Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Standard y Education Plus. Comparar tu edición
Como administrador, puedes activar la encriptación del cliente (CSE) de Google Workspace para los usuarios que necesiten crear contenido encriptado con estos servicios:
| Para este servicio... | Activa la CSE para... |
|---|---|
| Google Drive |
Usuarios que necesitan crear documentos, hojas de cálculo y presentaciones encriptados del cliente, o subir archivos encriptados del cliente a Drive. No es necesario que actives la CSE para los usuarios que solo ven y editan los archivos que se comparten con ellos. |
| Gmail |
Usuarios que necesitan enviar o recibir mensajes encriptados. Antes de activar la CSE para Gmail: Revisa las opciones para habilitar la encriptación de correo electrónico para los usuarios, que es obligatoria además de activar la CSE de Gmail. Para obtener más información, consulta CSE de Gmail: Asegúrate de que la encriptación esté habilitada para los usuarios más adelante en esta página. |
| Calendario de Google |
Usuarios que necesitan crear eventos de calendario encriptados del cliente. También debes activar la CSE para Drive y Meet para estos usuarios si quieres que adjunten documentos encriptados del cliente y organicen reuniones encriptadas del cliente. No es necesario que actives la CSE para los invitados a eventos. |
| Google Meet |
Usuarios que necesitan organizar reuniones en línea encriptadas del cliente. No es necesario que actives la CSE para otros participantes de la reunión. |
Para los usuarios que solo necesitan ver o editar contenido encriptado, asegúrate de lo siguiente:
- Los usuarios internos están en la lista de control de acceso a las claves (KACL) de tu servicio de claves. Para obtener más información, consulta Configura tu servicio de claves para la encriptación del cliente.
- Los usuarios externos tienen acceso a tu contenido encriptado del cliente. Para obtener más información, consulta Proporciona acceso externo al contenido con encriptación del cliente.
Antes de comenzar
Asegúrate de haber completado estos pasos
- Elige un servicio de claves.
- Conéctate a tu proveedor de identidad (IdP).
- Configura tu servicio de claves externo o la encriptación de claves de hardware.
- Asigna un servicio de claves o la encriptación de claves de hardware a unidades organizativas o grupos.
Si usas varios servicios de claves, asegúrate de que estén asignados a las unidades organizativas o los grupos de configuración correspondientes.
Comprende las limitaciones del uso de la CSE con los servicios compatibles
Para obtener más información sobre las funciones que no están disponibles para los usuarios cuando eligen usar la CSE, consulta Experiencia del usuario de la CSE.
Si es necesario, agrega usuarios a unidades organizativas y grupos
Asegúrate de haber colocado a los usuarios en las unidades organizativas o los grupos para los que quieres activar la CSE para todos los servicios o para servicios específicos.
- Para obtener detalles sobre cómo crear unidades organizativas, consulta Agrega una unidad organizativa.
- Para obtener detalles sobre cómo crear y usar grupos de configuración, consulta Personaliza la configuración de los servicios con grupos de configuración.
Puedes establecer la CSE como la configuración predeterminada para las apps de los usuarios
Cuando activas la CSE para unidades organizativas, puedes establecerla como la configuración predeterminada para los siguientes servicios, incluidas las apps para la Web y para dispositivos móviles:
- Gmail: El contenido se encripta de forma predeterminada cuando los usuarios redactan, responden o reenvían un correo electrónico.
- Google Drive: El contenido se encripta de forma predeterminada cuando los usuarios crean archivos nuevos, como documentos, hojas de cálculo y presentaciones.
- Calendario de Google: Las descripciones de los eventos se encriptan de forma predeterminada cuando los usuarios crean un evento. Las reuniones de Google Meet también se encriptan de forma predeterminada.
Si activas la CSE de forma predeterminada, los usuarios aún tendrán la opción de desactivar la encriptación si es necesario. Puedes supervisar las acciones de los usuarios para desactivar la CSE de Drive y Calendario con la herramienta de investigación de seguridad. Para obtener más información, consulta Consulta registros y crea informes para la encriptación del cliente.
Nota: Actualmente, establecer la CSE como predeterminada para un servicio solo está disponible para unidades organizativas, no para grupos de configuración.
CSE de Gmail: Asegúrate de que la encriptación de correo electrónico esté habilitada para los usuarios
Para enviar y recibir mensajes encriptados, los usuarios deben tener habilitadas la CSE de Gmail y la encriptación de correo electrónico en sus cuentas. Según tu suscripción y tus necesidades, puedes habilitar la encriptación de cualquiera de las siguientes maneras:
- Configura y sube certificados S/MIME para los usuarios (requiere experiencia con APIs y secuencias de comandos de Python). Con esta opción, debes habilitar la API de Gmail antes de activar la CSE para Gmail. Para obtener más información, consulta Solo Gmail: Configura certificados S/MIME para la encriptación del cliente.
