Informacje o szyfrowaniu po stronie klienta

Ta funkcja jest dostępna w tych wersjach: Wersja Enterprise, Education Standard i Education Plus.  Porównanie wersji

Do szyfrowania danych organizacji poza domyślnym szyfrowaniem zapewnianym przez Google Workspace możesz też używać własnych kluczy szyfrowania. W ramach szyfrowania po stronie klienta w usłudze Google Workspace szyfrowanie treści odbywa się w przeglądarce klienta, zanim jakiekolwiek dane zostaną przesłane do chmury na Dysku lub tam zapisane. Dzięki temu serwery Google nie mogą uzyskać dostępu do Twoich kluczy szyfrowania i odszyfrować Twoich danych.

Aby używać szyfrowania po stronie klienta, musisz połączyć Google Workspace z zewnętrzną usługą kluczy szyfrowania i dostawcą tożsamości. 

Twoi użytkownicy mogą udostępniać pliki szyfrowane po stronie klienta wewnątrz organizacji lub organizacjom zewnętrznym, jeśli te organizacje też używają Google Workspace i mają skonfigurowane szyfrowanie po stronie klienta.

Dlaczego warto korzystać z szyfrowania po stronie klienta

Google Workspace korzysta już z najnowszych standardów kryptograficznych w celu szyfrowania wszystkich danych w spoczynku i w ruchu między usługami. Jednak dzięki szyfrowaniu po stronie klienta masz bezpośrednią kontrolę nad kluczami szyfrowania i dostawcą tożsamości używanym do uzyskiwania dostępu do tych kluczy. Ta dodatkowa opcja kontroli może pomóc Ci zwiększyć poufność Twoich danych wrażliwych lub danych objętych regulacjami. 

Twoja organizacja może chcieć korzystać z szyfrowania po stronie klienta z różnych powodów, takich jak:

  • prywatność – Twoja organizacja zajmuje się danymi stanowiącymi wysoce wrażliwą własność intelektualną;
  • zgodność z regulacjami – Twoja organizacja działa w branży podlegającej specjalnym regulacjom, takiej jak lotnictwo i obrona, usługi finansowe czy instytucje państwowe.

Dostępność szyfrowania po stronie klienta

Szyfrowanie po stronie klienta w Google Workspace jest obecnie dostępne tylko w przypadku tych danych:

  • dane z Dysku Google, w tym pliki (dokumenty, arkusze kalkulacyjne, prezentacje) utworzone przy użyciu edytorów Dokumentów Google i przesłane pliki, takie jak PDF-y i pliki pakietu Microsoft Office;
  • strumienie audio i wideo w Google Meet (beta), w tym udostępnianie ekranu, przesyłane między uczestnikami spotkania a Google.

W nadchodzących wersjach szyfrowanie po stronie klienta będzie dostępne w innych usługach Google.

Wprowadzenie do szyfrowania po stronie klienta

Otwórz sekcję  |  Zwiń wszystko i przejdź na górę strony

Omówienie kroków konfiguracji szyfrowania po stronie klienta

Oto podstawowe czynności wykonywane przy konfigurowaniu szyfrowania po stronie klienta w Google Workspace.

Krok 1. Skonfiguruj zewnętrzną usługę kluczy szyfrowania

Najpierw skonfiguruj usługę kluczy szyfrowania. Możesz skorzystać z usług jednego z partnerów Google lub utworzyć własną usługę za pomocą interfejsu Google CSE API. Ta usługa steruje kluczami szyfrowania najwyższego poziomu, które chronią Twoje dane. Więcej informacji

Krok 2. Połącz usługę Google Workspace z zewnętrzną usługą kluczy

Następnie dodaj lokalizację (adres URL) zewnętrznej usługi kluczy, aby usługa Google Workspace mogła łączyć z nią obsługiwane aplikacje. Więcej informacji

Krok 3. Połącz usługę Google Workspace z dostawcą tożsamości

W tym kroku musisz połączyć się z zewnętrznym dostawcą tożsamości lub tożsamością Google przy użyciu konsoli administracyjnej albo pliku .well-known hostowanego na Twoim serwerze. Dostawca tożsamości weryfikuje tożsamość użytkowników, zanim zezwoli im na szyfrowanie treści lub na dostęp do zaszyfrowanych treści. Więcej informacji

