Mengaktifkan atau menonaktifkan enkripsi sisi klien untuk pengguna

Pastikan Anda berada di tempat yang tepat. Langkah-langkah ini ditujukan bagi admin yang mengelola akun Gmail untuk perusahaan, sekolah, atau grup lainnya. Enkripsi sisi klien tidak tersedia dengan akun gmail.com pribadi Anda.

Edisi yang didukung untuk fitur ini: Frontline Plus; Enterprise Plus; Education Standard dan Education Plus. Bandingkan edisi Anda

Sebagai administrator, Anda dapat mengaktifkan Enkripsi sisi klien (CSE) Google Workspace bagi pengguna yang perlu membuat konten terenkripsi dengan layanan berikut:

Untuk layanan ini...	Aktifkan CSE untuk...
Google Drive	Pengguna yang perlu membuat dokumen, spreadsheet, dan presentasi terenkripsi sisi klien atau mengupload file terenkripsi sisi klien ke Drive. Anda tidak perlu mengaktifkan CSE untuk pengguna yang hanya melihat dan mengedit file yang dibagikan kepada mereka.
Gmail	Pengguna yang perlu mengirim atau menerima pesan terenkripsi. Sebelum mengaktifkan CSE untuk Gmail: Tinjau opsi Anda untuk mengaktifkan enkripsi email bagi pengguna, yang diperlukan selain mengaktifkan CSE Gmail. Untuk mengetahui detailnya, buka CSE Gmail: Pastikan enkripsi email diaktifkan untuk pengguna di halaman ini.
Google Kalender	Pengguna yang perlu membuat acara kalender terenkripsi sisi klien. Anda juga perlu mengaktifkan CSE untuk Drive dan Meet bagi pengguna tersebut jika Anda ingin mereka melampirkan dokumen terenkripsi sisi klien dan menyelenggarakan rapat terenkripsi sisi klien. Anda tidak perlu mengaktifkan CSE untuk tamu undangan acara.
Google Meet	Pengguna yang perlu menyelenggarakan rapat online terenkripsi sisi klien. Anda tidak perlu mengaktifkan CSE untuk peserta rapat lainnya.

Untuk pengguna yang hanya perlu melihat atau mengedit konten terenkripsi, pastikan:

Pengguna internal tercantum dalam daftar kontrol akses kunci (KACL) layanan kunci enkripsi Anda. Untuk mengetahui detailnya, buka Menyiapkan layanan kunci enkripsi Anda untuk enkripsi sisi klien.
Pengguna eksternal memiliki akses ke konten terenkripsi sisi klien Anda. Untuk mengetahui detailnya, buka Memberikan akses eksternal ke konten terenkripsi sisi klien.

Sebelum memulai

Pastikan Anda telah menyelesaikan langkah-langkah berikut:

Pilih layanan kunci enkripsi.
Menghubungkan ke penyedia identitas (IdP) Anda.
Siapkan layanan kunci eksternal atau enkripsi kunci hardware.
Tetapkan layanan kunci enkripsi atau enkripsi kunci hardware ke unit organisasi atau grup.
Jika Anda menggunakan beberapa layanan kunci enkripsi, pastikan layanan tersebut ditetapkan ke unit organisasi atau grup konfigurasi yang sesuai.

Memahami batasan penggunaan CSE dengan layanan yang didukung

Untuk mengetahui informasi selengkapnya tentang fitur yang tidak tersedia bagi pengguna jika mereka memilih menggunakan CSE, lihat Pengalaman pengguna CSE.

Jika perlu, tambahkan pengguna ke unit organisasi dan grup

Pastikan Anda telah menempatkan pengguna di unit organisasi atau grup yang CSE-nya ingin Anda aktifkan untuk semua layanan atau layanan tertentu.

Untuk mengetahui detail tentang cara membuat unit organisasi, buka Menambahkan unit organisasi.
Untuk mengetahui detail tentang membuat dan menggunakan grup konfigurasi, buka Menyesuaikan setelan layanan dengan grup konfigurasi.

Anda dapat menjadikan CSE sebagai setelan default untuk aplikasi pengguna

Memerlukan add-on Assured Controls atau Assured Controls Plus.

Saat mengaktifkan CSE untuk unit organisasi, Anda dapat menjadikan CSE sebagai setelan default untuk layanan berikut, termasuk aplikasi web dan seluler:

Gmail—Konten dienkripsi secara default saat pengguna menulis, membalas, atau meneruskan email.
Google Drive—Konten dienkripsi secara default saat pengguna membuat file baru, seperti dokumen, spreadsheet, dan presentasi.
Google Kalender—Deskripsi acara dienkripsi secara default saat pengguna membuat acara. Rapat Google Meet juga dienkripsi secara default.

Jika Anda mengaktifkan CSE secara default, pengguna tetap memiliki opsi untuk menonaktifkan enkripsi jika diperlukan. Anda dapat memantau tindakan pengguna untuk menonaktifkan CSE untuk Drive dan Kalender, menggunakan alat investigasi keamanan. Untuk mengetahui detailnya, buka Melihat log dan laporan untuk enkripsi sisi klien.

Catatan: Saat ini, menetapkan CSE sebagai setelan default untuk layanan hanya tersedia untuk unit organisasi, bukan grup konfigurasi.

