Как назначить пользователям шифрование на стороне клиента

Добавив в консоль администратора один или несколько внешних сервисов управления ключами для шифрования на стороне клиента в Google Workspace, необходимо назначить их организационным подразделениям или группам конфигурации. Назначить сервис управления ключами нужно для того, чтобы пользователи, добавленные в список контроля доступа к ключам внешнего сервиса, могли шифровать и расшифровывать контент.

Если вы настроили аппаратные ключи для шифрования на стороне клиента в Gmail, вам нужно назначить их организационным подразделениям или группам конфигурации. Requires having the Assured Controls or Assured Controls Plus add-on.

Для пользователей, которым необходимо шифровать контент, также нужно будет включить шифрование на стороне клиента. Подробнее о том, как включить или отключить шифрование на стороне клиента

Подготовка

Развернуть раздел  |  Свернуть все

Выполните описанные ниже действия
Назначьте стандартный сервис управления ключами
Чтобы шифрование на стороне клиента работало правильно во всей организации, сделайте внешний сервис управления ключами стандартным для этой организации. Например, если шифрование на стороне клиента включено для группы, но ее участники используют общий диск в организационном подразделении, для которого эта функция отключена, будет использоваться стандартный сервис управления ключами.
Когда вы впервые добавляете сервис управления ключами в консоль администратора, появляется запрос на назначение стандартного сервиса для организационного подразделения верхнего уровня. Если вы пока не назначили стандартный сервис, сделайте это, прежде чем включать шифрование на стороне клиента для пользователей. Подробнее о том, как назначить стандартный сервис управления ключами для организации
Если вы хотите использовать несколько сервисов управления ключами для разных пользователей
Для организационного подразделения или группы можно назначить сервис управления ключами, отличный от стандартного. Например, вы можете использовать разные сервисы управления ключами в разных офисах организации.
Если контент уже зашифрован с помощью текущего сервиса управления ключами, лучше всего перенести зашифрованный контент в новый сервис. Подробные сведения приведены в разделе Если вы хотите перейти на новый сервис управления ключами.
Если вы хотите перейти на новый сервис управления ключами
Если вы уже назначили сервис управления ключами для организационного подразделения или группы, вы можете перейти на другой сервис. Если какой-либо контент уже зашифрован с помощью текущего сервиса управления ключами, лучше всего перенести его в новый сервис. Подробнее о том, как перенести зашифрованный контент в новый сервис управления ключами
Если вы перешли на новый сервис управления ключами, но не перенесли контент, весь существующий зашифрованный контент останется зашифрованным только текущим сервисом, а не новым добавленным сервисом. Это означает, что вам придется продолжать пользоваться текущим сервисом, чтобы сохранить доступ к ранее зашифрованному контенту.

Как назначить сервис управления ключами

Как назначить стандартный сервис управления ключами для организации

Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.

  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемУправление доступом и даннымиа затемШифрование на стороне клиента.
  3. В разделе Шифрование с внешним сервисом управления ключами нажмите Назначить.
  4. На панели слева выберите Все пользователи в этом аккаунте или организационное подразделение верхнего уровня.
  5. Нажмите Сервис управления ключами и выберите в раскрывающемся списке сервис управления ключами.
  6. Нажмите Сохранить.

Как назначить другой сервис управления ключами определенным пользователям

Если вы добавили в консоль администратора несколько сервисов управления ключами, вы можете выбрать сервис, который будет отличаться от текущего сервиса, назначенного организационному подразделению или группе.

Важно! Если контент уже зашифрован с помощью текущего сервиса управления ключами, лучше всего перенести зашифрованный контент, чтобы не потерять доступ к нему. Подробнее о том, как перенести зашифрованный контент в новый сервис управления ключами

Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.

  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемУправление доступом и даннымиа затемШифрование на стороне клиента.
  3. В разделе Шифрование с внешним сервисом управления ключами нажмите Назначить.
  4. На панели слева выберите организационное подразделение или группу, для которых нужно использовать другой сервис управления ключами.
  5. Нажмите Сервис управления ключами и выберите в раскрывающемся списке новый сервис управления ключами.
  6. Если вы хотите, чтобы эта настройка продолжала действовать при изменении параметров для родительского организационного подразделения, нажмите Переопределить.
  7. Если для организационного подразделения уже установлено значение Переопределено, выберите подходящий вариант:
    • Наследовать – для подразделения начнут действовать настройки родительской организации.
    • Сохранить – будет применяться новое значение параметра, даже если настройки в родительской организации изменятся.

Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…

Как перенести зашифрованный контент в новый сервис управления ключами

Если вы больше не хотите использовать существующий сервис управления ключами, чтобы шифровать контент для организационного подразделения или группы, вы можете добавить новый сервис, а затем выбрать резервный сервис и перенести зашифрованный контент в новый сервис.

Развернуть раздел  |  Свернуть все

Подготовка к переносу

Какие сервисы поддерживаются?

В настоящее время можно переносить зашифрованный контент для следующих сервисов:

  • Google Диск и Документы;
  • Google Календарь.

Если вы хотите перейти на другой сервис управления ключами для шифрования на стороне клиента в Gmail, загрузите для каждого из пользователей новый сертификат S/MIME и ключи, зашифрованные новым сервисом, с помощью Gmail API. Подробнее о том, как загрузить ключи для шифрования на стороне клиента (только Gmail)

Google не расшифровывает контент

Google никогда не расшифровывает контент во время его переноса. Новый сервис "снимает" слой шифрования, созданный с помощью предыдущего сервиса, и заменяет его новым.

Это никак не влияет на пользователей

Во время переноса пользователи могут продолжать шифровать или просматривать зашифрованный контент без перерывов.

Статус переноса не указывается

Ход переноса и уведомления о проблемах не отображаются.

Сначала протестируйте перенос на небольшом количестве пользователей

Прежде чем переносить контент всех пользователей, попробуйте выполнить перенос для нескольких человек. Назначьте новый ключ только одному организационному подразделению или группе и включите перенос для этих пользователей, чтобы определить, есть ли проблемы с переносом.

После тестового переноса попробуйте зашифровать новый контент с помощью нового сервиса управления ключами и проверьте, можете ли вы по-прежнему использовать и редактировать ранее зашифрованный контент.

Как сократить время переноса

Чтобы минимизировать количество новых элементов, зашифрованных с помощью текущего сервиса управления ключами, начинайте полный перенос в часы сниженной нагрузки.

Шаг 1. Добавьте новый сервис управления ключами в консоль администратора
  • Если вы сейчас используете только один сервис управления ключами, добавьте новый сервис управления ключами и выберите текущий в качестве резервного. Подробнее о том, как добавить внешний сервис управления ключами
  • Если у какого-либо сервиса управления ключами, который вы сейчас используете, уже есть резервный сервис, удалите резервный сервис. Затем добавьте новый сервис управления ключами и выберите текущий сервис в качестве резервного для него.

    Важно! Если вы в настоящее время переносите контент из резервного сервиса, который собираетесь удалить, дождитесь завершения переноса. Как только вы удалите резервный сервис, перенос тут же прекратится. Подробные сведения можно найти в разделе Шаг 4. Проверьте, завершен ли перенос.

Шаг 2. Замените текущий сервис управления ключами новым сервисом
Добавив новый сервис управления ключами, назначьте его организационным подразделениям или группам. Подробнее о том, как назначить сервис управления ключами для шифрования на стороне клиента
Шаг 3. Включите перенос

Выбрав новый сервис управления ключами для организационного подразделения или группы, вы можете включить перенос, если у вас есть сервисы с ранее зашифрованным контентом, который можно перенести.

Время переноса зависит от того, какой объем контента был зашифрован с помощью текущего сервиса управления ключами, а также от скорости обработки нового сервиса. Чтобы увидеть прогресс в переносе контента, может потребоваться от нескольких часов до нескольких дней.

Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.

  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемУправление доступом и даннымиа затемШифрование на стороне клиента.
  3. В разделе Шифрование с внешним сервисом управления ключами нажмите Назначить.
  4. На панели слева выберите организационное подразделение или группу, для которых необходимо перенести контент в новый сервис.
  5. В разделе Перенос нажмите ВКЛ.

    Примечание. Эта возможность доступна, только если в разделе Перенос есть сервисы с зашифрованным ранее контентом.

  6. В запросе на подтверждение установите флажок, чтобы указать, что вы понимаете, что перенос нельзя отменить после его начала. Затем нажмите кнопку Сохранить.

Начнется процесс переноса.

Шаг 4. Проверьте, завершен ли перенос

Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.

  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемУправление доступом и даннымиа затемШифрование на стороне клиента.
  3. В разделе Шифрование с внешним сервисом управления ключами нажмите Назначить.
  4. На панели слева выберите организационное подразделение или группу, для которых необходимо перенести зашифрованный контент в новый сервис.
  5. В разделе Перенос проверьте количество элементов, зашифрованных с помощью предыдущего сервиса (который теперь является резервным).

    Если зашифрованных элементов нет, перенос завершен.

Шаг 5 (необязательный). Удалите резервный сервис управления ключами

Если перенос контента завершен и резервный сервис больше не нужен, вы можете удалить его из нового сервиса управления ключами. Подробнее о том, как удалить резервный сервис управления ключами

Как назначить шифрование с использованием аппаратных ключей (только Gmail)

Если вы настроили аппаратные ключи шифрования для всех или некоторых пользователей в организации для шифрования данных Gmail, вам нужно назначить их этим пользователям.

Если вы также используете сервис для управления ключами шифрования в Gmail, вы можете назначить аппаратные ключи шифрования тем же пользователям, для которых используется сервис управления ключами, но эти пользователи смогут шифровать данные Gmail, используя сервис управления ключами или аппаратный ключ в зависимости от того, как вы настроили их ключи шифрования для Gmail. Подробная информация приведена в статье "Как настроить Gmail API для шифрования на стороне клиента (только Gmail)".

Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.

  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемУправление доступом и даннымиа затемШифрование на стороне клиента.
  3. В разделе Шифрование с помощью аппаратных ключей нажмите Назначить.
  4. На панели слева выберите организационное подразделение или группу, для которых нужно использовать другой сервис управления ключами.
  5. Нажмите Аппаратные ключи шифрования и установите флажок.
  6. Если вы выбрали дочернее организационное подразделение, нажмите Переопределить, чтобы сохранить значение параметра в случае изменения настроек шифрования на стороне клиента для родительского подразделения.
  7. Если для организационного подразделения уже установлено значение Переопределено, выберите подходящий вариант:
    • Наследовать – для подразделения начнут действовать настройки родительской организации.
    • Сохранить – будет применяться новое значение параметра, даже если настройки в родительской организации изменятся.

Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
8351569252250281582
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false