Asignar cifrado del lado del cliente a los usuarios

Una vez que hayas añadido uno o varios servicios de claves externos a tu consola de administración para el cifrado por parte del cliente (CPC) de Google Workspace, deberás asignarlos a unidades organizativas o grupos de configuración. Al asignar un servicio de claves, los usuarios que hayas añadido a la lista de control de acceso de claves de tu servicio externo podrán cifrar y descifrar contenido.

Si has configurado el cifrado de claves de hardware para el CLC de Gmail, deberás asignarlo a unidades organizativas o grupos de configuración. Requires having the Assured Controls or Assured Controls Plus add-on.

Si los usuarios necesitan cifrar contenido, también deberás activar el CPC. Consulta más información en el artículo Activar o desactivar el cifrado del lado del cliente.

Antes de empezar

Abrir sección  |  Ocultar todo

Asegúrate de asignar un servicio de claves predeterminado
Para que los servicios de CPC funcionen correctamente en toda tu organización, tendrás que configurar tu servicio de claves externo como el servicio predeterminado en toda la organización. Por ejemplo, si el CPC está activado en un grupo, pero sus miembros están usando una unidad compartida en una unidad organizativa que lo tiene desactivado, en ese caso se utiliza el servicio de claves predeterminado. 
Cuando añadas tu primer servicio de claves a la consola de administración, se te pedirá que asignes un servicio predeterminado a la unidad organizativa de nivel superior. Si aún no lo has asignado, hazlo antes de activar el CPC para los usuarios. Puedes consultar las instrucciones en la sección Asignar un servicio de claves predeterminado a una organización que aparece más adelante en esta página.
Si quieres usar varios servicios de claves para diferentes usuarios
Puedes asignar un servicio de claves distinto del predeterminado a una unidad organizativa o a un grupo. Por ejemplo, es posible que quieras utilizar servicios de claves diferentes en las distintas ubicaciones de tu organización.
Si el contenido ya está cifrado con el servicio de claves que usas actualmente, te recomendamos que lo migres al nuevo servicio. Consulta la sección Si quieres cambiar a un nuevo servicio de claves que aparece más adelante en esta página.
Si quieres cambiar a un nuevo servicio de claves
Si ya habías asignado un servicio de claves a una unidad organizativa o a un grupo, puedes cambiarlo por otro servicio. Si ya hay contenidos cifrados con tu servicio de claves actual, te recomendamos que los migres al nuevo servicio.Para obtener más información, consulta la sección Migrar contenido cifrado a un nuevo servicio de claves, que aparece más adelante en esta página.
Si cambias a un nuevo servicio de claves, pero no migras el contenido, el contenido que ya esté cifrado seguirá estándolo, pero solo por parte del servicio que estabas usando y no por parte del nuevo que hayas añadido. Por lo tanto, deberás seguir usando tu servicio actual para acceder al contenido que se había cifrado previamente. 

Asignar cifrado con un servicio de claves

Asignar un servicio de claves predeterminado a una organización

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAcceso y control de datosy luegoCifrado por parte del cliente.
  3. En Cifrado con servicio de claves externo, haz clic en Asignar.
  4. En el panel de la izquierda, selecciona Todos los usuarios de esta cuenta o la unidad organizativa de nivel superior.
  5. Haz clic en Servicio de claves y selecciona el servicio en la lista desplegable.
  6. Haz clic en Guardar.

Asignar un servicio de claves diferente a usuarios concretos

Si has añadido varios servicios de claves a la consola de administración, puedes seleccionar uno distinto al que esté asignado actualmente a una unidad organizativa o a un grupo.

Importante: Si el contenido ya está cifrado con el servicio de claves que usas actualmente, te recomendamos que lo migres al nuevo servicio para poder seguir accediendo al contenido existente cifrado por parte del cliente.Para obtener más información, consulta la sección Migrar contenido cifrado a un nuevo servicio de claves, que aparece más adelante en esta página.

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAcceso y control de datosy luegoCifrado por parte del cliente.
  3. En Cifrado con servicio de claves externo, haz clic en Asignar.
  4. En el panel de la izquierda, selecciona las unidades organizativas o los grupos en los que quieras usar un servicio de claves diferente.
  5. Haz clic en Servicio de claves y selecciona el nuevo servicio en la lista desplegable.
  6. Haz clic en Anular para que se mantenga tu configuración si los ajustes de CPC cambian en la unidad organizativa superior.
  7. Si el estado de la unidad organizativa ya es Anulado, elige una opción:
    • Heredar: el ajuste de CPC pasa a ser el de la unidad organizativa superior.
    • Guardar: se guarda el nuevo ajuste de CPC, aunque cambie en el nivel organizativo superior.

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

Migrar contenido cifrado a un nuevo servicio de claves

Si ya no quieres utilizar tu servicio de claves actual para cifrar contenido de una unidad organizativa o un grupo, puedes añadir un servicio nuevo, seleccionar el servicio de repuesto y migrar el contenido cifrado al nuevo servicio.

Abrir sección  |  Ocultar todo

Antes de iniciar la migración

Consulta los servicios compatibles

Actualmente, puedes migrar contenido cifrado en los siguientes servicios:

  • Google Drive y Documentos de Google
  • Google Calendar

Si quieres cambiar a otro servicio de claves para el CPC de Gmail: utiliza la API de Gmail para subir un nuevo certificado S/MIME por cada usuario con las claves encapsuladas por el nuevo servicio. Para obtener más información, consulta el artículo Solo Gmail: subir claves de cifrado para el cifrado del lado del cliente.

Google no descifrará el contenido

Durante la migración, Google nunca descifrará el contenido. El nuevo servicio retirará la capa de cifrado del servicio anterior y la sustituirá por otra nueva.

Los usuarios no se verán afectados

Durante la migración, los usuarios podrán seguir cifrando contenido o viendo contenido cifrado sin interrupciones. 

No podrás consultar el estado de la migración

No podrás consultar el estado del progreso ni recibir notificaciones de cualquier problema que pueda surgir.

Prueba primero la migración en un número reducido de usuarios

Antes de migrar todo el contenido de los usuarios, te recomendamos que pruebes primero con un número reducido de ellos. Asigna la nueva clave a una única unidad organizativa o grupo, y activa la migración solo para esos usuarios para determinar si hay algún problema en el proceso.

Una vez completada la migración de prueba, cifra nuevo contenido con el nuevo servicio de claves y comprueba si aún puedes acceder y editar el contenido que ya estaba cifrado.

Reduce el tiempo que lleva la migración

Para minimizar el número de nuevos elementos cifrados con tu servicio de claves actual, inicia la migración completa cuando no haya mucho tráfico.

Paso 1: Añade el nuevo servicio de claves a la consola de administración
  • Si solo usas un servicio de claves, añade el nuevo servicio y selecciona el actual como el de repuesto. Consulta más información en el artículo Añadir un servicio de claves externo.
  • Si el servicio de claves que estás usando ya tiene un servicio de repuesto, quita ese servicio de repuesto.Para obtener más información, consulta el artículo sobre cómo quitar el servicio de repuesto de un servicio de claves. A continuación, añade el nuevo servicio de claves y selecciona los servicios que ya tienes como repuesto.

    Importante: Si estás migrando contenido desde el servicio de repuesto que quieres quitar, espera hasta que se complete. Una vez quitado el servicio de repuesto, las migraciones se detendrán de inmediato. Para obtener más información, consulta la sección Paso 4: Comprueba si se ha completado la migración, que aparece más adelante en esta página.

Paso 2: Sustituye tu servicio de claves actual por el nuevo servicio de claves
Una vez que hayas añadido el nuevo servicio de claves, tendrás que asignarlo a unidades organizativas o grupos. Para obtener más información, consulta el artículo sobre Asignar un servicio de claves para el cifrado por parte del cliente.
Paso 3: Activa la migración

Una vez que hayas seleccionado el nuevo servicio de claves para una unidad organizativa o un grupo, puedes activar la migración si hay algún servicio con contenido ya cifrado que se pueda migrar.

El tiempo que tardará la migración dependerá de cuánto contenido haya cifrado tu servicio de claves actual y de la velocidad de procesamiento del nuevo servicio de claves. El progreso de la migración de contenido puede tardar desde unas horas a varios días en reflejarse. 

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAcceso y control de datosy luegoCifrado por parte del cliente.
  3. En Cifrado con servicio de claves externo, haz clic en Asignar.
  4. En el panel de la izquierda, selecciona la unidad organizativa o el grupo del que quieras migrar contenido a un nuevo servicio de claves.
  5. En Migración, haz clic en Activar.

    Nota: Esta opción solo está disponible si hay servicios en Migración cuyo contenido ya se haya cifrado.

  6. En el mensaje de confirmación, marca la casilla para indicar que entiendes que la migración no se puede deshacer una vez que comience. A continuación, haz clic en Guardar.

En ese momento comenzará el proceso de migración.

Paso 4: Comprueba si se ha completado la migración

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAcceso y control de datosy luegoCifrado por parte del cliente.
  3. En Cifrado con servicio de claves externo, haz clic en Asignar.
  4. En el panel de la izquierda, selecciona la unidad organizativa o el grupo del que quieras migrar contenido cifrado a un nuevo servicio de claves.
  5. En Migración, comprueba el número de elementos cifrados con el servicio anterior (que ahora es el servicio de repuesto).

    Si no hay elementos cifrados, la migración habrá finalizado.

Paso 5 (opcional): Quita el servicio de claves de repuesto

Si la migración de contenido ha finalizado y ya no quieres utilizar el servicio de repuesto, puedes quitarlo del nuevo servicio de claves. Para obtener más información, consulta el artículo sobre cómo quitar el servicio de repuesto de un servicio de claves.

Asignar el cifrado con claves de hardware (solo Gmail)

Si configuras el cifrado de claves de hardware para cifrar Gmail con todos o algunos usuarios de tu organización, debes asignarlo a esos usuarios.

Si también utilizas un servicio de claves de cifrado para Gmail, podrás asignar el cifrado de claves de hardware a los mismos usuarios que el servicio de claves. No obstante, esos usuarios cifrarán Gmail ya sea mediante el servicio de claves o con una clave de hardware, en función de cómo hayas configurado sus claves de cifrado para Gmail. Para obtener más información, consulta el artículo Solo Gmail: configura la API de Gmail para el cifrado del lado del cliente.

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAcceso y control de datosy luegoCifrado por parte del cliente.
  3. En Cifrado con claves de hardware, haz clic en Asignar.
  4. En el panel de la izquierda, selecciona las unidades organizativas o los grupos en los que quieras usar un servicio de claves diferente.
  5. Haz clic en Cifrado de claves de hardware y marca la casilla.
  6. Si has seleccionado una unidad organizativa secundaria, haz clic en Anular para que se mantenga tu configuración si los ajustes de CLC cambian en la unidad organizativa superior.
  7. Si el estado de la unidad organizativa ya es Anulado, elige una opción:
    • Heredar: el ajuste de CPC pasa a ser el de la unidad organizativa superior.
    • Guardar: se guarda el nuevo ajuste de CPC, aunque cambie en el nivel organizativo superior.

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal