Éditions compatibles avec cette fonctionnalité : Frontline Plus, Enterprise Plus, Education Standard et Education Plus. Comparer votre édition
En tant qu'administrateur, vous pouvez activer le chiffrement côté client (CSE) Google Workspace pour les utilisateurs qui doivent créer des contenus chiffrés avec les services suivants :
| Pour ce service… | Activez le CSE pour… |
|---|---|
| Google Drive |
Les utilisateurs qui ont besoin de créer des documents, des feuilles de calcul et des présentations chiffrés côté client, ou d'importer des fichiers chiffrés côté client dans Drive. Il n'est pas nécessaire d'activer le CSE pour les utilisateurs qui ne font que consulter et modifier les fichiers partagés avec eux. |
| Gmail |
Les utilisateurs qui doivent envoyer ou recevoir des messages chiffrés. Avant d'activer le CSE pour Gmail : examinez les options permettant d'activer le chiffrement des e-mails pour les utilisateurs. Tout comme l'activation du CSE Gmail, cette étape est obligatoire. Pour en savoir plus, consultez CSE Gmail : S'assurer que le chiffrement est activé pour les utilisateurs plus loin sur cette page. |
| Google Agenda |
Les utilisateurs qui doivent créer des événements d'agenda chiffrés côté client. Vous devez également activer le CSE pour Drive et Meet pour ces utilisateurs si vous souhaitez qu'ils joignent des documents chiffrés côté client et organisent des réunions chiffrées côté client. Il n'est pas nécessaire d'activer le CSE pour les invités d'un événement. |
| Google Meet |
Les utilisateurs qui doivent organiser des réunions en ligne chiffrées côté client. Il n'est pas nécessaire d'activer le CSE pour les autres participants aux réunions. |
Pour les utilisateurs qui ne font que consulter et modifier des contenus chiffrés, assurez-vous que :
- Les utilisateurs internes figurent sur la liste de contrôle d'accès aux clés de votre service de clés. Pour en savoir plus, consultez Configurer votre service de clés pour le chiffrement côté client.
- Les utilisateurs externes ont accès à votre contenu chiffré côté client. Pour en savoir plus, consultez Fournir un accès externe au contenu chiffré côté client.
Avant de commencer
Assurez-vous d'avoir effectué les étapes suivantes :
- Choisissez un service de clés.
- Connectez-vous à votre fournisseur d'identité (IdP).
- Configurez votre service de clés externe ou le chiffrement par clé matérielle.
- Attribuez un service de clés ou le chiffrement par clé matérielle à des unités organisationnelles ou à des groupes.
Si vous utilisez plusieurs services de clés, assurez-vous qu'ils sont attribués aux unités organisationnelles ou aux groupes de configuration appropriés.
Comprendre les limites d'utilisation du CSE avec les services compatibles
Pour en savoir plus sur les fonctionnalités non disponibles lorsque les utilisateurs choisissent d'utiliser le CSE, consultez Expérience utilisateur du CSE.
Ajouter des utilisateurs aux unités organisationnelles et aux groupes si nécessaire
Assurez-vous d'avoir placé les utilisateurs dans les unités organisationnelles ou groupes pour lesquels vous souhaitez activer le CSE pour tous les services ou des services spécifiques.
- Pour savoir comment créer des unités organisationnelles, consultez Ajouter une unité organisationnelle.
- Pour savoir comment créer et utiliser des groupes de configuration, consultez Personnaliser les paramètres de service à l'aide de groupes de configuration.
Vous pouvez définir le CSE comme paramètre par défaut pour les applications des utilisateurs
Lorsque vous activez le CSE pour des unités organisationnelles, vous pouvez le définir comme paramètre par défaut pour les services suivants, y compris pour les applications Web et mobiles :
- Gmail : le contenu est chiffré par défaut lorsque les utilisateurs rédigent un e-mail, y répondent ou le transfèrent.
- Google Drive : le contenu est chiffré par défaut lorsque les utilisateurs créent des fichiers, tels que des documents, des feuilles de calcul et des présentations.
- Google Agenda : les descriptions d'événements sont chiffrées par défaut lorsque les utilisateurs créent un événement. Les réunions Google Meet sont également chiffrées par défaut.
Si vous activez le CSE par défaut, les utilisateurs ont toujours la possibilité de le désactiver si nécessaire. Vous pouvez surveiller les actions des utilisateurs pour désactiver le CSE pour Drive et Agenda à l'aide de l'outil d'investigation sur la sécurité. Pour en savoir plus, consultez Afficher les journaux et les rapports du chiffrement côté client.
Remarque : Pour le moment, vous ne pouvez définir le CSE comme paramètre par défaut pour un service que pour les unités organisationnelles, et non pour les groupes de configuration.
