Définir le chiffrement côté client pour les utilisateurs

Après avoir ajouté un ou plusieurs services de clés externes à votre console d'administration pour le chiffrement côté client (CSE) Google Workspace, vous devez les attribuer à des unités organisationnelles ou à des groupes de configuration. L'attribution d'un service de clés permet aux utilisateurs que vous avez ajoutés à la liste de contrôle d'accès aux clés de votre service externe de chiffrer et de déchiffrer du contenu.

Si vous avez configuré le chiffrement par clé matérielle pour le CSE Gmail, vous devez l'attribuer à des unités organisationnelles ou à des groupes de configuration. Requires having the Assured Controls add-on.

Pour les utilisateurs qui doivent chiffrer du contenu, vous devez également activer le CSE. Pour en savoir plus, consultez Activer ou désactiver le chiffrement côté client.

Avant de commencer

Ouvrir la section  |  Tout réduire

Assurez-vous d'attribuer un service de clés par défaut
Pour garantir le bon fonctionnement des services de CSE au sein de votre organisation, vous devez définir un service de clés externe comme service par défaut pour l'ensemble de votre organisation. Par exemple, si le CSE est activé pour un groupe, mais que les membres du groupe utilisent le Drive partagé d'une unité organisationnelle pour laquelle il est désactivé, le service de clés par défaut est utilisé. 
Lorsque vous ajoutez votre premier service de clés dans la console d'administration, vous êtes invité à attribuer un service par défaut à l'unité organisationnelle racine. Si vous ne l'avez pas encore attribué, veillez à le faire avant d'activer le CSE pour les utilisateurs. Pour obtenir des instructions, consultez Définir le service de clés par défaut pour votre organisation plus bas sur cette page.
Si vous souhaitez utiliser plusieurs services de clés pour différents utilisateurs
Vous pouvez attribuer un service de clés différent de celui par défaut à une unité organisationnelle ou un groupe. Par exemple, vous pouvez utiliser différents services de clés pour différents emplacements de votre organisation.
Si le contenu est déjà chiffré avec le service de clés actuel, il est préférable de migrer le contenu chiffré vers le nouveau service. Consultez Si vous souhaitez changer de service de clés plus bas sur cette page.
Si vous souhaitez changer de service de clés
Si vous avez déjà attribué un service de clés à une unité organisationnelle ou un groupe, vous pouvez changer de service. Si du contenu est déjà chiffré par le service de clés actuel, il est recommandé de migrer le contenu vers le nouveau service. Pour en savoir plus, consultez Migrer le contenu chiffré vers un nouveau service de clés plus bas sur cette page.
Si vous changez de service de clés sans migrer le contenu, le contenu chiffré existant restera chiffré uniquement via le service actuel, et non via le nouveau service. Vous devrez donc continuer à utiliser le service actuel pour pouvoir accéder au contenu précédemment chiffré.

Définir le chiffrement avec un service de clés

Définir le service de clés par défaut pour votre organisation

Pour ce faire, vous devez être connecté en tant que super-administrateur.

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Chiffrement côté client.
  3. Sous Chiffrement avec un service de clés externe, cliquez sur Attribuer.
  4. Dans le panneau de gauche, sélectionnez Tous les utilisateurs de ce compte ou l'unité organisationnelle racine.
  5. Cliquez sur Service de clés, puis sélectionnez votre service de clés dans la liste déroulante.
  6. Cliquez sur Enregistrer.

Attribuer un service de clés différent à des utilisateurs spécifiques

Si vous avez ajouté plusieurs services de clés à votre console d'administration, vous pouvez modifier le service de clés attribué à une unité organisationnelle ou un groupe.

Important : Si le contenu est déjà chiffré avec le service de clés actuel, il est préférable de migrer le contenu chiffré vers le nouveau service pour pouvoir continuer à accéder au contenu chiffré côté client. Pour en savoir plus, consultez Migrer le contenu chiffré vers un nouveau service de clés plus bas sur cette page.

Pour ce faire, vous devez être connecté en tant que super-administrateur.

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Chiffrement côté client.
  3. Sous Chiffrement avec un service de clés externe, cliquez sur Attribuer.
  4. Dans le panneau de gauche, sélectionnez l'unité organisationnelle ou le groupe pour lequel vous souhaitez utiliser un autre service de clés.
  5. Cliquez sur Service de clés, puis sélectionnez le nouveau service de clés dans la liste déroulante.
  6. Cliquez sur Remplacer pour conserver la configuration dans les cas où les paramètres de CSE de l'unité organisationnelle parente sont modifiés.
  7. Si Remplacé est déjà défini pour l'unité organisationnelle, sélectionnez une option :
    • Hériter : rétablit le paramètre de CSE du parent.
    • Enregistrer : conserve votre nouveau paramètre de CSE, même si celui du parent est modifié.

Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus

Migrer le contenu chiffré vers un nouveau service de clés

Si vous ne souhaitez plus utiliser votre service de clés existant pour chiffrer le contenu d'une unité organisationnelle ou d'un groupe, vous pouvez ajouter un service, sélectionner le service de secours et migrer le contenu chiffré vers le nouveau service.

Ouvrir la section  |  Tout réduire

Avant de commencer la migration

Quels sont les services compatibles ?

Vous pouvez actuellement migrer du contenu chiffré pour les services suivants :

  • Google Drive et Docs
  • Google Agenda

Pour changer le service de clés du CSE Gmail : vous devez utiliser l'API Gmail afin d'importer un nouveau certificat S/MIME avec des clés encapsulées par le nouveau service de clés pour chaque utilisateur. Pour en savoir plus, consultez Importer des clés de chiffrement pour le chiffrement côté client (Gmail uniquement).

Google ne déchiffre aucun contenu

Lors de la migration, Google ne déchiffre jamais de contenu. Le nouveau service désencapsule la couche de chiffrement de l'ancien service et la remplace par une nouvelle couche.

Cette opération n'a aucune incidence sur les utilisateurs

Pendant la migration, les utilisateurs peuvent continuer à chiffrer ou à afficher le contenu chiffré sans interruption. 

L'état de la migration n'est pas disponible

L'état d'avancement et la notification des problèmes ne sont pas disponibles.

Tester d'abord la migration sur un nombre restreint d'utilisateurs

Il est recommandé de tester d'abord la migration sur un petit nombre d'utilisateurs avant de migrer le contenu de tous les utilisateurs. Attribuez la nouvelle clé à une seule unité organisationnelle ou à un seul groupe, puis activez la migration pour ces utilisateurs afin de déceler d'éventuels problèmes.

Après le test de migration, chiffrez du contenu nouveau avec le nouveau service de clés, puis vérifiez si vous pouvez toujours accéder au contenu chiffré précédemment et le modifier.

Réduire le temps de migration

Pour limiter le nombre d'éléments nouveaux chiffrés avec le service de clés actuel, lancez la migration totale pendant les périodes creuses.

Étape 1 : Ajouter le nouveau service de clés à la console d'administration
  • Si vous n'utilisez qu'un seul service de clés, ajoutez le nouveau service et utilisez le service actuel comme service de secours. Pour en savoir plus, consultez Ajouter un service de clés externe.
  • Si un service de clés que vous utilisez dispose déjà d'un service de secours, supprimez le service de secours du service de clés. Pour en savoir plus, consultez Supprimer le service de secours d'un service de clés. Ajoutez ensuite le nouveau service de clés, puis sélectionnez les services actuels en tant que services de secours.

    Important : Si vous êtes en train de migrer du contenu à partir du service de secours que vous devez supprimer, attendez que la migration soit terminée. Une fois le service de secours supprimé, la migration s'interrompt immédiatement. Pour en savoir plus, consultez Étape 4 : Vérifier si la migration est terminée plus bas sur cette page.

