Ativar ou desativar a criptografia do lado do cliente para os usuários

Confira se você está no lugar certo. Estas etapas são para administradores que gerenciam contas do Gmail de uma empresa, escola ou outro grupo. A criptografia do lado do cliente não está disponível na sua conta pessoal do gmail.com account.

Edições compatíveis com este recurso: Frontline Plus, Enterprise Plus, Education Standard e Education Plus. Compare sua edição

Como administrador, você pode ativar a criptografia do lado do cliente (CSE) do Google Workspace para usuários que precisam criar conteúdo criptografado com estes serviços:

Para este serviço...	Ative a CSE para...
Google Drive	Usuários que precisam criar documentos, planilhas e apresentações criptografados do lado do cliente ou fazer upload de arquivos criptografados do lado do cliente para o Drive. Não é necessário ativar a CSE para usuários que apenas visualizam e editam arquivos compartilhados com eles.
Gmail	Usuários que precisam enviar ou receber mensagens criptografadas. Antes de ativar a CSE no Gmail: analise as opções para ativar a criptografia de e-mail para os usuários, que é necessária além da ativação da CSE do Gmail. Para mais detalhes, acesse CSE do Gmail: confira se a criptografia está ativada para os usuários mais adiante nesta página.
Google Agenda	Usuários que precisam criar eventos da agenda criptografados do lado do cliente. Você também precisa ativar a CSE para o Drive e o Meet desses usuários se quiser que eles anexem documentos criptografados do lado do cliente e organizem reuniões criptografadas do lado do cliente. Não é necessário ativar a CSE para convidados de eventos.
Google Meet	Usuários que precisam organizar reuniões on-line criptografadas do lado do cliente. Não é preciso ativar a CSE para outros participantes da reunião.

Para usuários que precisam apenas visualizar ou editar conteúdo criptografado, confira se:

Os usuários internos estão na lista de controle de acesso a chaves (KACL, na sigla em inglês) do serviço de chaves. Saiba mais em Configurar seu serviço de chaves para usar a criptografia do lado do cliente.
Os usuários externos têm acesso ao conteúdo criptografado do lado do cliente. Para mais detalhes, acesse Conceder acesso externo ao conteúdo criptografado do lado do cliente.

Antes de começar

Confira se você concluiu estas etapas

Escolha um serviço de chaves.
Conecte ao seu provedor de identidade (IdP).
Configure o serviço de chaves externo ou a criptografia da chave de hardware.
Atribua um serviço de chaves ou criptografia de chaves de hardware a unidades organizacionais ou grupos.
Se você estiver usando vários serviços de chaves, eles precisam estar atribuídos às unidades organizacionais ou aos grupos de configuração pertinentes.

Entenda as limitações do uso da CSE com serviços compatíveis

Para mais informações sobre os recursos que não estão disponíveis para os usuários quando eles escolhem usar a CSE, consulte Experiência do usuário da CSE.

Se necessário, adicione usuários a unidades organizacionais e grupos

Coloque os usuários nos grupo ou unidades organizacionais em que você quer ativar a CSE para todos ou para serviços específicos.

Veja detalhes sobre como criar unidades organizacionais em Adicionar uma unidade organizacional.
Veja mais detalhes sobre como criar e usar os grupos de configuração em Personalizar configurações de serviço com grupos de configuração.

Você pode definir a CSE como a configuração padrão para apps de usuários

É preciso ter o complemento Assured Controls ou Assured Controls Plus.

Ao ativar a CSE para unidades organizacionais, você pode definir a CSE como a configuração padrão para os seguintes serviços, inclusive apps da Web e para dispositivos móveis:

Gmail: o conteúdo é criptografado por padrão quando os usuários escrevem, respondem ou encaminham um e-mail.
Google Drive: o conteúdo é criptografado por padrão quando os usuários criam novos arquivos, como documentos, planilhas e apresentações.
Google Agenda : as descrições de eventos são criptografadas por padrão quando os usuários criam um evento. As reuniões do Google Meet também são criptografadas por padrão.

Se você ativar a CSE por padrão, os usuários ainda terão a opção de desativar a criptografia, se necessário. Você pode monitorar as ações dos usuários para desativar a CSE no Drive e no Agenda com a ferramenta de investigação de segurança. Saiba mais em Acessar registros e relatórios sobre a criptografia do lado do cliente.

Observação:no momento, a configuração da CSE como padrão para um serviço está disponível apenas para unidades organizacionais, não para grupos de configuração.

CSE do Gmail: confira se a criptografia de e-mail está ativada para os usuários

Para enviar e receber mensagens criptografadas, os usuários precisam ter a CSE do Gmail e a criptografia de e-mail ativadas nas contas. Dependendo da sua assinatura e das suas necessidades, você pode ativar a criptografia de uma das seguintes maneiras:

Configurar e fazer upload de certificados S/MIME para usuários (exige experiência com APIs e scripts Python). Com essa opção, é necessário ativar a API Gmail antes de ativar a CSE no Gmail. Saiba mais em Somente Gmail: configurar certificados S/MIME para usar a criptografia do lado do cliente.
Se você tiver o complemento Assured Controls e não estiver usando a criptografia de chaves de hardware para Gmail, use a criptografia de ponta a ponta (E2EE) do Gmail selecionando a opção Criptografia com contas de visitantes ao ativar a CSE do Gmail (conforme descrito mais adiante nesta página). Com essa opção, não é necessário configurar certificados S/MIME para os usuários. Para usar a E2EE do Gmail, primeiro configure um provedor de identidade (IdP) de visitante. Para mais detalhes, acesse Conceder acesso externo ao conteúdo criptografado do lado do cliente.
Importante:com a opção Criptografia com contas de visitante, você também pode permitir que os usuários troquem mensagens criptografadas do lado do cliente com qualquer pessoa fora da sua organização. Para conceder esse acesso, configure um provedor de identidade (IdP) de visitante. Para mais detalhes, acesse Conceder acesso externo ao conteúdo criptografado do lado do cliente.

Ativar ou desativar a CSE para usuários

Se você quiser ativar a CSE, faça isso nas unidades organizacionais ou nos grupos de configuração dos usuários. Depois de ativar o acesso do usuário à CSE, os usuários podem escolher se querem criptografar o conteúdo.

Ao ativar a CSE em uma unidade organizacional, você pode definir esse recurso como padrão no Gmail, no Google Drive e no Google Agenda, tanto para apps da Web quanto para dispositivos móveis. É preciso ter o complemento Assured Controls ou Assured Controls Plus.

Para impedir que os usuários criptografem conteúdo, você pode desativar a CSE das unidades organizacionais ou dos grupos de configuração a que eles pertencem. Se você desativar a CSE para os usuários, todo o conteúdo criptografado do lado do cliente vai permanecer criptografado e acessível.

Para realizar essa tarefa, você precisa fazer login como um superadministrador.

No Admin Console do Google, acesse Menu DadosConformidadeCriptografia do lado do cliente.

Acesse Criptografia do lado do cliente

Para realizar essa tarefa, você precisa fazer login como um superadministrador.
Em Apps, clique no nome do serviço do Google em que você quer ativar ou desativar a CSE para os usuários.

Como alternativa, em Criptografia com o serviço de chaves externo ou Criptografia com chaves de hardware, clique em Atribuir. Em seguida, em Criptografia por app, selecione o serviço do Google em que você quer ativar a CSE.
No painel à esquerda, selecione uma unidade organizacional ou um grupo em que você quer ativar ou desativar a CSE.
Em Status da criptografia do lado do cliente, selecione Ativado ou Desativado.
Na mensagem pop-up, confirme sua seleção.
(Opcional para somente Gmail) Para ativar automaticamente a criptografia de e-mail nas contas dos usuários, em Criptografia com conta de visitante, selecione Permitir que usuários enviem mensagens criptografadas do lado do cliente para destinatários que não estão usando S/MIME. É preciso ter o complemento Assured Controls ou Assured Controls Plus.
(Opcional apenas para unidades organizacionais) Para criptografar o conteúdo do Gmail, Drive ou Agenda com o serviço do Google por padrão, em Ativado por padrão, marque a caixa Ativar a criptografia do lado do cliente por padrão. Os usuários ainda terão a opção de desativar a criptografia.
É preciso ter o complemento Assured Controls ou Assured Controls Plus.
Clique em Substituir para manter sua escolha se as configurações da CSE forem alteradas na unidade organizacional mãe.
Se a opção Substituído já estiver definida para a unidade organizacional, escolha uma opção:
- Herdar : reverte para a configuração mãe.
- Salvar : salva a nova configuração, mesmo que a configuração mãe seja alterada.

As mudanças podem levar até 24 horas, mas geralmente acontecem mais rápido. Saiba mais

Se você ativou a CSE no Gmail

Se você não conseguir usar a opção Criptografia com conta de visitante depois de ativar a CSE no Gmail: para cada usuário que vai usar a CSE do Gmail, você deverá preparar e fazer upload dos certificados S/MIME e metadados criptografados da chave privada para o Gmail. Para mais detalhes, acesse Configurar a CSE do Gmail para usuários.

Se os usuários tiverem problemas para usar a CSE

Consulte a Central de alertas se os usuários tiverem problemas para usar a CSE do Gmail. Saiba mais em Serviço de criptografia do lado do cliente indisponível.

Ativar ou desativar a criptografia do lado do cliente para os usuários Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.