Notificação

A Duet AI agora se chama Gemini para Google Workspace. Saiba mais

Atribuir criptografia do lado do cliente aos usuários

Depois que você adicionar um ou mais serviços de chave externos ao Admin Console para a criptografia do lado do cliente (CSE) do Google Workspace, eles vão precisar ser atribuídos a unidades organizacionais ou grupos de configuração. Ao atribuir um serviço de chaves, que os usuários adicionados à lista de controle de acesso a chaves (KACL, na sigla em inglês) do serviço externo possam criptografar e descriptografar conteúdo.

Se você tiver configurado a criptografia de chaves de hardware para a CSE do Gmail, ela vai precisar ser atribuída a unidades organizacionais ou grupos de configuração. Requires having the Assured Controls add-on.

Você também vai precisar ativar a CSE para usuários que precisam criptografar conteúdo. Saiba mais em Ativar ou desativar a criptografia do lado do cliente.

Antes de começar

Abrir seção  |  Recolher tudo

Confirme que você concluiu estas etapas
Atribuir um serviço de chaves padrão
Para garantir que os serviços da CSE funcionem corretamente em toda a organização, é necessário definir o serviço de chaves externo como padrão. Por exemplo, se a CSE estiver ativada para um grupo que usa um drive compartilhado em uma unidade organizacional onde a CSE está desativada, o serviço de chaves padrão vai ser usado. 
Ao adicionar seu primeiro serviço de chaves ao Admin Console, você vai ver uma solicitação para atribuir um serviço padrão à unidade organizacional de nível superior. Se você ainda não tiver atribuído o padrão, faça isso antes de ativar a CSE para os usuários. Confira mais instruções em Atribuir o serviço de chaves padrão para sua organização mais adiante nesta página.
Se você quiser usar vários serviços de chaves para usuários diferentes
É possível atribuir um serviço de chaves diferente do padrão para uma unidade organizacional ou um grupo. Por exemplo, caso você queira usar diferentes serviços de chave para locais distintos da organização.
Se o conteúdo já estiver criptografado com o serviço de chaves atual, é melhor migrar esse conteúdo para o novo serviço. Acesse Se você quiser mudar para um novo serviço de chaves mais adiante nesta página.
Se você quiser mudar para um novo serviço de chaves
Se já tiver atribuído um serviço de chaves a uma unidade organizacional ou um grupo, é possível mudar o serviço. Se um conteúdo já foi criptografado pelo serviço de chaves atual, a recomendação é migrar o conteúdo para o novo serviço.Saiba mais em Migrar conteúdo criptografado para um novo serviço de chaves mais adiante nesta página.
Se você mudar para um novo serviço de chaves sem migrar o conteúdo: todo o conteúdo criptografado atual vai continuar criptografado apenas pelo serviço atual, não pelo novo serviço adicionado. Isso significa que você precisa continuar usando o serviço atual para não perder o acesso ao conteúdo criptografado antes. 

Atribuir criptografia com um serviço de chaves

Atribuir o serviço de chaves padrão na sua organização

Para realizar essa tarefa, você precisa fazer login como um superadministrador.

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisCriptografia do lado do cliente.
  3. Em Criptografia com serviço de chaves externo, clique em Atribuir.
  4. No painel esquerdo, selecione Todos os usuários nesta conta ou a unidade organizacional de nível superior.
  5. Clique em Serviço de chaves e selecione uma opção na lista suspensa.
  6. Clique em Salvar.

Atribuir um serviço de chaves diferente para usuários específicos

Se você adicionou vários serviços de chaves ao Admin Console, pode atribuir um diferente do atual a uma unidade organizacional ou um grupo.

Importante: se o conteúdo já estiver criptografado com o serviço de chaves atual, é melhor migrar o conteúdo criptografado para o novo. Isso garante que o conteúdo criptografado no lado do cliente continue acessível.Saiba mais em Migrar conteúdo criptografado para um novo serviço de chaves mais adiante nesta página.

Para realizar essa tarefa, você precisa fazer login como um superadministrador.

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisCriptografia do lado do cliente.
  3. Em Criptografia com serviço de chaves externo, clique em Atribuir.
  4. No painel esquerdo, selecione uma unidade organizacional ou um grupo para usar um serviço de chaves diferente.
  5. Clique em Serviço de chaves e selecione o novo serviço na lista suspensa.
  6. Clique em Substituir para manter sua escolha se as configurações da CSE forem alteradas na unidade organizacional mãe.
  7. Caso a configuração já esteja definida como Modificado para a unidade organizacional, escolha uma opção:
    • Herdar: reverte para a configuração mãe.
    • Salvar: salva a nova configuração, mesmo que a configuração mãe seja alterada.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Migrar conteúdo criptografado para um novo serviço de chaves

Se você não quiser mais usar o serviço de chaves atual para criptografar o conteúdo de uma unidade organizacional ou um grupo, adicione um novo serviço, selecione o backup e migre o conteúdo criptografado.

Abrir seção  |  Recolher tudo

Antes de iniciar a migração

Quais serviços são compatíveis

No momento, é possível migrar conteúdo criptografado para os seguintes serviços:

  • Google Drive e Documentos
  • Google Agenda

Para mudar para outro serviço de chaves na CSE do Gmail: use a API Gmail e faça upload de um novo certificado S/MIME com chaves acondicionadas pelo novo serviço para cada usuário. Saiba mais em Somente no Gmail: fazer upload de chaves de criptografia para usar a criptografia do lado do cliente.

O Google não descriptografa conteúdo

Durante a migração, o Google nunca descriptografa conteúdo. O novo serviço desencapsula a camada de criptografia do serviço anterior e a substitui por uma nova.

Os usuários não são afetados

Durante a migração, os usuários podem continuar criptografando ou vendo conteúdo criptografado sem interrupções. 

O status da migração não está disponível

O status do progresso e a notificação dos problemas não estão disponíveis.

Primeiro, teste a migração de um pequeno número de usuários

A recomendação é testar primeiro um pequeno número de usuários antes de fazer a migração completa do conteúdo para todos. Para determinar se há algum problema de migração, atribua a nova chave somente a uma unidade organizacional ou um grupo e ative a migração para esses usuários.

Após esse teste, tente criptografar o conteúdo novo com o serviço de chaves mais recente e verifique se você ainda pode acessar e editar o conteúdo já criptografado.

Reduzir o tempo de migração

Para minimizar o número de novos itens criptografados com o serviço de chaves atual, inicie a migração completa durante os períodos de menor demanda.

Etapa 1: adicionar o novo serviço de chaves ao Admin Console
  • Se você estiver usando apenas um serviço de chaves: adicione o novo serviço de chaves e escolha o atual como backup. Saiba mais em Adicionar um serviço de chave externo.
  • Se algum serviço de chaves que você está usando já tem um serviço de backup: remova o backup do serviço de chaves.Saiba mais em Remover o backup de um serviço de chaves. Em seguida, adicione o novo serviço de chaves e selecione os atuais como backup.

    Importante: se você estiver migrando conteúdo que está no backup a ser removido, aguarde até que a migração seja concluída. Depois de remover o backup, a migração será interrompida imediatamente. Confira mais detalhes na Etapa 4: verificar se a migração foi concluída mais adiante nesta página.

Etapa 2: substituir o serviço de chaves atual pelo novo
Após adicionar o novo serviço de chaves, ele pode ser atribuído a unidades organizacionais ou grupos. Saiba mais em Atribuir um serviço de chaves para usar a criptografia do lado do cliente acima.
Etapa 3: ativar a migração

Depois de selecionar o novo serviço de chaves para um grupo ou uma unidade organizacional, é possível ativar a migração se houver serviços com conteúdo já criptografado que possam ser migrados.

O tempo de migração depende de quanto conteúdo foi criptografado com o serviço de chaves atual e da velocidade de processamento do novo serviço. A migração do conteúdo pode levar de algumas horas a vários dias. 

Para realizar essa tarefa, você precisa fazer login como um superadministrador.

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisCriptografia do lado do cliente.
  3. Em Criptografia com serviço de chaves externo, clique em Atribuir.
  4. No painel esquerdo, selecione a unidade organizacional ou o grupo onde está o conteúdo que você quer migrar para um novo serviço de chaves.
  5. Em Migração, clique em Ativar.

    Observação: essa opção só vai estar disponível se houver serviços com conteúdo criptografado na seção Migração.

  6. Na mensagem de confirmação, marque a caixa para indicar que você entende que a migração não pode ser revertida depois de começar. Em seguida, clique em Salvar.

O processo de migração é iniciado.

Etapa 4: conferir se a migração foi concluída

Para realizar essa tarefa, você precisa fazer login como um superadministrador.

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisCriptografia do lado do cliente.
  3. Em Criptografia com serviço de chaves externo, clique em Atribuir.
  4. No painel esquerdo, selecione a unidade organizacional ou o grupo onde está o conteúdo criptografado que você quer migrar para um novo serviço de chaves.
  5. Em Migração, confira o número de itens criptografados com o serviço anterior (que agora é o backup).

    Se não houver itens criptografados, a migração vai ser concluída.

Etapa 5 (opcional): remover o serviço de chave de backup

Se a migração de conteúdo estiver concluída e você não quiser mais usar o serviço de backup, ele poderá ser removido do novo serviço de chaves. Saiba mais em Remover o backup de um serviço de chaves.

Atribuir criptografia com chaves de hardware (somente no Gmail)

Se você quiser configurar a criptografia de chaves de hardware para todos ou alguns membros da organização que usam o Gmail, ela precisa ser atribuída a eles.

Se você também estiver usando um serviço de chaves de criptografia no Gmail: a criptografia de chaves de hardware poderá ser atribuída aos mesmos usuários do serviço de chaves. No entanto, esses usuários vão criptografar o Gmail com o serviço de chaves ou uma chave de hardware, dependendo de como você configurou as chaves para o Gmail. Saiba mais em "Somente no Gmail: configurar a API Gmail para usar a criptografia do lado do cliente".

Para realizar essa tarefa, você precisa fazer login como um superadministrador.

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisCriptografia do lado do cliente.
  3. Em Criptografia com chaves de hardware, clique em Atribuir.
  4. No painel esquerdo, selecione uma unidade organizacional ou um grupo para usar um serviço de chaves diferente.
  5. Clique em Criptografia de chaves de hardware e marque a caixa.
  6. Se você tiver selecionado uma unidade organizacional filha, clique em Substituir para manter sua escolha se as configurações da CSE forem alteradas na unidade organizacional mãe.
  7. Caso a configuração já esteja definida como Modificado para a unidade organizacional, escolha uma opção:
    • Herdar: reverte para a configuração mãe.
    • Salvar: salva a nova configuração, mesmo que a configuração mãe seja alterada.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Postar na Comunidade de Ajuda Receber respostas dos membros da comunidade
Fale conosco Conte mais sobre o problema para podermos ajudar você
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
1520493620701402078
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false