Dopo aver aggiunto alla Console di amministrazione uno o più servizi chiavi esterni per la crittografia lato client di Google Workspace, devi assegnarli alle unità organizzative o ai gruppi di configurazione. L'assegnazione di un servizio chiavi consente agli utenti che hai aggiunto all'elenco di controllo dell'accesso per le chiavi (KACL) del tuo servizio esterno di criptare e decriptare i contenuti.
Se hai configurato la crittografia della chiave hardware per la crittografia lato client di Gmail, devi assegnarla alle unità organizzative o ai gruppi di configurazione. Requires having the Assured Controls add-on.
Per gli utenti che devono criptare contenuti, dovrai anche attivare la crittografia lato client. Per maggiori dettagli, vedi Attivare o disattivare la crittografia lato client.
Prima di iniziare
Assegnare la crittografia con un servizio chiavi
Assegnare il servizio chiavi predefinito per la tua organizzazione
Per questa attività, devi aver eseguito l'accesso come super amministratore.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
- Nella Console di amministrazione, vai al Menu SicurezzaControllo dell'accesso e dei datiCrittografia lato client.
- In Crittografia con servizio chiavi esterno, fai clic su Assegna.
- Nel riquadro a sinistra, seleziona Tutti gli utenti presenti in questo account o l'unità organizzativa di primo livello.
- Fai clic su Servizio chiavi e seleziona il servizio chiavi dall'elenco a discesa.
- Fai clic su Salva.
Assegnare un servizio chiavi diverso a utenti specifici
Se hai aggiunto più servizi chiavi alla Console di amministrazione, puoi selezionarne uno diverso da quello attualmente assegnato a un'unità organizzativa o a un gruppo.
Importante: se i contenuti sono già criptati con il servizio chiavi attuale, ti consigliamo di eseguire la migrazione dei contenuti criptati al nuovo servizio per assicurarti che i contenuti criptati sul lato client esistenti rimangano accessibili.Per maggiori dettagli, vedi Eseguire la migrazione di contenuti criptati a un nuovo servizio chiavi più avanti in questa pagina.
Per questa attività, devi aver eseguito l'accesso come super amministratore.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
- Nella Console di amministrazione, vai al Menu SicurezzaControllo dell'accesso e dei datiCrittografia lato client.
- In Crittografia con servizio chiavi esterno, fai clic su Assegna.
- Nel riquadro a sinistra, seleziona l'unità organizzativa o il gruppo per cui vuoi utilizzare un servizio chiavi diverso.
- Fai clic su Servizio chiavi e seleziona il nuovo servizio chiavi dall'elenco a discesa.
- Fai clic su Ignora per conservare l'impostazione della crittografia lato client se questa viene modificata per l'unità organizzativa principale.
- Se lo stato dell'unità organizzativa è già impostato su Ignorato, scegli un'opzione:
- Eredita: ripristina l'impostazione della crittografia lato client prevista per il livello superiore.
- Salva: salva la nuova impostazione della crittografia lato client anche in caso di modifica dell'impostazione di livello superiore.
Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più
Eseguire la migrazione di contenuti criptati a un nuovo servizio chiavi
Se non vuoi più utilizzare il servizio chiavi esistente per criptare i contenuti di un'unità organizzativa o di un gruppo, puoi aggiungere un nuovo servizio, selezionare il servizio di backup ed eseguire la migrazione dei contenuti criptati al nuovo servizio.
Quali servizi sono supportati
Attualmente, puoi eseguire la migrazione di contenuti criptati per i seguenti servizi:
- Google Drive e Documenti
- Google Calendar
Per passare a un altro servizio chiavi per la crittografia lato client di Gmail: devi utilizzare l'API Gmail per caricare un nuovo certificato S/MIME con chiavi sottoposte a wrapping dal nuovo servizio chiavi per ogni utente. Per maggiori dettagli, vedi Solo Gmail: caricare le chiavi di crittografia per la crittografia lato client.
Google non decripta i contenuti
Durante la migrazione, Google non decripta mai i contenuti. Il nuovo servizio annulla il wrapping del livello di crittografia del servizio precedente e lo sostituisce con un nuovo livello di crittografia.
Non c'è alcun impatto sugli utenti
Durante la migrazione, gli utenti possono continuare a criptare o visualizzare i contenuti criptati senza interruzioni.
Lo stato della migrazione non è disponibile
Lo stato di avanzamento e la notifica di eventuali problemi non sono disponibili.
Provare prima la migrazione su un numero limitato di utenti
Ti consigliamo di provare la migrazione su un numero limitato di utenti prima di eseguire una migrazione completa sui contenuti di tutti gli utenti. Assegna il nuovo servizio chiavi a una sola unità organizzativa o a un solo gruppo e attiva la migrazione per questi utenti per determinare se si verificano problemi di migrazione.
Dopo la migrazione di prova, prova a criptare nuovi contenuti con il nuovo servizio chiavi e controlla se puoi ancora accedere ai contenuti criptati in precedenza e modificarli.
Ridurre i tempi della migrazione
Per ridurre al minimo il numero di nuovi elementi criptati con il servizio chiavi corrente, avvia la migrazione completa in periodi diversi da quelli di punta.
- Se al momento stai utilizzando un solo servizio chiavi: aggiungi il nuovo servizio chiavi e scegli il servizio attuale come backup. Per maggiori dettagli, vedi Aggiungere un servizio chiavi esterno.
- Se un servizio chiavi che stai utilizzando ha già un servizio di backup: rimuovi il backup dal servizio chiavi.Per maggiori dettagli, vedi Rimuovere il backup da un servizio chiavi. Quindi, aggiungi il nuovo servizio chiavi e seleziona i servizi correnti come backup.
Importante: se al momento stai eseguendo la migrazione di contenuti dal backup che devi rimuovere, attendi fino al completamento della migrazione. Una volta rimosso il backup, qualsiasi migrazione si interrompe immediatamente. Per maggiori dettagli, vai al Passaggio 4: controlla se la migrazione è stata completata più avanti in questa pagina.
Dopo aver selezionato il nuovo servizio chiavi per un'unità organizzativa o un gruppo, puoi attivare la migrazione, se ci sono servizi con contenuti criptati in precedenza che è possibile migrare.
Il tempo di migrazione varia a seconda della quantità di contenuti criptata con il servizio chiavi corrente e della velocità di elaborazione del nuovo servizio chiavi. L'avanzamento della migrazione dei contenuti può richiedere da alcune ore a diversi giorni.
Per questa attività, devi aver eseguito l'accesso come super amministratore.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
- Nella Console di amministrazione, vai al Menu SicurezzaControllo dell'accesso e dei datiCrittografia lato client.
- In Crittografia con servizio chiavi esterno, fai clic su Assegna.
- Nel riquadro a sinistra, seleziona l'unità organizzativa o il gruppo di cui vuoi migrare i contenuti in un nuovo servizio chiavi.
- In Migrazione, fai clic su On.
Nota: questa opzione è disponibile solo se sono presenti servizi con contenuti precedentemente criptati elencati in Migrazione.
- Nel messaggio di conferma, seleziona la casella per indicare che accetti che la migrazione non può essere annullata una volta avviata. Fai clic su Salva.
Il processo di migrazione viene avviato.
Per questa attività, devi aver eseguito l'accesso come super amministratore.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
- Nella Console di amministrazione, vai al Menu SicurezzaControllo dell'accesso e dei datiCrittografia lato client.
- In Crittografia con servizio chiavi esterno, fai clic su Assegna.
- Nel riquadro a sinistra, seleziona l'unità organizzativa o il gruppo di cui vuoi migrare i contenuti criptati in un nuovo servizio chiavi.
- In Migrazione, controlla il numero di elementi criptati con il servizio precedente (ora il servizio di backup).
Se non sono presenti elementi criptati, la migrazione è stata completata.
Se la migrazione dei contenuti è completa e non desideri più utilizzare il servizio di backup, puoi rimuoverlo dal nuovo servizio chiavi. Per maggiori dettagli, vedi Rimuovere il backup da un servizio chiavi.
Assegnare la crittografia con chiavi hardware (solo Gmail)
Se configuri la crittografia della chiave hardware per tutti gli utenti della tua organizzazione o solo per alcuni per criptare Gmail, devi assegnarla a questi utenti.
Se utilizzi anche un servizio chiavi di crittografia per Gmail: puoi assegnare la crittografia della chiave hardware agli stessi utenti del servizio chiavi. Tuttavia, questi utenti criptano Gmail utilizzando o il servizio chiavi o una chiave hardware, a seconda di come hai configurato le loro chiavi di crittografia per Gmail. Per maggiori dettagli, visita Solo Gmail: configura l'API Gmail per la crittografia lato client.
Per questa attività, devi aver eseguito l'accesso come super amministratore.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
- Nella Console di amministrazione, vai al Menu SicurezzaControllo dell'accesso e dei datiCrittografia lato client.
- In Crittografia con chiavi hardware, fai clic su Assegna.
- Nel riquadro a sinistra, seleziona l'unità organizzativa o il gruppo per cui vuoi utilizzare un servizio chiavi diverso.
- Fai clic su Crittografia della chiave hardware e seleziona la casella.
- Se hai selezionato un'unità organizzativa secondaria, fai clic su Override per mantenere l'impostazione in caso di modifica delle impostazioni della crittografia lato client per l'unità organizzativa principale.
- Se lo stato dell'unità organizzativa è già impostato su Ignorato, scegli un'opzione:
- Eredita: ripristina l'impostazione della crittografia lato client prevista per il livello superiore.
- Salva: salva la nuova impostazione della crittografia lato client anche in caso di modifica dell'impostazione di livello superiore.
Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più