CSE Gmail : s'assurer que le chiffrement des e-mails est activé pour les utilisateurs
Pour envoyer et recevoir des messages chiffrés, les utilisateurs doivent activer le CSE Gmail et le chiffrement des e-mails dans leur compte. Selon votre abonnement et vos besoins, vous pouvez activer le chiffrement de deux manières :
- Configurez et importez des certificats S/MIME pour les utilisateurs (requiert une bonne connaissance des API et des scripts Python). Avec cette option, vous devez activer l'API Gmail avant d'activer le CSE pour Gmail. Pour en savoir plus, consultez Gmail uniquement : Configurer des certificats S/MIME pour le chiffrement côté client.
- Si vous disposez du module complémentaire Assured Controls et que vous n'utilisez pas le chiffrement par clé matérielle pour Gmail, utilisez le chiffrement de bout en bout (E2EE) de Gmail en sélectionnant l'option Chiffrement avec des comptes invités lorsque vous activez le CSE Gmail (comme décrit plus loin sur cette page). Avec cette option, vous n'avez pas besoin de configurer de certificats S/MIME pour les utilisateurs. Pour utiliser le chiffrement de bout en bout de Gmail, vous devez d'abord configurer un fournisseur d'identité (IdP) pour les invités. Pour en savoir plus, consultez Fournir un accès externe au contenu chiffré côté client.
Important : Avec l'option Chiffrement avec des comptes invités, vous pouvez également autoriser les utilisateurs à échanger des messages chiffrés côté client avec des personnes externes à votre organisation. Pour accorder cet accès, vous devez configurer un fournisseur d'identité (IdP) pour les invités. Pour en savoir plus, consultez Fournir un accès externe au contenu chiffré côté client.
Activer ou désactiver le CSE pour les utilisateurs
Pour activer le CSE pour des utilisateurs, vous devez l'activer pour les unités organisationnelles ou les groupes de configuration auxquels les utilisateurs appartiennent. Une fois que vous avez activé l'accès utilisateur pour le CSE, les utilisateurs peuvent choisir de chiffrer le contenu.
Lorsque vous activez le CSE pour une unité organisationnelle, vous pouvez l'activer par défaut pour Gmail, Google Drive et Google Agenda, pour les applications Web comme pour les applications mobiles. Vous devez disposer du module complémentaire Assured Controls ou Assured Controls Plus.
Pour empêcher les utilisateurs de chiffrer du contenu, vous pouvez désactiver le CSE pour les unités organisationnelles ou les groupes de configuration auxquels ils appartiennent. Si vous désactivez le CSE pour les utilisateurs, le contenu chiffré côté client existant reste chiffré et accessible.
Pour cette tâche, vous devez être connecté en tant que super-administrateur.-
Dans la console d'administration Google, accédez à Menu
DonnéesConformitéChiffrement côté client.Pour cette tâche, vous devez être connecté en tant que super-administrateur.
Sous Applications, cliquez sur le nom du service Google pour lequel vous souhaitez activer ou désactiver le CSE pour les utilisateurs.
Vous pouvez également cliquer sur Attribuer sous Chiffrement avec un service de clés externe ou Chiffrement avec des clés matérielles. Puis, sous Chiffrement par application, sélectionnez le service Google pour lequel vous souhaitez activer le CSE.
Dans le panneau de gauche, sélectionnez l'unité organisationnelle ou le groupe pour lequel vous souhaitez activer ou désactiver le CSE.
Sous État du chiffrement côté client, sélectionnez Activé ou Désactivé.
Dans le message pop-up, confirmez votre sélection.
(Facultatif pour Gmail uniquement) Pour activer automatiquement le chiffrement des e-mails pour les comptes des utilisateurs, sous Chiffrement avec des comptes invités, sélectionnez Autoriser les utilisateurs à envoyer des messages chiffrés côté client à des destinataires qui n'utilisent pas S/MIME. Vous devez disposer du module complémentaire Assured Controls ou Assured Controls Plus.
(Facultatif pour les unités organisationnelles uniquement) Pour chiffrer du contenu Gmail, Drive ou Agenda avec le service Google par défaut, sous Activé par défaut, cochez la case Activer le chiffrement côté client par défaut. Les utilisateurs auront toujours la possibilité de désactiver le chiffrement.
Vous devez disposer du module complémentaire Assured Controls ou Assured Controls Plus.Cliquez sur Remplacer pour conserver la configuration en cas de modification des paramètres CSE de l'unité organisationnelle parente.
Si l'option Remplacé est déjà définie pour l'unité organisationnelle, sélectionnez une option :
- Hériter : rétablit le paramètre de CSE du parent.
- Enregistrer : conserve votre nouveau paramètre de CSE, même si celui du parent est modifié.
Si vous avez activé le CSE pour Gmail
Si vous n'avez pas pu utiliser l'option Chiffrement avec des comptes invités après avoir activé le CSE Gmail : pour chaque utilisateur qui aura recours au CSE Gmail, vous devez préparer et importer les certificats S/MIME et les métadonnées de clés privées chiffrées dans Gmail. Pour en savoir plus, consultez Configurer le CSE Gmail pour les utilisateurs.
Si les utilisateurs rencontrent des problèmes avec le CSE
Consultez le centre d'alerte si les utilisateurs rencontrent des problèmes avec le CSE Gmail. Pour en savoir plus, consultez Service de chiffrement côté client indisponible.