Étape 2 : Remplacer le service de clés actuel par le nouveau service de clés
Après avoir ajouté le nouveau service de clés, attribuez-le à des unités organisationnelles ou des groupes. Pour en savoir plus, consultez Attribuer un service de clés pour le chiffrement côté client ci-dessus.
Étape 3 : Activer la migration

Après avoir sélectionné le nouveau service de clés pour une unité organisationnelle ou un groupe, vous pouvez activer la migration si des services avec du contenu chiffré précédemment peuvent être migrés.

Le temps de migration dépend de la quantité de contenu chiffré avec le service de clés actuel et de la vitesse de traitement du nouveau service de clés. La migration du contenu peut prendre entre quelques heures et plusieurs jours. 

Pour ce faire, vous devez être connecté en tant que super-administrateur.

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Chiffrement côté client.
  3. Sous Chiffrement avec un service de clés externe, cliquez sur Attribuer.
  4. Dans le panneau de gauche, sélectionnez l'unité organisationnelle ou le groupe pour lequel vous souhaitez migrer du contenu vers un nouveau service de clés.
  5. Sous Migration, cliquez sur Activé.

    Remarque : Cette option n'est disponible que si des services avec du contenu chiffré précédemment sont répertoriés sous Migration.

  6. Dans le message de confirmation, cochez la case indiquant que vous comprenez que la migration est irréversible une fois lancée. Cliquez ensuite sur Enregistrer.

Le processus de migration commence.

Étape 4 : Vérifier si la migration est terminée

Pour ce faire, vous devez être connecté en tant que super-administrateur.

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Chiffrement côté client.
  3. Sous Chiffrement avec un service de clés externe, cliquez sur Attribuer.
  4. Dans le panneau de gauche, sélectionnez l'unité organisationnelle ou le groupe pour lequel vous souhaitez migrer du contenu chiffré vers un nouveau service de clés.
  5. Sous Migration, vérifiez le nombre d'éléments chiffrés avec le service précédent (qui est désormais le service de secours).

    S'il n'y a pas d'éléments chiffrés, la migration est terminée.

Étape 5 : (Facultatif) Supprimer le service de clés de secours

Si la migration de contenu est terminée et que vous ne souhaitez plus utiliser le service de secours, vous pouvez le supprimer du nouveau service de clés. Pour en savoir plus, consultez Supprimer le service de secours d'un service de clés.

Définir le chiffrement avec des clés matérielles (Gmail uniquement)

Si vous configurez le chiffrement par clé matérielle pour tous les utilisateurs de votre organisation ou seulement certains d'entre eux afin de chiffrer Gmail, vous devez le définir pour ces utilisateurs.

Si vous utilisez également un service de clés de chiffrement pour Gmail : vous pouvez attribuer le chiffrement par clé matérielle aux mêmes utilisateurs que le service de clés. Toutefois, ces utilisateurs chiffreront Gmail à l'aide du service de clés ou d'une clé matérielle, selon la configuration de leurs clés de chiffrement pour Gmail. Pour en savoir plus, consultez "Configurer l'API Gmail pour le chiffrement côté client (Gmail uniquement)".

Pour ce faire, vous devez être connecté en tant que super-administrateur.

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Chiffrement côté client.
  3. Sous Chiffrement avec des clés matérielles, cliquez sur Attribuer.
  4. Dans le panneau de gauche, sélectionnez l'unité organisationnelle ou le groupe pour lequel vous souhaitez utiliser un autre service de clés.
  5. Cliquez sur Chiffrement par clé matérielle, puis cochez la case.
  6. Si vous avez sélectionné une unité organisationnelle enfant, cliquez sur Ignorer pour conserver la configuration en cas de modification des paramètres de CSE de l'unité organisationnelle parente.
  7. Si Remplacé est déjà défini pour l'unité organisationnelle, sélectionnez une option :
    • Hériter : rétablit le paramètre de CSE du parent.
    • Enregistrer : conserve votre nouveau paramètre de CSE, même si celui du parent est modifié.

Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal