e receber mensagens criptografadas, os usuários precisam ativar a CSE do Gmail e a criptografia de e-mail nas contas. Dependendo da sua assinatura e das suas necessidades, você pode ativar a criptografia de duas maneiras:

Configurar e fazer upload de certificados S/MIME para usuários (exige experiência com APIs e scripts Python). Com essa opção, é necessário ativar a API Gmail antes de ativar a CSE no Gmail. Saiba mais em Somente Gmail: configurar certificados S/MIME para criptografia do lado do cliente.
Se você tiver o complemento Assured Controls e não estiver usando a criptografia de chaves de hardware para o Gmail, use a criptografia de ponta a ponta (E2EE) do Gmail selecionando a opção Criptografia com contas de visitantes ao ativar a CSE do Gmail (conforme descrito mais adiante nesta página). Com essa opção, não é necessário configurar certificados S/MIME para os usuários. Para usar a E2EE do Gmail, primeiro configure um provedor de identidade (IdP) de visitante. Para mais detalhes, acesse Conceder acesso externo a conteúdo criptografado do lado do cliente.
Importante:com a opção Criptografia com contas de visitante, você também pode permitir que os usuários troquem mensagens criptografadas do lado do cliente com qualquer pessoa fora da sua organização. Para conceder esse acesso, configure um provedor de identidade (IdP) de visitante. Para mais detalhes, acesse Conceder acesso externo a conteúdo criptografado do lado do cliente.

Ativar ou desativar a CSE para os usuários

Se você quiser ativar a CSE, faça isso nas unidades organizacionais ou nos grupos de configuração dos usuários. Depois que você ativa o acesso dos usuários à CSE, eles podem escolher se querem ou não criptografar o conteúdo.

Ao ativar a CSE em uma unidade organizacional, você pode definir esse recurso como padrão no Gmail, no Google Drive e no Google Agenda, tanto para apps da Web quanto para dispositivos móveis. É preciso ter o complemento Assured Controls ou Assured Controls Plus.

Para impedir que os usuários criptografem conteúdo, você pode desativar a CSE das unidades organizacionais ou dos grupos de configuração a que eles pertencem. Se você desativar a CSE para os usuários, todo conteúdo criptografado do lado do cliente vai continuar criptografado e acessível.

Para realizar essa tarefa, você precisa fazer login como superadministrador.

No Admin Console do Google, acesse Menu Dados Conformidade Criptografia do lado do cliente.

Acessar a criptografia do lado do cliente

Para realizar essa tarefa, você precisa fazer login como superadministrador.
Em Apps, clique no nome do serviço do Google em que você quer ativar ou desativar a CSE para os usuários.

Como alternativa, em Criptografia com serviço de chaves externo ou Criptografia com chaves de hardware, clique em Atribuir. Depois, em Criptografia por app, selecione o serviço do Google em que você quer ativar a CSE.
No painel esquerdo, selecione uma unidade organizacional ou um grupo em que você quer ativar ou desativar a CSE.
Em Status da criptografia do lado do cliente, selecione Ativado ou Desativado.
Na mensagem pop-up, confirme a escolha.
(Opcional para somente Gmail) Para ativar automaticamente a criptografia de e-mail nas contas dos usuários, em Criptografia com conta de visitante, selecione Permitir que usuários enviem mensagens criptografadas do lado do cliente para destinatários que não estão usando S/MIME. É preciso ter o complemento Assured Controls ou Assured Controls Plus.
(Opcional apenas para unidades organizacionais) Para criptografar o conteúdo do Gmail, Drive ou Agenda com o serviço do Google por padrão, em Ativado por padrão, marque a caixa Ativar a criptografia do lado do cliente por padrão. Os usuários ainda terão a opção de desativar a criptografia.
É preciso ter o complemento Assured Controls ou Assured Controls Plus.
Clique em Substituir para manter sua escolha se as configurações da CSE forem alteradas na unidade organizacional mãe.
Caso a configuração já esteja definida como Modificado para a unidade organizacional, escolha uma opção:
- Herdar: reverte para a configuração mãe.
- Salvar: salva a nova configuração, mesmo que a configuração mãe seja alterada.

As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Se você ativou a CSE no Gmail

Se você não conseguir usar a opção Criptografia com contas de visitante depois de ativar a CSE no Gmail: para cada usuário que vai usar a CSE do Gmail, é necessário preparar e fazer upload dos certificados S/MIME e metadados criptografados da chave privada para o Gmail. Saiba mais em Configurar a CSE do Gmail para usuários.

Se os usuários tiverem problemas para usar a CSE

Consulte a Central de alertas se os usuários tiverem problemas para usar a CSE do Gmail. Para mais informações, acesse Serviço de criptografia do lado do cliente indisponível.

Ativar ou desativar a criptografia do lado do cliente para os usuários Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.