Krok 4. Włącz szyfrowanie po stronie klienta dla użytkowników

Szyfrowanie po stronie klienta możesz włączyć dla dowolnej jednostki organizacyjnej lub grupy w organizacji. Pamiętaj jednak, aby włączyć CSE tylko dla użytkowników, którzy chcą tworzyć treści zaszyfrowane po stronie klienta:

  • Dysk Google – szyfrowanie po stronie klienta musisz włączyć tylko dla użytkowników, którzy potrzebują tworzyć dokumenty, arkusze kalkulacyjne i prezentacje zaszyfrowane po stronie klienta lub przesyłać pliki zaszyfrowane po stronie klienta na Dysk. Nie musisz włączać szyfrowania po stronie klienta dla użytkowników, którzy będą tylko wyświetlać i edytować udostępnione im pliki.
  • Google Meet (beta) – szyfrowanie musisz włączyć tylko dla użytkowników, którzy chcą organizować spotkania zaszyfrowane po stronie klienta. Nie musisz go włączać w przypadku pozostałych uczestników spotkań.

Szczegółowe informacje na temat włączania szyfrowania po stronie klienta dla użytkowników znajdziesz w artykule Tworzenie zasad szyfrowania po stronie klienta.

Informacje o szyfrowaniu po stronie klienta dla użytkowników

Gdy skonfigurujesz szyfrowanie po stronie klienta w organizacji, użytkownicy, dla których je włączysz, będą mogli z niego korzystać w następujących usługach.

Dysk Google

Użytkownicy mogą tworzyć dokumenty zaszyfrowane po stronie klienta za pomocą edytorów Dokumentów Google (na przykład dokumenty czy arkusze kalkulacyjne) lub szyfrować pliki przesłane na Dysk, takie jak pliki PDF.

Niektóre funkcje nie są dostępne w przypadku zaszyfrowanych plików. Oto przykłady:

  • Jeśli zaszyfrowany plik zostanie utworzony w edytorach Dokumentów Google, funkcje sprawdzania pisowni i gramatyki nie będą działać. Zaszyfrowany dokument może edytować tylko 1 współpracownik naraz, ale wyświetlać – dowolna liczba użytkowników.
  • Jeśli plik jest zaszyfrowany i przesłany na Dysk, funkcje wyszukiwania pełnotekstowego i podglądu plików nie będą działać.

Dysk na komputer

Szyfrowanie po stronie klienta w przypadku Dysku na komputer możesz skonfigurować, gdy połączysz Google Workspace ze swoim dostawcą tożsamości.

Dysk na komputer pokazuje zsynchronizowane zaszyfrowane pliki jako skróty w systemie Windows oraz łącza symboliczne na Macu. Po kliknięciu skrótu lub łącza do zaszyfrowanego pliku Dokumentów, Arkuszy lub Prezentacji otworzy się nowe okno przeglądarki.

Użytkownicy mogą też:

  • szyfrować i przesyłać pliki lokalne;
  • odczytywać i zapisywać niektóre typy zaszyfrowanych plików, takie jak PDF-y czy pliki pakietu Microsoft Office.

Unikaj przechowywania na Dysku odszyfrowanych informacji poufnych: poinformuj użytkowników Dysku na komputer, że jeśli używają na Dysku opcji Pobierz i odszyfruj, to powinni unikać przechowywania odszyfrowanych plików w folderach lokalnych, które są synchronizowane z Dyskiem.

Więcej informacji

Aby dowiedzieć się więcej na temat korzystania przez użytkowników z szyfrowania po stronie klienta na Dysku i związanych z tym ograniczeń, zapoznaj się z tymi materiałami:

Google Meet (wersja beta)

Użytkownicy mogą zorganizować spotkanie szyfrowane po stronie klienta, wybierając opcję dodania szyfrowania podczas planowania spotkania w Kalendarzu Google lub na samym początku niezaplanowanego spotkania.

Niektóre funkcje nie są jeszcze dostępne w przypadku zaszyfrowanych spotkań, na przykład:

  • nagrywanie spotkań (jeśli nagranie jest zapisywane na Dysku),
  • transmitowanie na żywo,
  • dźwięk z telefonu,
  • czat,
  • ankiety,
  • wirtualna tablica,
  • sprzęt do obsługi sali konferencyjnej i aplikacje mobilne (będą dostępne już wkrótce).
Możliwa utrata danych po wyłączeniu lub zniszczeniu kluczy
Ostrzeżenie: jeśli wyłączysz lub zniszczysz klucz szyfrowania używany do szyfrowania plików na Dysku, aplikacje Google Workspace nie będą mogły odszyfrować tych plików. Oznacza to, że użytkownicy nie będą mogli w żaden sposób wyświetlać, edytować, pobierać ani używać tych plików. Zanim zaczniesz korzystać z szyfrowania po stronie klienta, skontaktuj się z dostawcą zewnętrznej usługi kluczy, aby dowiedzieć się, jak zabezpieczyć swoje klucze (w tym poznać opcje tworzenia kopii zapasowych i przywracania danych). Pamiętaj też o zachowaniu ostrożności przy planowaniu zmian w usłudze kluczy, aby nie zakłócać działania usług użytkowników.
Wymagania dotyczące szyfrowania po stronie klienta

Wymagania dotyczące administratora

Aby skonfigurować szyfrowanie po stronie klienta w Google Workspace w swojej organizacji, musisz być superadministratorem Google Workspace.

Wymagania dotyczące użytkowników

  • Użytkownicy muszą mieć licencję Google Workspace Enterprise Plus lub Google Workspace for Education Plus, aby korzystać z szyfrowania po stronie klienta w celu:
    • tworzenia i przesyłania plików,
    • prowadzenia spotkań.
  • Użytkownicy mogą mieć dowolny typ licencji Google Workspace lub Cloud Identity, aby:
    • wyświetlać, edytować i pobierać istniejące pliki zaszyfrowane po stronie klienta;
    • dołączać do spotkań zaszyfrowanych po stronie klienta.
  • Użytkownicy indywidualnych kont Google (na przykład Gmaila) nie mają dostępu do plików ani spotkań zaszyfrowanych po stronie klienta.
  • Aby wyświetlać lub edytować zaszyfrowane pliki, użytkownicy muszą używać przeglądarki Google Chrome lub Microsoft Edge (Chromium).
  • Aby wziąć udział w spotkaniu zaszyfrowanym po stronie klienta, użytkownicy muszą zostać zaproszeni lub dodani podczas spotkania. Dla takich spotkań funkcja pukania nie jest dostępna.
  • Dostęp do plików i spotkań zaszyfrowanych po stronie klienta zależy od zasad ustawionych dla tej funkcji w Twojej organizacji.

Wymagania dotyczące użytkowników zewnętrznych

  • Organizacje zewnętrzne, z którymi użytkownicy będą współpracować, też muszą skonfigurować szyfrowanie po stronie klienta w konsoli administracyjnej lub za pomocą pliku .well-known.
  • Użytkownicy zewnętrzni muszą mieć licencję na Google Workspace, aby uzyskać dostęp do Twoich treści zaszyfrowanych po stronie klienta. Użytkownicy indywidualnych kont Google i kont gości nie mają dostępu do plików zaszyfrowanych po stronie klienta.
  • Na liście dozwolonych zewnętrznej usługi szyfrowania musi znaleźć się usługa zewnętrznego dostawcy tożsamości używana przez użytkowników z organizacji zewnętrznej, którym Twoi użytkownicy mają udostępniać pliki szyfrowane po stronie klienta. Usługę dostawcy tożsamości można zwykle znaleźć w ich publicznie dostępnym pliku .well-known (jeśli został skonfigurowany). W przeciwnym razie skontaktuj się z administratorem Google Workspace organizacji zewnętrznej, aby uzyskać szczegółowe informacje o dostawcy tożsamości.
Użytkownicy zewnętrzni muszą udostępnić informacje o tożsamości: poinformuj administratora organizacji zewnętrznej, że należący do niej użytkownicy muszą udostępnić token uwierzytelniania Twojej usłudze kluczy, aby mogli wyświetlać lub edytować zaszyfrowane pliki należące do Twojej organizacji. Proces uwierzytelniania wymaga od użytkownika podania adresu IP i innych informacji. Więcej szczegółów znajdziesz w sekcji dotyczącej tokenów uwierzytelniania w przewodniku po interfejsach API szyfrowania po stronie klienta.
Wyświetlanie dzienników i raportów dotyczących szyfrowania po stronie klienta

Możesz wyświetlić następujące dzienniki i raporty szyfrowania po stronie klienta dotyczące Dysku. Dzienniki i raporty nie są jeszcze dostępne w przypadku Meet.

Dziennik kontrolny

Wyświetl historię zmian ustawień szyfrowania po stronie klienta w organizacji.

Otwórz Raporty a potem Dziennik kontrolny a potem Administracja.

Raport dotyczący przesyłania/pobierania zaszyfrowanych plików

Pobierz raport na temat liczby zaszyfrowanych plików, które zostały przesłane i pobrane w danym okresie.

Kliknij Zabezpieczenia a potem Panel a potem Szyfrowanie po stronie klienta.

Raport z analizy zagrożeń dotyczących zaszyfrowanych plików

Skorzystaj z narzędzia do analizy zagrożeń, aby uzyskać raport o aktywności na Dysku dotyczącej zaszyfrowanych plików.

  1. Kliknij Zabezpieczenia a potem Narzędzie do analizy zagrożeń.
  2. Kliknij Źródło danych a potem Zdarzenia z dziennika Dysku.
  3. Kliknij Dodaj warunek a potem Dodaj warunek a potem Zaszyfrowane.
  4. Ustaw warunek jako Prawda.
  5. Kliknij Szukaj.

Najczęstsze pytania dotyczące szyfrowania po stronie klienta

Otwórz sekcję  |  Zwiń wszystko i przejdź na górę strony

Pytania ogólne

Gdzie znajdę informacje na temat domyślnego szyfrowania Google?
Informacje na temat domyślnego szyfrowania Google znajdziesz w witrynie Google Cloud.
Czym różni się szyfrowanie po stronie klienta od pełnego szyfrowania (e2e)?
W przypadku pełnego szyfrowania (e2e) szyfrowanie i odszyfrowywanie zawsze odbywa się na urządzeniu źródłowym i docelowym (np. na telefonie komórkowym w przypadku czatu). Klucze szyfrowania są generowane na urządzeniu klienta, więc jako administrator nie masz kontroli nad nimi ani nad tym, kto może ich używać. Nie masz też wglądu w to, które treści szyfrują użytkownicy.
W przypadku szyfrowania po stronie klienta szyfrowanie i odszyfrowywanie także zawsze odbywa się na urządzeniach źródłowych i docelowych (w tym przypadku są nimi przeglądarki klientów). Jednak w przypadku szyfrowania po stronie klienta używane są klucze szyfrowania, które są generowane i przechowywane w systemie zarządzania kluczami w chmurze. Dzięki temu możesz kontrolować te klucze i określać, kto ma do nich dostęp. Możesz na przykład anulować dostęp użytkownika do kluczy, nawet jeśli ten użytkownik je wygenerował. Oprócz tego szyfrowanie po stronie klienta pozwala na monitorowanie zaszyfrowanych plików użytkowników.

Konfigurowanie szyfrowania po stronie klienta

Z systemów zarządzania kluczami których partnerów mogę korzystać w przypadku szyfrowania po stronie klienta?

Google współpracuje z tymi dostawcami systemów zarządzania kluczami w przypadku szyfrowania po stronie klienta:

Czy mogę używać Google jako systemu zarządzania kluczami?
Nie. Aby skonfigurować szyfrowanie po stronie klienta w Google Workspace, musisz użyć zewnętrznego systemu zarządzania kluczami. W przypadku szyfrowania po stronie klienta to Ty kontrolujesz swoje klucze szyfrowania, a Google nie ma do nich dostępu na potrzeby odszyfrowywania danych.
Jak ograniczyć dostęp użytkowników i grup do zewnętrznej usługi kluczy?
Listami kontroli dostępu (ACL) dotyczącymi kluczy szyfrowania możesz zarządzać w zewnętrznej usłudze kluczy. Aby uzyskać więcej informacji, skontaktuj się z dostawcą narzędzia szyfrowania.
Jak skonfigurować szyfrowanie po stronie klienta na dyskach współdzielonych?
Nie musisz osobno konfigurować szyfrowania po stronie klienta na dyskach współdzielonych. Zewnętrzna usługa kluczy skonfigurowana w konsoli administracyjnej działa w przypadku plików zarówno na Moim dysku, jak i na dyskach współdzielonych.

Praca z plikami zaszyfrowanymi po stronie klienta

Jakie dane są szyfrowane po stronie klienta?

Dysk Google:

  • cała zawartość pliku, na przykład treść dokumentu;
  • treść umieszczona w pliku Dokumentów Google (np. obrazy).

Google Meet (wersja beta):

strumień danych multimedialnych (dane audio i wideo) przesyłany między uczestnikami spotkania a Google.

Jakie dane nie są szyfrowane po stronie klienta?

Dysk Google:

  • nazwa pliku;
  • metadane pliku, na przykład właściciel, twórca i data ostatniej modyfikacji;
  • etykiety Dysku (nazywane też metadanymi Dysku);
  • podlinkowane treści, które znajdują się poza Dokumentami lub Dyskiem (np. film w YouTube, do którego link znajduje się w dokumencie Google);
  • preferencje użytkownika, takie jak style nagłówków Dokumentów.

Google Meet (wersja beta):

wszystkie dane inne niż strumień danych multimedialnych (audio i wideo).

Czy mogę ponownie zaszyfrować dotychczasowe pliki innym kluczem szyfrowania?
Ta funkcja będzie dostępna w nadchodzącej wersji.
Czy mogę zmienić szyfrowanie pliku na domyślne szyfrowanie Google?
Ta funkcja będzie dostępna w nadchodzącej wersji.
Jak odszyfrować wyeksportowane pliki?
Do odszyfrowywania zaszyfrowanych po stronie klienta plików wyeksportowanych przy użyciu narzędzia do eksportowania danych lub Google Vault możesz użyć narzędzia do odszyfrowywania (w wierszu poleceń). Więcej informacji znajdziesz w artykule Odszyfrowywanie wyeksportowanych plików zaszyfrowanych po stronie klienta.
Czy zaszyfrowane pliki mogę przechowywać w Google Vault, a także wyszukiwać je tam i eksportować?
Tak. Jeśli Twoja wersja Google Workspace obejmuje Google Vault, możesz tam przechowywać, wyszukiwać i eksportować pliki zaszyfrowane po stronie klienta.Pliki zaszyfrowane po stronie klienta możesz wyszukiwać według ich metadanych, takich jak tytuł czy właściciel. Nie możesz jednak wyszukiwać ich treści, wyszukiwać według typu pliku, wyświetlać podglądu treści ani pobierać treści w widoku podglądu. Szczegółowe informacje znajdziesz w artykule Praca z plikami zaszyfrowanymi po stronie klienta w Vault.

Skanowanie plików zaszyfrowanych po stronie klienta

Czy Dysk automatycznie skanuje pliki zaszyfrowane po stronie klienta pod kątem zagrożeń?
Pliki zaszyfrowane po stronie klienta nie są skanowane pod kątem phishingu ani złośliwego oprogramowania, ponieważ serwery Google nie mają dostępu do treści tych plików.
Czy skanowanie DLP może obejmować zawartość plików zaszyfrowanych po stronie klienta?
Skanowanie na potrzeby zapobiegania utracie danych (DLP) nie ma dostępu do zawartości plików zaszyfrowanych po stronie klienta. Skanowanie DLP ma jednak dostęp do metadanych pliku (takich jak nazwa pliku i etykiety Dysku), które nie są zaszyfrowane, dlatego wciąż może zapobiegać wyciekom danych wrażliwych.

Korzystanie z szyfrowania po stronie klienta na Dysku na komputer

Czy Dysk na komputer synchronizuje pliki zaszyfrowane po stronie klienta?
Dysk na komputer pokazuje zsynchronizowane zaszyfrowane pliki jako skróty w systemie Windows oraz łącza symboliczne na Macu.
Czy Dysk na komputer ponownie szyfruje pobrane pliki zaszyfrowane po stronie klienta w przypadku ich ponownej synchronizacji z Dyskiem?
Nie. Jeśli plik zaszyfrowany po stronie klienta, który został pobrany i odszyfrowany w folderze lokalnym, zostanie zsynchronizowany z Dyskiem, będzie przechowywany na Dysku w postaci zwykłego tekstu.

Unikaj przechowywania na Dysku odszyfrowanych informacji poufnych: poinformuj użytkowników Dysku na komputer, że jeśli używają na Dysku opcji Pobierz i odszyfruj, to powinni unikać przechowywania odszyfrowanych plików w folderach lokalnych, które są synchronizowane z Dyskiem.

Czy to było pomocne?
Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Zaloguj się i uzyskaj dodatkowe informacje, by szybko rozwiązać problem

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne
Wyszukaj w Centrum pomocy
true
73010
false
false