הפעלה או השבתה של הצפנה בצד הלקוח למשתמשים

בואו נוודא שאתם נמצאים במקום הנכון השלבים האלה מיועדים לאדמינים שמנהלים חשבונות Gmail בחברה, במוסד לימודים או בקבוצה אחרת. הצפנה מצד הלקוח לא זמינה בחשבון האישי שלך ב-gmail.com.

התכונה הזו נתמכת במהדורות הבאות: Frontline Plus,‏ Enterprise Plus,‏ Education Standard ו-Education Plus. השוואה בין מהדורות

אדמינים יכולים להפעיל הצפנה מצד הלקוח (CSE) ב-Google Workspace למשתמשים שצריכים ליצור תוכן מוצפן בשירותים הבאים:

בשירות הזה...	הפעלת הצפנה מצד הלקוח עבור…
Google Drive	משתמשים שצריכים ליצור מסמכים, גיליונות אלקטרוניים ומצגות מוצפנים בצד הלקוח או להעלות קבצים מוצפנים בצד הלקוח ל-Drive. אין צורך להפעיל את ההצפנה בצד הלקוח בשביל משתמשים שרק צופים בקבצים ששותפו איתם ועורכים אותם.
Gmail	משתמשים שצריכים לשלוח או לקבל הודעות מוצפנות. לפני שמפעילים את ההצפנה מצד הלקוח ב-Gmail: כדאי לבדוק את האפשרויות להפעלת הצפנת אימייל למשתמשים, שנדרשת בנוסף להפעלת ההצפנה מצד הלקוח ב-Gmail. פרטים נוספים מופיעים בהמשך הדף בקטע הצפנה מצד הלקוח ב-Gmail: מוודאים שההצפנה מופעלת עבור המשתמשים.
יומן Google	משתמשים שצריכים ליצור אירועים ביומן עם הצפנה מצד הלקוח. אם רוצים שהמשתמשים האלה יוכלו לצרף מסמכים מוצפנים מצד הלקוח ולקיים פגישות מוצפנות מצד הלקוח, צריך להפעיל עבורם גם את ההצפנה מצד הלקוח ב-Drive וב-Meet. אין צורך להפעיל הצפנה בצד הלקוח עבור מוזמנים לאירועים.
Google Meet	משתמשים שצריכים לארח פגישות אונליין שהוצפנו בצד הלקוח. לא צריך להפעיל את ההצפנה בצד הלקוח בשביל שאר המשתתפים בפגישה.

למשתמשים שצריכים רק לצפות בתוכן מוצפן או לערוך אותו, חשוב לוודא:

משתמשים פנימיים מופיעים ברשימת המפתחות של בקרת הגישה (KACL) של השירות למפתחות הצפנה. פרטים נוספים מופיעים במאמר בנושא הגדרת שירות מפתחות להצפנה מצד הלקוח.
משתמשים חיצוניים יכולים לגשת לתוכן המוצפן בצד הלקוח. פרטים נוספים מופיעים במאמר בנושא מתן גישה חיצונית לתוכן מוצפן מצד הלקוח.

לפני שמתחילים

חשוב לוודא שהשלמתם את השלבים האלה

בחירת שירות מפתחות.
התחברות לספק הזהויות (IdP)
מגדירים את השירות החיצוני למפתחות הצפנה או הצפנה של מפתחות חומרה.
הקצאת שירות למפתחות הצפנה או הצפנה באמצעות מפתחות חומרה ליחידות ארגוניות או לקבוצות.
אם אתם משתמשים בכמה שירותים למפתחות הצפנה, חשוב לוודא שהם מוקצים ליחידות הארגוניות או לקבוצות ההגדרות המתאימות.

הסבר על המגבלות בשימוש בהצפנה מצד הלקוח בשירותים נתמכים

מידע נוסף על תכונות שלא זמינות למשתמשים כשהם בוחרים להשתמש ב-CSE מופיע במאמר חוויית המשתמש ב-CSE.

אם צריך, מוסיפים משתמשים ליחידות ארגוניות ולקבוצות

חשוב לוודא שהמשתמשים נמצאים ביחידות הארגוניות או בקבוצות שרוצים להפעיל בהן את CSE לכל השירותים או לשירותים ספציפיים.

כאן תוכלו לקבל מידע איך מוסיפים יחידות ארגוניות.
פרטים על יצירה ושימוש בהגדרות לקבוצות משתמשים מופיעים במאמר התאמה אישית של הגדרות של שירות באמצעות הגדרות לקבוצות משתמשים.

אפשר להגדיר את CSE כהגדרת ברירת המחדל באפליקציות של המשתמשים

נדרש התוסף Assured Controls או Assured Controls Plus.

כשמפעילים הצפנה מצד הלקוח ליחידות ארגוניות, אפשר להגדיר אותה כהגדרת ברירת המחדל בשירותים הבאים, כולל אפליקציות לאינטרנט ולנייד:

‫Gmail – התוכן מוצפן כברירת מחדל כשמשתמשים כותבים אימייל, משיבים לו או מעבירים אותו.
‫Google Drive – התוכן מוצפן כברירת מחדל כשמשתמשים יוצרים קבצים חדשים, כמו מסמכים, גיליונות אלקטרוניים ומצגות.
יומן Google – תיאורי האירועים מוצפנים כברירת מחדל כשמשתמשים יוצרים אירוע. הפגישות ב-Google Meet מוצפנות גם הן כברירת מחדל.

אם מפעילים את CSE כברירת מחדל, המשתמשים עדיין יכולים להשבית את ההצפנה אם צריך. אתם יכולים לעקוב אחרי פעולות המשתמשים כדי להשבית את ההצפנה מצד הלקוח ב-Drive וביומן, באמצעות הכלי לחקירת אבטחה. פרטים נוספים מופיעים במאמר בנושא צפייה ביומנים ובדוחות של הצפנה מצד הלקוח.

הערה: כרגע אפשר להגדיר CSE כברירת מחדל לשירות רק ליחידות ארגוניות, ולא לקבוצות הגדרה.

הצפנה מצד הלקוח ב-Gmail: מוודאים שהצפנת האימייל מופעלת עבור המשתמשים

כדי לשלוח ולקבל הודעות מוצפנות, המשתמשים צריכים להפעיל בחשבונות שלהם גם את הצפנת האימייל וגם את הצפנה מצד הלקוח (CSE) ב-Gmail. בהתאם למינוי ולצרכים שלכם, אתם יכולים להפעיל את ההצפנה באחת מהדרכים הבאות:

הגדרת אישורי S/MIME והעלאה שלהם למשתמשים (נדרש ניסיון בעבודה עם ממשקי API וסקריפטים של Python). כדי להשתמש באפשרות הזו, צריך להפעיל את Gmail API לפני שמפעילים את ההצפנה מצד הלקוח ב-Gmail. פרטים נוספים מופיעים במאמר בנושא Gmail בלבד: הגדרת אישורי S/MIME להצפנה מצד הלקוח.
אם יש לכם את התוסף Assured Controls, ואתם לא משתמשים בהצפנה באמצעות מפתח חומרה ב-Gmail, אתם יכולים להשתמש בהצפנה מקצה לקצה (E2EE) ב-Gmail. לשם כך, צריך לבחור באפשרות הצפנה באמצעות חשבונות אורחים כשמפעילים את ה-CSE ב-Gmail (כפי שמתואר בהמשך הדף). באפשרות הזו, לא צריך להגדיר אישורי S/MIME למשתמשים. כדי להשתמש בהצפנה מקצה לקצה ב-Gmail, צריך קודם להגדיר ספק זהויות (IdP) לאורחים. פרטים נוספים מופיעים במאמר בנושא מתן גישה חיצונית לתוכן מוצפן מצד הלקוח.
חשוב: באמצעות האפשרות הצפנה באמצעות חשבונות אורחים, אתם יכולים גם לאפשר למשתמשים להחליף הודעות מוצפנות מצד הלקוח עם כל מי שנמצא מחוץ לארגון. כדי לספק את הגישה הזו, צריך להגדיר ספק זהויות (IdP) לאורחים. פרטים נוספים מופיעים במאמר בנושא מתן גישה חיצונית לתוכן מוצפן מצד הלקוח.

הפעלה או השבתה של חיפוש מותאם אישית למשתמשים

כדי להפעיל את CSE למשתמשים, צריך להפעיל את CSE ליחידות הארגוניות או לקבוצות ההגדרות שהמשתמשים שייכים אליהן. אחרי שמפעילים את גישת המשתמש להצפנה בצד הלקוח, המשתמשים יכולים לבחור אם להצפין את התוכן.

כשמפעילים הצפנה מצד הלקוח ליחידה ארגונית, אפשר להגדיר אותה כברירת המחדל ב-Gmail, ב-Google Drive וביומן Google – גם באפליקציות לנייד וגם בגרסאות האינטרנטיות. נדרש התוסף Assured Controls או Assured Controls Plus.

כדי למנוע ממשתמשים להצפין תוכן, אתם יכולים להשבית את CSE ביחידות הארגוניות או בקבוצות ההגדרות שהם שייכים אליהן. אם משביתים את ה-CSE עבור משתמשים, כל תוכן קיים שמוצפן בצד הלקוח נשאר מוצפן ונגיש.

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

במסוף Google Admin, נכנסים לתפריט נתוניםתאימותהצפנה בצד הלקוח.

מעבר אל 'הצפנה מצד הלקוח'

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.
בקטע אפליקציות, לוחצים על השם של שירות Google שרוצים להפעיל או להשבית בו את ההצפנה מצד הלקוח (CSE) עבור משתמשים.

אפשר גם ללחוץ על הקצאה בקטע הצפנה עם שירות חיצוני למפתחות הצפנה או הצפנה עם מפתחות חומרה. לאחר מכן, בקטע הצפנה לפי אפליקציה, בוחרים את שירות Google שרוצים להפעיל בו את CSE.
בחלונית הימנית, בוחרים יחידה ארגונית או קבוצה שרוצים להפעיל או להשבית עבורן את CSE.
בקטע סטטוס ההצפנה בצד הלקוח, בוחרים באפשרות מופעל או מושבת.
בהודעה הקופצת, מאשרים את הבחירה.
(אופציונלי רק ב-Gmail) כדי להפעיל אוטומטית הצפנת אימייל בחשבונות של המשתמשים, בקטע הצפנה באמצעות חשבונות אורחים, בוחרים באפשרות המשתמשים יכולים לשלוח הודעות עם הצפנה בצד הלקוח לאנשים שלא משתמשים ב-S/MIME. נדרש התוסף Assured Controls או Assured Controls Plus.
(אופציונלי ליחידות ארגוניות בלבד) כדי להצפין תוכן ב-Gmail, ב-Drive או ביומן באמצעות שירות Google כברירת מחדל, מסמנים את התיבה הפעלה של הצפנה מצד הלקוח כברירת מחדל בקטע מופעל כברירת מחדל. המשתמשים עדיין יוכלו להשבית את ההצפנה.
נדרש התוסף Assured Controls או Assured Controls Plus.
כדי שההגדרה תישאר כמו שהיא גם כשההגדרות של ה-CSE ביחידה הארגונית הראשית משתנות, לוחצים על שינוי מברירת המחדל.
אם האפשרות בוטלה כבר מוגדרת ליחידה הארגונית, בוחרים אחת מהאפשרויות הבאות:
- קבלה בירושה: חזרה להגדרה של מנוע החיפוש המותאם אישית שמוגדרת ביחידה הארגונית שברמה העליונה.
- שמירה: שמירת ההגדרה החדשה של מנוע החיפוש המותאם אישית (גם אם ההגדרה הראשית משתנה).

יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

אם הפעלתם הצפנה מצד הלקוח ב-Gmail

אם לא הצלחתם להשתמש באפשרות הצפנה באמצעות חשבונות אורחים אחרי שהפעלתם את הצפנת ה-CSE ב-Gmail: לכל משתמש שישתמש בהצפנת ה-CSE ב-Gmail, אתם צריכים להכין ולהעלות ל-Gmail את אישורי ה-S/MIME שלו ואת המטא-נתונים של המפתח הפרטי המוצפן. פרטים נוספים זמינים במאמר בנושא הגדרת הצפנת CSE ב-Gmail למשתמשים.

אם למשתמשים יש בעיות בשימוש ב-CSE

בודקים במרכז ההתראות אם יש למשתמשים בעיות בשימוש ב-Gmail CSE. מידע נוסף זמין במאמר השירות 'הצפנה מצד הלקוח' לא זמין.

הפעלה או השבתה של הצפנה בצד הלקוח למשתמשים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.