Ajouter et gérer des services de clés pour le chiffrement côté client

Éditions compatibles avec cette fonctionnalité : Enterprise Plus, Education Standard et Education Plus.  Comparer votre édition

Si vous avez configuré votre service de clés externe pour le chiffrement côté client (CSE) Google Workspace, vous devez l'ajouter à votre console d'administration. Google Workspace est alors connecté au service et peut chiffrer du contenu à l'aide de vos clés de chiffrement.

Si nécessaire, vous pouvez ajouter plusieurs services de clés, par exemple pour migrer du contenu chiffré d'un service de clés à un autre ou pour attribuer des services de clés différents à des utilisateurs spécifiques.

Remarque : Pour le CSE Gmail, vous pouvez utiliser des clés de chiffrement matérielles au lieu d'un service de clés. Requires having the Assured Controls add-on. Pour en savoir plus, consultez Configurer et gérer les clés de chiffrement matérielles (Gmail uniquement)

Ajouter un service de clés

Ouvrir la section  |  Tout réduire

Avant de commencer

Gardez à portée de main les informations sur votre service de clés externe

Pour ajouter un service de clés externe à votre console d'administration, vous devez indiquer les informations suivantes à son sujet :

  • Nom : vous pouvez saisir le nom de votre choix. Ce nom apparaît dans certains messages adressés aux utilisateurs si Google Workspace ne peut pas accéder à votre service de clés externe. Ils sont ainsi informés que le problème provient du service de chiffrement et non du service Google qu'ils utilisent.
  • URL : cette URL est fournie par votre service de clés. Avant de la saisir, vérifiez qu'elle est accessible via Internet.

Pour en savoir plus sur les services de clés externes, consultez Configurer votre service de clés pour le chiffrement côté client.

S'il s'agit de votre premier service de clés

Un message s'affiche pour vous rappeler d'attribuer un service de clés par défaut à votre unité organisationnelle racine. Vous pouvez effectuer cette opération à tout moment pour vous assurer que le chiffrement est disponible pour tous les utilisateurs ayant besoin de chiffrer ou déchiffrer du contenu. Pour en savoir plus, consultez Définir le service de clés par défaut pour votre organisation.

Si vous ajoutez un second service de clés

Vous devez convertir le service actuel en service de secours. Le service de secours chiffre le même contenu que le second service de clés. Il est nécessaire si vous souhaitez migrer du contenu chiffré vers le second service. Pour en savoir plus, consultez À propos du service de clés de secours ci-dessous.

Si vous disposez déjà d'au moins deux services de clés et que vous en ajoutez un autre

Vous devrez supprimer le service de secours du service principal actuel, puis choisir un service de secours pour le nouveau service. Vous pourrez également ajouter le nouveau service sans service de secours. Pour en savoir plus, consultez Ajouter un service de clés lorsqu'un autre service dispose d'un service de secours ci-dessous.

Utilisez éventuellement une convention d'attribution de nom pour les différents services de clés

Établissez une convention d'attribution de nom afin de pouvoir identifier facilement les services de clés, ainsi que les services et utilisateurs auxquels vous les appliquez. Par exemple, le nom peut faire référence à la région, à l'unité organisationnelle et au service de clés :

  • AMÉRIQUEDUNORD-R&D-service-clés1
  • EUROPE-RH-service-clés2
À propos du service de clés de secours
Si vous ajoutez plusieurs services de clés à la console d'administration, l'un d'eux doit servir de secours à un autre service.

Le service de secours est utilisé pour migrer du contenu

Si vous souhaitez migrer du contenu chiffré vers un nouveau service de clés, c'est-à-dire chiffrer une nouvelle fois le contenu déjà chiffré par votre service actuel, vous devez configurer le service de clés actuel en tant que service de secours de votre nouveau service. Comme le service de clés de secours chiffre le même contenu que son service principal, il garantit l'accessibilité au contenu en cas de problème lors de la migration. Pour en savoir plus sur la migration, consultez Migrer le contenu chiffré vers un nouveau service de clés.
Important : Un seul service de clés à la fois peut utiliser un service de clés de secours.

Exception concernant le CSE Gmail

Si vous ajoutez un nouveau service de clés et que vous configurez votre service actuel en tant que service de secours à l'aide de la console d'administration, seul le service de secours chiffre les e-mails (et non le nouveau service de clés). Pour changer le service de clés utilisé par Gmail, vous devez importer de nouveaux certificats ainsi que les métadonnées des clés privées encapsulées par le nouveau service à l'aide de l'API Gmail. Pour en savoir plus sur le changement de service de clés pour Gmail, consultez Changer le service de clés du CSE Gmail.
Ajouter un service de clés externe

Pour ce faire, vous devez être connecté en tant que super-administrateur.

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Chiffrement côté client.
  3. Sous Chiffrement avec un service de clés externe, effectuez l'une des opérations suivantes :
    • S'il s'agit du premier service de clés que vous ajoutez, cliquez sur Ajouter un service de clés externe.
    • Si vous ajoutez un service de clés supplémentaire, cliquez sur Ajouter.
  4. Saisissez le nom et l'URL du service de clés avec lequel vous vous êtes inscrit (ou créé à l'aide de l'API CSE). Pour en savoir plus, consultez Avant de commencer plus haut sur cette page.
  5. Si vous avez ajouté un second service de clés, cliquez sur Sélectionner le service de clés de secours, puis sélectionnez un service de clés de secours disponible. Cela vous permet de migrer du contenu chiffré vers le nouveau service de clés.

    Pour savoir comment migrer du contenu vers un nouveau service de clés, consultez Attribuer des services de clés pour le chiffrement côté client.

  6. Si vous disposez déjà d'au moins deux services de clés et que vous en ajoutez un autre, indiquez si vous ajoutez ou non un service de secours. Pour en savoir plus sur vos options, consultez Ajouter un service de clés lorsqu'un autre service dispose d'un service de secours ci-dessous.

    Pour fermer la boîte de dialogue Ajouter un service de clés externe sans sélectionner d'option, cliquez sur Annuler.

  7. Pour vérifier que Google Workspace peut communiquer avec le service de clés externe, cliquez sur Tester la connexion.
  8. Si la connexion aboutit, cliquez sur Ajouter ou Ajouter un service dans l'angle inférieur droit de la page.

S'il s'agit du premier service de clés que vous ajoutez :

Ajouter un service de clés lorsqu'un autre service dispose d'un service de secours

Si vous avez déjà ajouté au moins deux services de clés à la console d'administration, l'un d'eux sert de service de secours à l'autre. Si vous ajoutez un autre service de clés, vous ne pourrez pas lui attribuer de service de secours, car un seul service de clés à la fois peut disposer d'un service de secours. Par conséquent, lorsque vous ajoutez le nouveau service de clés, vous devez choisir une option, selon l'utilisation que vous souhaitez en faire.

Pour passer d'un service de clés existant à un nouveau 

Lorsque vous ajoutez un service de clés, sélectionnez l'option Supprimer le service de secours du service de clés, puis cliquez sur Supprimer le service de secours.

Vous pouvez maintenant ajouter le nouveau service de clés et sélectionner un service de secours. Vous pouvez ensuite migrer le contenu chiffré vers le nouveau service de clés. Pour en savoir plus, consultez Migrer le contenu chiffré vers un nouveau service de clés.

Recommandation : Choisissez cette option uniquement si le service de clés actuel ne présente aucun problème de chiffrement de contenu. De plus, si vous utilisez le service de clés de secours pour migrer du contenu vers votre service principal actuel, assurez-vous que la migration est bien terminée. Une fois le service de secours supprimé, la migration est immédiatement interrompue. Pour en savoir plus, consultez Migrer le contenu chiffré vers un nouveau service de clés.

Pour utiliser le nouveau service de clés sans migrer les données chiffrées 

Lorsque vous ajoutez un service de clés, sélectionnez l'option Ajouter un service de clés sans service de secours, puis cliquez sur Ajouter un service.

Recommandation : Choisissez cette option uniquement si vous souhaitez utiliser ce service de clés pour une unité organisationnelle ou un groupe qui ne dispose pas déjà de contenu chiffré avec un autre service de clés. Si le contenu est déjà chiffré, vous devrez conserver le service de clés existant pour vous assurer que le contenu chiffré est accessible.

Modifier un service de clés

Ouvrir la section  |  Tout réduire

Modifier le nom d'un service de clés

Pour ce faire, vous devez être connecté en tant que super-administrateur.

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Chiffrement côté client.
  3. Sous Service de clés externe, cliquez sur le nom du service de clés que vous souhaitez modifier.
  4. Modifiez le nom du service de clés.
  5. Cliquez sur Continuer.
Modifier l'URL d'un service de clés

Pour ce faire, vous devez être connecté en tant que super-administrateur.

