Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Standard y Education Plus. Comparar tu edición
Como administrador, puedes activar la encriptación del cliente (CSE) de Google Workspace para los usuarios que necesiten crear contenido encriptado con los siguientes servicios:
| Para este servicio… | Activa la CSE para… |
|---|---|
| Google Drive |
Usuarios que necesitan crear documentos, hojas de cálculo y presentaciones con encriptación del cliente, o subir archivos con encriptación del cliente a Drive No es necesario que actives el CSE para los usuarios que solo ven y editan los archivos que se comparten con ellos. |
| Gmail |
Usuarios que necesitan enviar o recibir mensajes encriptados Antes de activar la CSE en Gmail, revisa las opciones para habilitar la encriptación de correos electrónicos para los usuarios, lo que se requiere además de activar la CSE en Gmail. Para obtener más información, consulta CSE de Gmail: Asegúrate de que la encriptación esté habilitada para los usuarios más adelante en esta página. |
| Calendario de Google |
Usuarios que necesitan crear eventos de calendario encriptados del lado del cliente También debes activar la CSE para Drive y Meet para estos usuarios si quieres que adjunten documentos encriptados del lado del cliente y organicen reuniones encriptadas del lado del cliente. No es necesario que actives el CSE para los invitados al evento. |
| Google Meet |
Usuarios que necesitan organizar reuniones en línea con encriptación del cliente No es necesario que actives la CSE para otros participantes de la reunión. |
Para los usuarios que solo necesitan ver o editar contenido encriptado, asegúrate de lo siguiente:
- Los usuarios internos se encuentran en la lista de control de acceso a las claves (KACL) de tu servicio de claves. Para obtener más información, consulta Configura tu servicio de claves para la encriptación del cliente.
- Los usuarios externos tienen acceso a tu contenido encriptado del lado del cliente. Para obtener más detalles, consulta Proporciona acceso externo al contenido con encriptación del cliente.
Antes de comenzar
Asegúrate de haber completado estos pasos
- Elige un servicio de claves.
- Conéctate a tu proveedor de identidad (IdP).
- Configura tu servicio de claves externo o la encriptación de claves de hardware.
- Asigna un servicio de claves o una encriptación de claves de hardware a unidades organizativas o grupos.
Si usas varios servicios de claves, asegúrate de que estén asignados a las unidades organizativas o los grupos de configuración adecuados.
Comprende las limitaciones del uso de CSE con los servicios compatibles
Para obtener más información sobre las funciones que no están disponibles para los usuarios cuando eligen usar el CSE, consulta Experiencia del usuario del CSE.
Si es necesario, agrega usuarios a unidades organizativas y grupos
Asegúrate de haber colocado a los usuarios en las unidades organizativas o los grupos para los que deseas activar la CSE para todos los servicios o para servicios específicos.
- Para obtener más información sobre cómo crear unidades organizativas, consulta Cómo agregar una unidad organizativa.
- Para obtener detalles sobre cómo crear y usar grupos de configuración, consulta Personaliza la configuración de los servicios con grupos de configuración.
Puedes establecer la CSE como configuración predeterminada para las apps de los usuarios.
Cuando activas la CSE para las unidades organizativas, puedes establecerla como la configuración predeterminada para los siguientes servicios, incluidas las apps para la Web y para dispositivos móviles:
- Gmail: El contenido se encripta de forma predeterminada cuando los usuarios redactan, responden o reenvían un correo electrónico.
- Google Drive: El contenido se encripta de forma predeterminada cuando los usuarios crean archivos nuevos, como documentos, hojas de cálculo y presentaciones.
- Calendario de Google: Las descripciones de los eventos se encriptan de forma predeterminada cuando los usuarios crean un evento. Las reuniones de Google Meet también se encriptan de forma predeterminada.
Si activas la CSE de forma predeterminada, los usuarios seguirán teniendo la opción de desactivar la encriptación si es necesario. Puedes supervisar las acciones de los usuarios para desactivar la CSE de Drive y Calendar con la herramienta de investigación de seguridad. Para obtener más información, consulta Cómo ver los registros y los informes de la encriptación del cliente.
Nota: Actualmente, la configuración del CSE como predeterminado para un servicio solo está disponible para las unidades organizativas, no para los grupos de configuración.
CSE de Gmail: Asegúrate de que la encriptación de correos electrónicos esté habilitada para los usuarios
Para enviar y recibir mensajes encriptados, los usuarios deben tener habilitada la CSE de Gmail y la encriptación de correo electrónico en sus cuentas. Según tu suscripción y tus necesidades, puedes habilitar la encriptación de cualquiera de las siguientes maneras:
- Configurar y subir certificados S/MIME para los usuarios (requiere experiencia con APIs y secuencias de comandos de Python) Con esta opción, debes habilitar la API de Gmail antes de activar la CSE para Gmail. Para obtener más información, consulta Solo Gmail: Configura certificados S/MIME para la encriptación del cliente.
- Si tienes el complemento de Assured Controls y no usas la encriptación con llave de hardware para Gmail, selecciona la opción Encriptación con cuentas de invitado cuando actives la CSE de Gmail (como se describe más adelante en esta página) para usar la encriptación de extremo a extremo (E2EE) de Gmail. Con esta opción, no es necesario que configures certificados de S/MIME para los usuarios. Para usar el E2EE de Gmail, primero debes configurar un proveedor de identidad (IdP) invitado. Para obtener más información, consulta Proporciona acceso externo al contenido con encriptación del cliente.
Importante: Con la opción Encriptación con cuentas de invitado, también puedes permitir que los usuarios intercambien mensajes encriptados del cliente con cualquier persona ajena a tu organización. Para proporcionar este acceso, debes configurar un proveedor de identidad (IdP) invitado. Para obtener más información, consulta Proporciona acceso externo al contenido con encriptación del cliente.
Activa o desactiva la CSE para los usuarios
Para activar la CSE para los usuarios, debes activarla para las unidades organizativas o los grupos de configuración a los que pertenecen los usuarios. Una vez que actives el acceso de los usuarios al CSE, estos podrán elegir si encriptan el contenido.
Cuando activas la CSE para una unidad organizacional, puedes establecerla como predeterminada para Gmail, Google Drive y Calendario de Google, tanto para las apps web como para dispositivos móviles. Requiere tener el complemento de Assured Controls o Assured Controls Plus.
Para evitar que los usuarios encripten contenido, puedes desactivar la CSE para las unidades organizativas o los grupos de configuración a los que pertenecen. Si desactivas la CSE para los usuarios, el contenido encriptado del cliente existente permanecerá encriptado y accesible.
Debes acceder como administrador avanzado para realizar esta tarea.-
En la Consola del administrador de Google, ve a Menú
Datos Cumplimiento Encriptación del cliente.Debes acceder como administrador avanzado para realizar esta tarea.
En Apps, haz clic en el nombre del servicio de Google para el que deseas activar o desactivar el CSE para los usuarios.
También puedes hacer clic en Asignar en Encriptación con servicio de claves externo o Encriptación con claves de hardware. Luego, en Encriptación por app, selecciona el servicio de Google para el que deseas activar la CSE.
En el panel izquierdo, selecciona una unidad organizativa o un grupo para el que quieras activar o desactivar el CSE.
En Estado de la encriptación del cliente, selecciona Activada o Desactivada.
En el mensaje emergente, confirma tu selección.
(Opcional solo para Gmail) Para habilitar automáticamente la encriptación de correo electrónico para las cuentas de los usuarios, en Encriptación con cuentas de invitado, selecciona Permitir que los usuarios envíen mensajes con encriptación del cliente a destinatarios que no usan S/MIME. Requiere tener el complemento de Assured Controls o Assured Controls Plus.
(Opcional solo para unidades organizativas) Para encriptar el contenido de Gmail, Drive o Calendario con el servicio de Google de forma predeterminada, en Activado de forma predeterminada, marca la casilla Activar la encriptación del cliente de forma predeterminada. Los usuarios seguirán teniendo la opción de desactivar la encriptación.
Requiere el complemento de Assured Controls o Assured Controls Plus.Si se cambia la configuración del CSE para la unidad organizativa principal, haz clic en Anular para conservar la configuración.
Si la opción Anulada ya está establecida para la unidad organizativa, elige una de estas opciones:
- Heredar: Revierte la configuración del MEC al mismo parámetro que su elemento superior.
- Guardar: Guarda la nueva configuración del CSE (incluso si cambia la configuración principal).
Si activaste la CSE para Gmail
Si no pudiste usar la opción Encriptación con cuentas de invitado después de activar la CSE de Gmail, debes preparar y subir los certificados S/MIME y los metadatos de la clave privada encriptada de cada usuario que usará la CSE de Gmail. Para obtener más información, consulta Cómo configurar la CSE de Gmail para los usuarios.
Si los usuarios tienen problemas para usar el CSE
Consulta el Centro de alertas para ver si los usuarios tienen problemas con el CSE de Gmail. Para obtener más información, consulta El servicio de encriptación del cliente no está disponible.