Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Standard и Education Plus. Сравните вашу версию.
В качестве администратора вы можете включить шифрование на стороне клиента (CSE) в Google Workspace для пользователей, которым необходимо создавать зашифрованный контент с помощью этих сервисов:
| Для этой услуги... | Включите CSE для... |
|---|---|
| Google Диск | Пользователям, которым необходимо создавать документы, электронные таблицы и презентации с шифрованием на стороне клиента или загружать файлы с шифрованием на стороне клиента в Google Диск. Включать CSE пользователям, которые только просматривают и редактируют файлы, предоставленные им в общий доступ, не требуется. |
| Гмайл | Пользователи, которым необходимо отправлять или получать зашифрованные сообщения. Прежде чем включить CSE для Gmail: проверьте параметры включения шифрования электронной почты для пользователей, что необходимо в дополнение к включению Gmail CSE. Подробности см. на странице Gmail CSE: Убедитесь, что шифрование включено для пользователей (см. далее на этой странице). |
| Календарь Google | Пользователям, которым необходимо создавать зашифрованные на стороне клиента события календаря, также необходимо включить функцию CSE для Google Диска и Meet для этих пользователей, если вы хотите, чтобы они могли прикреплять зашифрованные на стороне клиента документы и проводить зашифрованные на стороне клиента встречи. Включать CSE для приглашенных на мероприятие не требуется. |
| Google Meet | Пользователи, которым необходимо проводить зашифрованные онлайн-совещания на стороне клиента. Включать CSE для других участников совещания не требуется. |
Пользователям, которым необходимо только просматривать или редактировать зашифрованный контент, следует убедиться в следующем:
- Внутренние пользователи включены в список контроля доступа (KACL) вашей службы ключей. Для получения подробной информации перейдите в раздел «Настройка службы ключей для шифрования на стороне клиента» .
- Внешние пользователи имеют доступ к вашему зашифрованному на стороне клиента контенту. Подробности см. в разделе «Предоставление внешнего доступа к зашифрованному на стороне клиента контенту» .
Прежде чем начать
Убедитесь, что вы выполнили следующие шаги.
- Выберите ключевую услугу .
- Подключитесь к своему поставщику идентификационных данных (IdP) .
- Настройте внешнюю службу ключей или аппаратное шифрование ключей .
- Назначьте подразделению или группе организации ключевое шифрование или шифрование с помощью аппаратных ключей .
Если вы используете несколько ключевых сервисов, убедитесь, что они назначены соответствующим организационным подразделениям или группам конфигурации.
Поймите ограничения использования CSE с поддерживаемыми сервисами.
Для получения дополнительной информации о функциях, недоступных пользователям при использовании CSE, см. раздел «Пользовательский опыт CSE» .
При необходимости добавьте пользователей в организационные подразделения и группы.
Убедитесь, что вы включили CSE для всех или определенных служб в тех организационных подразделениях или группах, для которых вы хотите это сделать.
- Подробную информацию о создании организационных подразделений см. в разделе «Добавление организационного подразделения» .
- Подробную информацию о создании и использовании групп конфигурации см. в разделе «Настройка параметров службы с помощью групп конфигурации» .
Вы можете установить CSE в качестве настройки по умолчанию для пользовательских приложений.
При включении CSE для организационных подразделений вы можете установить CSE в качестве параметра по умолчанию для следующих сервисов, включая веб-приложения и мобильные приложения:
- Gmail — Содержимое электронных писем шифруется по умолчанию, когда пользователи создают, отвечают на письма или пересылают их.
- Google Drive — Содержимое по умолчанию шифруется при создании пользователями новых файлов, таких как документы, электронные таблицы и презентации.
- В Google Календаре описания событий по умолчанию шифруются при создании событий пользователями. Встречи в Google Meet также шифруются по умолчанию.
Если шифрование на стороне клиента включено по умолчанию, у пользователей всё равно есть возможность отключить его при необходимости. Вы можете отслеживать действия пользователей по отключению шифрования на стороне клиента для Google Диска и Календа с помощью инструмента анализа безопасности. Для получения подробной информации перейдите в раздел «Просмотр журналов и отчетов по шифрованию на стороне клиента» .
Примечание: В настоящее время установка CSE в качестве параметра по умолчанию для службы доступна только для организационных подразделений, а не для групп конфигурации.
Gmail CSE: Убедитесь, что шифрование электронной почты включено для пользователей.
Для отправки и получения зашифрованных сообщений пользователям необходимо включить шифрование как в Gmail CSE, так и в электронной почте. В зависимости от вашей подписки и потребностей вы можете включить шифрование одним из следующих способов:
- Настройка и загрузка S/MIME-сертификатов для пользователей (требуется опыт работы с API и скриптами Python). При использовании этой опции необходимо включить API Gmail перед включением CSE для Gmail. Подробности см. только в Gmail: Настройка S/MIME-сертификатов для шифрования на стороне клиента .
- Если у вас установлен надстройка Assured Controls , и вы не используете аппаратное шифрование ключей для Gmail, используйте сквозное шифрование Gmail (E2EE), выбрав параметр «Шифрование с гостевыми учетными записями» при включении Gmail CSE (как описано далее на этой странице). При использовании этого параметра вам не нужно настраивать сертификаты S/MIME для пользователей. Для использования Gmail E2EE необходимо сначала настроить поставщика идентификации (IdP) для гостей. Подробности см. в разделе «Предоставление внешнего доступа к зашифрованному содержимому на стороне клиента» .
Важно: с помощью опции «Шифрование с использованием гостевых учетных записей » вы также можете разрешить пользователям обмениваться зашифрованными на стороне клиента сообщениями с кем угодно за пределами вашей организации. Для предоставления такого доступа необходимо настроить поставщика идентификации (IdP) для гостевых учетных записей. Подробности см. в разделе «Предоставление внешнего доступа к зашифрованному на стороне клиента содержимому» .
Включение или отключение CSE для пользователей
Чтобы включить CSE для пользователей, необходимо включить CSE для организационных подразделений или групп конфигурации, к которым принадлежат пользователи. После включения доступа пользователей к CSE, они смогут выбирать, следует ли шифровать контент.
При включении CSE для организационного подразделения вы можете сделать CSE инструментом по умолчанию для Gmail, Google Drive и Google Calendar — как для веб-приложений, так и для мобильных приложений. Требуется наличие надстройки Assured Controls или Assured Controls Plus .
Чтобы предотвратить шифрование контента пользователями, можно отключить CSE для организационных подразделений или групп конфигурации, к которым они принадлежат. Если отключить CSE для пользователей, любой существующий зашифрованный на стороне клиента контент останется зашифрованным и доступным.
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .В консоли администратора Google перейдите в меню.
Данные Согласие Шифрование на стороне клиента .Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
В разделе «Приложения» щелкните название сервиса Google, для которого вы хотите включить или отключить функцию CSE для пользователей.
В качестве альтернативы, в разделе «Шифрование с помощью внешней службы ключей» или «Шифрование с помощью аппаратных ключей» нажмите «Назначить» . Затем в разделе «Шифрование приложением» выберите службу Google, для которой вы хотите включить CSE.
В левой панели выберите организационное подразделение или группу, для которой вы хотите включить или выключить CSE.
В разделе «Состояние шифрования на стороне клиента» выберите «Вкл.» или «Выкл.».
Во всплывающем сообщении подтвердите свой выбор.
(Необязательно, только для Gmail) Чтобы автоматически включить шифрование электронной почты для учетных записей пользователей, в разделе «Шифрование для гостевых учетных записей » выберите «Разрешить пользователям отправлять зашифрованные на стороне клиента сообщения получателям, которые не используют S/MIME» . Требуется наличие надстройки Assured Controls или Assured Controls Plus .
(Необязательно только для подразделений организации) Чтобы по умолчанию шифровать содержимое Gmail, Google Диска или Календа с помощью сервиса Google, в разделе «Включено по умолчанию» установите флажок «Включить шифрование на стороне клиента по умолчанию» . Пользователи по-прежнему смогут отключить шифрование.
Для этого требуется наличие дополнительного модуля Assured Controls или Assured Controls Plus .Нажмите «Переопределить» , чтобы сохранить настройки при изменении параметров CSE для родительского организационного подразделения.
Если для организационной единицы уже установлен параметр «Переопределено» , выберите один из следующих вариантов:
- Наследование — Возвращает те же настройки CSE, что и у родительского элемента.
- Сохранить — Сохраняет новые настройки CSE (даже если изменились родительские настройки).
Если вы включили CSE для Gmail
Если после активации CSE для Gmail у вас не получилось использовать опцию «Шифрование с гостевыми учетными записями» : для каждого пользователя, который будет использовать Gmail CSE, необходимо подготовить и загрузить в Gmail его S/MIME-сертификаты и зашифрованные метаданные закрытого ключа. Подробности см. в разделе «Настройка Gmail CSE для пользователей» .
Если у пользователей возникли проблемы с использованием CSE
Если у пользователей возникли проблемы с использованием Gmail CSE, проверьте Центр оповещений. Для получения дополнительной информации перейдите по ссылке «Служба шифрования на стороне клиента недоступна» .