- Si tienes el complemento de Assured Controls y no usas la encriptación de claves de hardware para Gmail, usa la encriptación de extremo a extremo (E2EE) de Gmail. Para ello, selecciona la opción Encriptación con cuentas de invitados cuando actives la CSE de Gmail (como se describe más adelante en esta página). Con esta opción, no es necesario que configures certificados S/MIME para los usuarios. Para usar la E2EE de Gmail, primero debes configurar un proveedor de identidad (IdP) para invitados. Para obtener más información, consulta Proporciona acceso externo al contenido con encriptación del cliente.
Importante: Con la opción Encriptación con cuentas de invitados, también puedes permitir que los usuarios intercambien mensajes encriptados del cliente con cualquier persona ajena a tu organización. Para proporcionar este acceso, debes configurar un proveedor de identidad (IdP) para invitados. Para obtener más información, consulta Proporciona acceso externo al contenido con encriptación del cliente.
Activa o desactiva la CSE para los usuarios
Para activar la CSE para los usuarios, debes activarla para las unidades organizativas o los grupos de configuración a los que pertenecen los usuarios. Una vez que actives el acceso de usuario para la CSE, los usuarios podrán elegir si encriptar el contenido.
Cuando activas la CSE para una unidad organizativa, puedes establecerla como la opción predeterminada para Gmail, Google Drive y Calendario de Google, tanto para las apps para la Web como para dispositivos móviles. Requiere tener el complemento de Assured Controls o Assured Controls Plus.
Para evitar que los usuarios encripten contenido, puedes desactivar la CSE para las unidades organizativas o los grupos de configuración a los que pertenecen. Si desactivas la CSE para los usuarios, todo el contenido encriptado del cliente existente permanecerá encriptado y se podrá seguir accediendo a él.
Debes acceder como administrador avanzado para realizar esta tarea.-
En la Consola del administrador de Google, ve a Menú
DatosCumplimientoEncriptación del cliente.Debes acceder como administrador avanzado para realizar esta tarea.
En Apps, haz clic en el nombre del servicio de Google para el que quieres activar o desactivar la CSE para los usuarios.
Como alternativa, en Encriptación con servicio de claves externo o Encriptación con claves de hardware, haz clic en Asignar. Luego, en Encriptación por app, selecciona el servicio de Google para el que quieres activar la CSE.
En el panel izquierdo, selecciona una unidad organizativa o un grupo para el que quieras activar o desactivar la CSE.
En Estado de la encriptación del cliente, selecciona Activado o Desactivado.
En el mensaje emergente, confirma tu selección.
(Solo para Gmail) Para habilitar automáticamente la encriptación de correo electrónico para las cuentas de los usuarios, en Encriptación con cuentas de invitados, selecciona Permitir que los usuarios envíen mensajes con encriptación del cliente a destinatarios que no usan S/MIME. Requiere tener el complemento de Assured Controls o Assured Controls Plus.
(Solo para unidades organizativas) Para encriptar el contenido de Gmail, Drive o Calendario con el servicio de Google de forma predeterminada, en Activado de forma predeterminada, marca la casilla Activar la encriptación del cliente de forma predeterminada. Los usuarios aún tendrán la opción de desactivar la encriptación.
Requiere tener el complemento de Assured Controls o Assured Controls Plus.Si se cambia la configuración de la CSE para la unidad organizativa superior, haz clic en Anular para conservar la configuración.
Si la opción Anulada ya está establecida para la unidad organizativa, elige una de estas opciones:
- Heredar: Revierte la configuración de la CSE al mismo ajuste que la configuración superior.
- Guardar: Guarda tu nueva configuración de la CSE (incluso si cambia la configuración superior).
Si activaste la CSE para Gmail
Si no pudiste usar la opción Encriptación con cuentas de invitados después de activar la CSE para Gmail, debes preparar y subir los certificados S/MIME y los metadatos de claves privadas encriptadas de cada usuario que usará la CSE de Gmail. Para obtener más información, consulta Configura la CSE de Gmail para los usuarios.
Si los usuarios tienen problemas para usar la CSE
Consulta el Centro de alertas si los usuarios tienen problemas para usar la CSE de Gmail. Para obtener más información, consulta El servicio de encriptación del cliente no está disponible.