Adicionar e gerenciar serviços de chaves para usar a criptografia do lado do cliente

Edições compatíveis com este recurso: Enterprise Plus; Education Standard e Education Plus. Comparar sua edição

Se você tiver configurado o serviço de chaves externo para usar a criptografia do lado do cliente (CSE) do Google Workspace, vai precisar adicioná-lo ao Admin Console. Isso conecta o Google Workspace ao serviço para que ele possa criptografar o conteúdo usando suas chaves de criptografia.

Saiba mais sobre os serviços de chaves externos em Configurar seu serviço de chaves para usar a criptografia do lado do cliente.

Se necessário, é possível adicionar vários serviços de chaves, por exemplo, para migrar conteúdo criptografado de um serviço de chaves para outro ou atribuir serviços de chaves diferentes a usuários específicos.

Observação: na CSE do Gmail, é possível usar chaves de criptografia de hardware em vez de um serviço de chaves. Requires having the Assured Controls or Assured Controls Plus add-on. Saiba mais em Somente no Gmail: configurar e gerenciar chaves de criptografia de hardware

Adicionar um serviço de chaves

Abrir seção  |  Recolher tudo

Antes de começar

Se este for o primeiro serviço de chaves adicionado

Vai aparecer uma mensagem para lembrar você de atribuir um serviço de chaves padrão à unidade organizacional de nível superior. Faça isso a qualquer momento para garantir que a criptografia fique disponível a todos os usuários que precisam criptografar ou descriptografar conteúdo. Saiba mais em Atribuir o serviço de chaves padrão na sua organização.

Se este for o segundo serviço de chaves adicionado

O serviço atual precisa ser configurado como backup. O serviço de backup criptografa o mesmo conteúdo que o segundo serviço de chaves e é necessário para migrar o conteúdo criptografado para o segundo. Saiba mais em Sobre o serviço de chaves de backup abaixo.

Se você já tiver pelo menos dois serviços principais e adicionar outro

Você vai precisar remover o serviço de backup do principal atual e depois escolher um backup para o novo serviço. Também é possível adicionar o novo serviço sem fazer backup. Saiba mais em Adicionar um novo serviço de chaves quando outro serviço já tiver um backup abaixo.

Defina uma nomenclatura para vários serviços de chaves

Defina uma nomenclatura para identificar com facilidade os serviços de chaves e em quais serviços e usuários eles serão aplicados. Por exemplo, é possível nomear o grupo de acordo com a região, a unidade organizacional e o serviço de chaves:

  • NORTHAM-R&D-Key-service1
  • EUROPE-HR-Key-service2
Sobre o serviço de chaves de backup
Se você adicionar mais de um serviço de chaves ao Admin Console, um deles vai ser o backup do outro.

O serviço de backup é usado para migrar conteúdos

Para migrar conteúdos criptografados para um novo serviço de chaves, ou seja, criptografar novamente os conteúdos criptografados pelo serviço atual, torne o serviço de chaves atual o backup para o novo serviço. Como o serviço de chaves de backup criptografa o mesmo conteúdo que o serviço principal, ele garante o acesso aos conteúdos, caso haja algum problema durante a migração. Saiba mais sobre a migração em Migrar conteúdo criptografado para um novo serviço de chaves.
Importante: só é possível ter um serviço de chaves por vez usando um serviço de chaves de backup.

Exceção para CSE do Gmail

Se você adicionar um novo serviço de chaves e definir o serviço atual como o backup no Admin Console, somente o serviço de backup vai criptografar os e-mails. Para mudar o serviço de chaves do Gmail, você precisa usar a API Gmail para fazer o upload de novos certificados e os metadados de chaves privadas acondicionados pelo novo serviço. Para saber como mudar um serviço de chaves diferente no Gmail, confira Para mudar o serviço de chaves da CSE do Gmail.
Adicionar um serviço de chave externo

Para realizar essa tarefa, você precisa fazer login como um superadministrador.

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisCriptografia do lado do cliente.
  3. Em Criptografia com serviço de chaves externo, siga um destes procedimentos:
    • Se este for o primeiro serviço de chaves que você está adicionando, clique em Adicionar serviço de chave externo.
    • Se estiver adicionando outro serviço de chaves, clique em Adicionar.
  4. Digite as seguintes informações do serviço de chaves em que você se inscreveu (ou criou usando a API CSE):

    Nome: digite o nome que quiser. Esse nome vai aparecer em algumas mensagens para os usuários se o Google Workspace não conseguir acessar seu serviço de chaves externo. Ele indica que o problema está no serviço de criptografia, não no serviço do Google que está sendo usado.

    URL: o serviço de chaves fornece o URL para você. Antes de inserir o URL, confira se ele pode ser acessado pela Internet.

  5. Se você adicionou um segundo serviço de chaves, clique em Selecionar chave reserva e escolha um serviço de chaves de backup disponível. Isso permite migrar o conteúdo criptografado para o novo serviço de chaves.

    Saiba como migrar conteúdo para um novo serviço de chaves em Atribuir serviços de chaves para a criptografia do lado do cliente.

  6. Se você já tiver adicionado pelo menos dois serviços de chaves e quiser outro, escolha se quer adicionar o novo serviço de chaves sem backup. Saiba mais sobre as opções em Adicionar um novo serviço de chaves quando outro serviço já tiver um backup abaixo.

    Ou, para fechar a caixa de diálogo Adicionar serviço de chave externo sem escolher uma opção, clique em Cancelar.

  7. Para garantir que o Google Workspace possa se comunicar com o serviço de chaves externo, clique em Testar conexão.
  8. Se a conexão funcionar, clique em Adicionar ou Adicionar serviço na parte de baixo da página, à direita.

Se este é o primeiro serviço de chaves adicionado:

Adicionar um novo serviço de chaves quando outro serviço já tiver um backup

Se você já tiver adicionado pelo menos dois serviços de chaves ao Admin Console, um será o backup do outro. Se você adicionar outro serviço de chaves, não vai ser possível escolher um backup para ele, porque apenas um serviço de chaves pode ter um backup. Portanto, ao adicionar o novo serviço de chaves, você precisa escolher definir como quer usá-lo.

Para mudar o serviço de chaves atual para o novo 

Ao adicionar um novo serviço de chaves, escolha a opção Remover backup do serviço de chaves e clique em Remover backup.

Já é possível adicionar o novo serviço de chaves e escolher um backup. Depois disso, o conteúdo criptografado pode ser migrado para o novo serviço de chaves. Saiba mais em Migrar conteúdo criptografado para um novo serviço de chaves.

Recomendação: escolha essa opção apenas se o serviço de chaves atual não tiver problemas com a criptografia do conteúdo. Além disso, se o serviço de chaves de backup estiver sendo usado para migrar conteúdo para o serviço principal atual, confirme se a migração foi concluída. Depois que remover o backup, a migração vai ser interrompida imediatamente. Saiba mais em Migrar conteúdo criptografado para um novo serviço de chaves.

Usar o novo serviço de chaves sem migrar dados criptografados 

Ao adicionar um novo serviço de chaves, escolha a opção Adicionar serviço de chaves sem backup e clique em Adicionar serviço.

Recomendação: escolha essa opção apenas se você quiser usar o serviço de chaves para uma unidade organizacional ou um grupo que ainda não tem conteúdo criptografado por outro serviço de chaves. Se ele já estiver criptografado, vai ser necessário manter o serviço de chaves atual para garantir o acesso ao conteúdo.

Editar um serviço de chaves

Abrir seção  |  Recolher tudo

Mudar o nome de um serviço de chaves

Para realizar essa tarefa, você precisa fazer login como um superadministrador.

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisCriptografia do lado do cliente.
  3. Em Serviço de chave externo, clique no nome do serviço de chaves que você quer alterar.
  4. Edite o nome desse serviço.
  5. Clique em Continuar.
Mudar o URL de um serviço de chaves

Para realizar essa tarefa, você precisa fazer login como um superadministrador.

Se os usuários estão com problemas para acessar o conteúdo criptografado por um serviço de chaves, solicite a esse serviço um novo URL de criptografia. Em seguida, substitua o URL anterior pelo novo no Admin Console para que os usuários recuperem o conteúdo.

Se não for possível criptografar o novo conteúdo com um serviço de chaves, tente atribuir um serviço de chaves diferente às organizações ou aos grupos que estão enfrentando problemas.

Se você substituir o URL pelo de um serviço de chaves diferente: não vai ser possível descriptografar todos os arquivos já criptografados com o serviço de chaves antigo, e os usuários não vão conseguir acessar o próprio conteúdo. 

Para mudar o URL de um serviço de chaves, faça o seguinte:

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisCriptografia do lado do cliente.
  3. Em Serviço de chave externo, clique no nome do serviço em que você quer alterar o URL.
  4. Clique em Problemas?e depoisAdicionar um novo URL.
  5. Para garantir que o Google Workspace possa se comunicar com o serviço de chaves externo, clique em Testar conexão.
  6. Se a conexão funcionar, clique em Continuar na parte de baixo da página, à direita.
Remover o backup de um serviço de chaves

Alguns casos em que o serviço de chaves de backup pode ser removido:

  • Ele não é mais necessário para migrar conteúdo. 
  • Você quer adicionar outro serviço de chaves e precisa escolher um backup para migrar o conteúdo criptografado para o novo.

Saiba mais sobre a migração de conteúdo em Migrar conteúdo criptografado para um novo serviço de chaves.

Para remover o serviço de chave de backup, siga estas etapas:

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisCriptografia do lado do cliente.
  3. Em Serviço de chave externo, clique no nome do serviço que você quer remover o backup.
  4. Clique em Remover backup.
  5. Marque as caixas em Para remover o backup, confirme que você entendeu o seguinte.
  6. Clique em Remover backup.
Desativar um serviço de chaves com backup

É possível desativar um serviço de chaves se ele tiver um serviço de chaves de backup atribuído. Por exemplo, é possível desativar o serviço de chaves e usar o backup se os usuários tiverem problemas para acessar conteúdo criptografado ou para criptografar conteúdo novo. Como o serviço de chaves que você quer desativar já tem um backup, ainda vai ser possível acessar o conteúdo criptografado do lado do cliente.

Para desativar um serviço de chaves e usar o backup, faça o seguinte:

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisCriptografia do lado do cliente.
  3. Em Serviço de chave externo, clique no nome do serviço que você quer remover o backup.
  4. Clique em Desativar e usar o backup.
  5. Marque as caixas em Ao desativar, entendo o seguinte.
  6. Clique em Desativar e usar o backup.

Se você estiver tendo problemas com um serviço de chaves

Abrir seção  |  Recolher tudo

Os usuários não conseguem acessar o conteúdo criptografado
Pode haver um problema com a chave usada para descriptografar o conteúdo. Entre em contato com seu serviço de chaves para solicitar um novo URL. Saiba como mudar o URL de um serviço de chaves em Mudar o URL de um serviço de chaves acima.
Se o serviço de chaves tiver um backup, tente usar esse outro serviço. Saiba mais em Desativar um serviço de chaves com backup acima.
Os usuários não conseguem criptografar conteúdo novo

Pode haver um problema com a chave usada para criptografar o conteúdo. Entre em contato com seu serviço de chaves para pedir um novo URL. Saiba como mudar o URL de um serviço de chaves em Mudar o URL de um serviço de chaves acima.

Também é possível tentar o seguinte:

Depois de migrar para um novo serviço de chaves, os usuários não podem acessar o conteúdo criptografado nem criptografar conteúdo novo

Tente usar o serviço de chaves de backup. Saiba mais em Desativar um serviço de chaves com backup acima.

Se os usuários ainda não conseguirem acessar o conteúdo criptografado ou criptografar conteúdo novo, então há um problema com a chave de backup. Entre em contato com o serviço de chaves para receber ajuda.

Isso foi útil?

Como podemos melhorá-lo?
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
4763393445979460019
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false