CSE Gmail: Pastikan enkripsi email diaktifkan untuk pengguna

Untuk mengirim dan menerima pesan terenkripsi, pengguna harus mengaktifkan CSE Gmail dan enkripsi email untuk akun mereka. Bergantung pada langganan dan kebutuhan Anda, enkripsi dapat diaktifkan dengan salah satu cara berikut:

Konfigurasi dan upload sertifikat S/MIME untuk pengguna (memerlukan pengalaman dalam menggunakan API dan skrip Python). Dengan opsi ini, Anda harus mengaktifkan Gmail API sebelum mengaktifkan CSE untuk Gmail. Untuk mengetahui detailnya, buka Khusus Gmail: Mengonfigurasi sertifikat S/MIME untuk enkripsi sisi klien.
Jika Anda memiliki add-on Assured Controls dan tidak menggunakan enkripsi kunci hardware untuk Gmail, gunakan enkripsi end-to-end (E2EE) Gmail dengan memilih opsi Enkripsi dengan akun tamu saat mengaktifkan CSE Gmail (seperti yang akan dijelaskan di halaman ini). Dengan opsi ini, Anda tidak perlu mengonfigurasi sertifikat S/MIME untuk pengguna. Untuk menggunakan E2EE Gmail, Anda harus mengonfigurasi penyedia identitas (IdP) tamu terlebih dahulu. Untuk mengetahui detailnya, buka Memberikan akses eksternal ke konten terenkripsi sisi klien.
Penting: Dengan opsi Enkripsi dengan akun tamu, Anda juga dapat mengizinkan pengguna bertukar pesan terenkripsi sisi klien dengan siapa saja di luar organisasi Anda. Untuk memberikan akses ini, Anda perlu mengonfigurasi penyedia identitas (IdP) tamu. Untuk mengetahui detailnya, buka Memberikan akses eksternal ke konten terenkripsi sisi klien.

Mengaktifkan atau menonaktifkan CSE untuk pengguna

Untuk mengaktifkan CSE bagi pengguna, Anda harus mengaktifkan CSE bagi unit organisasi atau grup konfigurasi tempat pengguna berada. Setelah Anda mengaktifkan akses pengguna untuk CSE, pengguna dapat memilih untuk mengenkripsi konten atau tidak.

Saat mengaktifkan CSE untuk unit organisasi, Anda dapat menjadikan CSE sebagai setelan default untuk Gmail, Google Drive, dan Google Kalender—untuk web dan aplikasi seluler. Memerlukan add-on Assured Controls atau Assured Controls Plus.

Untuk mencegah pengguna mengenkripsi konten, Anda dapat menonaktifkan CSE untuk unit organisasi atau grup konfigurasi tempat mereka berada. Jika Anda menonaktifkan CSE untuk pengguna, konten terenkripsi sisi klien yang ada tetap terenkripsi dan dapat diakses.

Anda harus login sebagai administrator super untuk melakukan tugas ini.

Di konsol Google Admin, buka Menu DataKepatuhanEnkripsi sisi klien.

Buka Enkripsi sisi klien

Anda harus login sebagai administrator super untuk melakukan tugas ini.
Di bagian Aplikasi, klik nama layanan Google yang ingin Anda aktifkan atau nonaktifkan CSE-nya untuk pengguna.

Atau, di bagian Enkripsi dengan layanan kunci enkripsi eksternal atau Enkripsi dengan kunci hardware, klik Tetapkan. Kemudian, di bagian Enkripsi oleh aplikasi, pilih layanan Google yang ingin Anda aktifkan CSE-nya.
Di panel kiri, pilih unit organisasi atau grup yang CSE-nya ingin Anda aktifkan atau nonaktifkan.
Di bagian Status enkripsi sisi klien, pilih Aktif atau Nonaktif.
Di pesan jendela pop-up, konfirmasi pilihan Anda.
(Opsional hanya untuk Gmail) Untuk menggunakan enkripsi email yang otomatis diaktifkan untuk akun pengguna, di bagian Enkripsi dengan akun tamu, pilih Izinkan pengguna mengirim pesan terenkripsi sisi klien kepada penerima yang tidak menggunakan S/MIME. Memerlukan add-on Assured Controls atau Assured Controls Plus.
(Opsional hanya untuk unit organisasi) Untuk mengenkripsi konten Gmail, Drive, atau Kalender dengan layanan Google secara default, di bagian Aktif secara default, centang kotak Aktifkan enkripsi sisi klien secara default. Pengguna akan tetap memiliki opsi untuk menonaktifkan enkripsi.
Memerlukan add-on Assured Controls atau Assured Controls Plus.
Klik Ganti guna mempertahankan setelan Anda jika setelan CSE untuk unit organisasi induk diubah.
Jika Diganti sudah disetel untuk unit organisasi, pilih salah satu opsi:
- Warisi—Mengembalikan ke setelan CSE yang sama dengan induknya.
- Simpan—Menyimpan setelan CSE baru (meskipun jika setelan induk berubah).

Perubahan dapat membutuhkan waktu hingga 24 jam, tetapi biasanya berlangsung lebih cepat. Pelajari lebih lanjut

Jika Anda mengaktifkan CSE untuk Gmail

Jika Anda tidak dapat menggunakan opsi Enkripsi dengan akun tamu setelah mengaktifkan CSE untuk Gmail: Untuk setiap pengguna yang akan menggunakan CSE Gmail, Anda harus menyiapkan dan mengupload sertifikat S/MIME serta metadata kunci pribadi terenkripsinya ke Gmail. Untuk mengetahui detailnya, buka Menyiapkan CSE Gmail untuk pengguna.

Jika pengguna mengalami masalah saat menggunakan CSE

Periksa Pusat Notifikasi jika pengguna mengalami masalah saat menggunakan CSE Gmail. Untuk mengetahui informasi selengkapnya, buka Layanan enkripsi sisi klien tidak tersedia.

Mengaktifkan atau menonaktifkan enkripsi sisi klien untuk pengguna Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.