Si vos utilisateurs ne parviennent pas à accéder au contenu chiffré par un service de clés, demandez au service de clé une nouvelle URL de chiffrement. Remplacez ensuite l'ancienne URL par la nouvelle dans la console d'administration afin que les utilisateurs puissent récupérer leur contenu.

Si les utilisateurs ne peuvent pas chiffrer les nouveaux contenus avec un service de clés, vous pouvez essayer d'attribuer un autre service de clés aux organisations ou aux groupes rencontrant des problèmes.

Si vous remplacez l'ancienne URL par une URL provenant d'un service de clés différent : les fichiers déjà chiffrés avec votre ancien service de clés ne pourront pas être déchiffrés, et les utilisateurs ne pourront pas accéder à leur contenu. 

Pour modifier l'URL d'un service de clés :

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Chiffrement côté client.
  3. Sous Service de clés externe, cliquez sur le nom du service de clés dont vous souhaitez modifier l'URL.
  4. Cliquez sur Un problème ?puisAjouter une URL.
  5. Pour vérifier que Google Workspace peut communiquer avec le service de clés externe, cliquez sur Tester la connexion.
  6. Si la connexion aboutit, cliquez sur Continuer dans l'angle inférieur droit de la page.
Supprimer le service de secours d'un service de clés

Vous pouvez supprimer le service de clés de secours d'un autre service de clés si :

  • vous n'en avez plus besoin pour migrer du contenu ; 
  • vous souhaitez ajouter un autre service de clés et devez choisir un service de secours afin de pouvoir migrer le contenu chiffré vers le nouveau service.

Pour en savoir plus sur la migration de contenu, consultez Migrer le contenu chiffré vers un nouveau service de clés.

Pour supprimer le service de clés de secours :

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Chiffrement côté client.
  3. Sous Service de clés externe, cliquez sur le nom du service de clés pour lequel vous souhaitez supprimer le service de secours.
  4. Cliquez sur Supprimer le service de secours.
  5. Cochez les cases sous Pour supprimer le service de secours, confirmez que vous comprenez ce qui suit.
  6. Cliquez sur Supprimer le service de secours.
Désactiver un service de clés disposant d'un service de secours

Vous pouvez désactiver un service de clés si un service de clés de secours lui est attribué. Par exemple, vous pouvez désactiver un service de clés et utiliser son service de secours si des utilisateurs rencontrent des problèmes pour accéder au contenu chiffré ou pour chiffrer du nouveau contenu. Comme le service de clés que vous souhaitez désactiver dispose d'un service de secours, le contenu chiffré côté client restera accessible.

Pour désactiver un service de clés et utiliser son service de secours :

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Chiffrement côté client.
  3. Sous Service de clés externe, cliquez sur le nom du service de clés pour lequel vous souhaitez supprimer le service de secours.
  4. Cliquez sur Désactiver et utiliser le service de secours.
  5. Cochez les cases sous En désactivant, je comprends ce qui suit.
  6. Cliquez sur Désactiver et utiliser le service de secours.

Si vous rencontrez des problèmes avec un service de clés

Ouvrir la section  |  Tout réduire

Les utilisateurs ne peuvent pas accéder au contenu chiffré
Il se peut qu'il y ait un problème avec la clé utilisée pour déchiffrer le contenu. Contactez votre service de clés pour demander une nouvelle URL. Pour en savoir plus sur la modification de l'URL d'un service de clés, consultez Modifier l'URL d'un service de clés ci-dessus.
Si le service de clés dispose d'un service de secours, essayez plutôt d'utiliser ce dernier. Pour en savoir plus, consultez Désactiver un service de clés disposant d'un service de secours ci-dessus.
Les utilisateurs ne peuvent pas chiffrer de nouveau contenu

Il se peut qu'il y ait un problème avec la clé utilisée pour chiffrer le contenu. Contactez votre service de clés actuel pour demander une nouvelle URL. Pour en savoir plus sur la modification de l'URL d'un service de clés, consultez Modifier l'URL d'un service de clés ci-dessus.

Vous pouvez également procéder comme suit :

Une fois la migration vers le nouveau service de clés terminée, les utilisateurs ne peuvent plus accéder au contenu chiffré ni chiffrer de nouveau contenu

Essayez plutôt d'utiliser le service de clés de secours. Pour en savoir plus, consultez Désactiver un service de clés disposant d'un service de secours ci-dessus.

Si les utilisateurs ne peuvent toujours pas accéder au contenu chiffré ni chiffrer de nouveau contenu, cela signifie qu'il y a un problème avec la clé de secours. Contactez votre service de clés pour obtenir de l'aide.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal