Depois que você adicionar um ou mais serviços de chave externos ao Admin Console para a criptografia do lado do cliente (CSE) do Google Workspace, eles vão precisar ser atribuídos a unidades organizacionais ou grupos de configuração. Ao atribuir um serviço de chaves, que os usuários adicionados à lista de controle de acesso a chaves (KACL, na sigla em inglês) do serviço externo possam criptografar e descriptografar conteúdo.
Se você tiver configurado a criptografia de chaves de hardware para a CSE do Gmail, ela vai precisar ser atribuída a unidades organizacionais ou grupos de configuração. Requires having the Assured Controls add-on.
Você também vai precisar ativar a CSE para usuários que precisam criptografar conteúdo. Saiba mais em Ativar ou desativar a criptografia do lado do cliente.
Antes de começar
Atribuir criptografia com um serviço de chaves
Atribuir o serviço de chaves padrão na sua organização
Para realizar essa tarefa, você precisa fazer login como um superadministrador.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
- No Admin Console, acesse Menu SegurançaAcesso e controle de dadosCriptografia do lado do cliente.
- Em Criptografia com serviço de chaves externo, clique em Atribuir.
- No painel esquerdo, selecione Todos os usuários nesta conta ou a unidade organizacional de nível superior.
- Clique em Serviço de chaves e selecione uma opção na lista suspensa.
- Clique em Salvar.
Atribuir um serviço de chaves diferente para usuários específicos
Se você adicionou vários serviços de chaves ao Admin Console, pode atribuir um diferente do atual a uma unidade organizacional ou um grupo.
Importante: se o conteúdo já estiver criptografado com o serviço de chaves atual, é melhor migrar o conteúdo criptografado para o novo. Isso garante que o conteúdo criptografado no lado do cliente continue acessível.Saiba mais em Migrar conteúdo criptografado para um novo serviço de chaves mais adiante nesta página.
Para realizar essa tarefa, você precisa fazer login como um superadministrador.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
- No Admin Console, acesse Menu SegurançaAcesso e controle de dadosCriptografia do lado do cliente.
- Em Criptografia com serviço de chaves externo, clique em Atribuir.
- No painel esquerdo, selecione uma unidade organizacional ou um grupo para usar um serviço de chaves diferente.
- Clique em Serviço de chaves e selecione o novo serviço na lista suspensa.
- Clique em Substituir para manter sua escolha se as configurações da CSE forem alteradas na unidade organizacional mãe.
- Caso a configuração já esteja definida como Modificado para a unidade organizacional, escolha uma opção:
- Herdar: reverte para a configuração mãe.
- Salvar: salva a nova configuração, mesmo que a configuração mãe seja alterada.
As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais
Migrar conteúdo criptografado para um novo serviço de chaves
Se você não quiser mais usar o serviço de chaves atual para criptografar o conteúdo de uma unidade organizacional ou um grupo, adicione um novo serviço, selecione o backup e migre o conteúdo criptografado.
Quais serviços são compatíveis
No momento, é possível migrar conteúdo criptografado para os seguintes serviços:
- Google Drive e Documentos
- Google Agenda
Para mudar para outro serviço de chaves na CSE do Gmail: use a API Gmail e faça upload de um novo certificado S/MIME com chaves acondicionadas pelo novo serviço para cada usuário. Saiba mais em Somente no Gmail: fazer upload de chaves de criptografia para usar a criptografia do lado do cliente.
O Google não descriptografa conteúdo
Durante a migração, o Google nunca descriptografa conteúdo. O novo serviço desencapsula a camada de criptografia do serviço anterior e a substitui por uma nova.
Os usuários não são afetados
Durante a migração, os usuários podem continuar criptografando ou vendo conteúdo criptografado sem interrupções.
O status da migração não está disponível
O status do progresso e a notificação dos problemas não estão disponíveis.
Primeiro, teste a migração de um pequeno número de usuários
A recomendação é testar primeiro um pequeno número de usuários antes de fazer a migração completa do conteúdo para todos. Para determinar se há algum problema de migração, atribua a nova chave somente a uma unidade organizacional ou um grupo e ative a migração para esses usuários.
Após esse teste, tente criptografar o conteúdo novo com o serviço de chaves mais recente e verifique se você ainda pode acessar e editar o conteúdo já criptografado.
Reduzir o tempo de migração
Para minimizar o número de novos itens criptografados com o serviço de chaves atual, inicie a migração completa durante os períodos de menor demanda.
- Se você estiver usando apenas um serviço de chaves: adicione o novo serviço de chaves e escolha o atual como backup. Saiba mais em Adicionar um serviço de chave externo.
- Se algum serviço de chaves que você está usando já tem um serviço de backup: remova o backup do serviço de chaves.Saiba mais em Remover o backup de um serviço de chaves. Em seguida, adicione o novo serviço de chaves e selecione os atuais como backup.
Importante: se você estiver migrando conteúdo que está no backup a ser removido, aguarde até que a migração seja concluída. Depois de remover o backup, a migração será interrompida imediatamente. Confira mais detalhes na Etapa 4: verificar se a migração foi concluída mais adiante nesta página.
Depois de selecionar o novo serviço de chaves para um grupo ou uma unidade organizacional, é possível ativar a migração se houver serviços com conteúdo já criptografado que possam ser migrados.
O tempo de migração depende de quanto conteúdo foi criptografado com o serviço de chaves atual e da velocidade de processamento do novo serviço. A migração do conteúdo pode levar de algumas horas a vários dias.
Para realizar essa tarefa, você precisa fazer login como um superadministrador.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
- No Admin Console, acesse Menu SegurançaAcesso e controle de dadosCriptografia do lado do cliente.
- Em Criptografia com serviço de chaves externo, clique em Atribuir.
- No painel esquerdo, selecione a unidade organizacional ou o grupo onde está o conteúdo que você quer migrar para um novo serviço de chaves.
- Em Migração, clique em Ativar.
Observação: essa opção só vai estar disponível se houver serviços com conteúdo criptografado na seção Migração.
- Na mensagem de confirmação, marque a caixa para indicar que você entende que a migração não pode ser revertida depois de começar. Em seguida, clique em Salvar.
O processo de migração é iniciado.
Para realizar essa tarefa, você precisa fazer login como um superadministrador.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
- No Admin Console, acesse Menu SegurançaAcesso e controle de dadosCriptografia do lado do cliente.
- Em Criptografia com serviço de chaves externo, clique em Atribuir.
- No painel esquerdo, selecione a unidade organizacional ou o grupo onde está o conteúdo criptografado que você quer migrar para um novo serviço de chaves.
- Em Migração, confira o número de itens criptografados com o serviço anterior (que agora é o backup).
Se não houver itens criptografados, a migração vai ser concluída.
Se a migração de conteúdo estiver concluída e você não quiser mais usar o serviço de backup, ele poderá ser removido do novo serviço de chaves. Saiba mais em Remover o backup de um serviço de chaves.
Atribuir criptografia com chaves de hardware (somente no Gmail)
Se você quiser configurar a criptografia de chaves de hardware para todos ou alguns membros da organização que usam o Gmail, ela precisa ser atribuída a eles.
Se você também estiver usando um serviço de chaves de criptografia no Gmail: a criptografia de chaves de hardware poderá ser atribuída aos mesmos usuários do serviço de chaves. No entanto, esses usuários vão criptografar o Gmail com o serviço de chaves ou uma chave de hardware, dependendo de como você configurou as chaves para o Gmail. Saiba mais em "Somente no Gmail: configurar a API Gmail para usar a criptografia do lado do cliente".
Para realizar essa tarefa, você precisa fazer login como um superadministrador.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
- No Admin Console, acesse Menu SegurançaAcesso e controle de dadosCriptografia do lado do cliente.
- Em Criptografia com chaves de hardware, clique em Atribuir.
- No painel esquerdo, selecione uma unidade organizacional ou um grupo para usar um serviço de chaves diferente.
- Clique em Criptografia de chaves de hardware e marque a caixa.
- Se você tiver selecionado uma unidade organizacional filha, clique em Substituir para manter sua escolha se as configurações da CSE forem alteradas na unidade organizacional mãe.
- Caso a configuração já esteja definida como Modificado para a unidade organizacional, escolha uma opção:
- Herdar: reverte para a configuração mãe.
- Salvar: salva a nova configuração, mesmo que a configuração mãe seja alterada.
As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais