Edições compatíveis com este recurso: Enterprise Plus; Education Standard e Education Plus. Comparar sua edição
Requires having the Assured Controls add-on.
Se a organização usa cartões inteligentes, como os de verificação de identidade pessoal (PIV, na sigla em inglês), para acessar instalações e sistemas, é possível realizar a criptografia do lado do cliente (CSE) do Gmail usando chaves de hardware em vez de um serviço de chaves de criptografia.
Na criptografia de chaves de hardware, a chave privada de um usuário fica no cartão inteligente dele. Os usuários precisam inserir o cartão inteligente em um leitor conectado ao dispositivo Windows para assinar e descriptografar mensagens de e-mail no Gmail. A chave pública é usada para criptografar mensagens.
Visão geral da configuração
Para configurar a criptografia de chaves de hardware, siga estas etapas:
- Instale o app Google Workspace Hardware Key no dispositivo Windows para cada usuário que precisa criptografar e-mails.Esse app começa como um serviço executado em uma porta específica e interage com o cartão inteligente de um usuário para lidar com criptografia e descriptografia.
- Ative a criptografia de chave de hardware no Admin Console digitando o número da porta que o Google Workspace vai usar para se comunicar com o app Hardware Key nos dispositivos Windows dos usuários.
Após concluir essas etapas, será possível atribuir a criptografia de chaves de hardware aos usuários e ativar a CSE no Gmail.
Requisitos de configuração
Os dispositivos dos usuários precisam:
- Estar executando o Microsoft Windows 10 ou posterior
- Ter um leitor de cartão inteligente conectado ao dispositivo
- Ter um cartão inteligente com a chave de criptografia privada
Etapa 1: instalar o app Google Workspace Hardware Key
O app Hardware Key do Google Workspace serve para usar a criptografia de chaves de hardware para criptografar o Gmail no lado do cliente. Assim, os usuários podem usar as próprias chaves privadas nos cartões inteligentes (como cartões PIV) para assinar e criptografar e-mails.
Etapa 2: ativar a criptografia de chaves de hardware
Depois de instalar o aplicativo Google Workspace Hardware Key nos dispositivos Windows dos usuários, a criptografia de chaves de hardware pode ser ativada no Admin Console.
Antes de começar: verifique se você tem o número da porta selecionado ao instalar o app Hardware Key.
Para ativar a criptografia com chaves de hardware, siga estas etapas:
Para realizar essa tarefa, você precisa fazer login como um superadministrador.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
- No Admin Console, acesse Menu SegurançaAcesso e controle de dadosCriptografia do lado do cliente.
- Em Criptografia com chaves de hardware, clique em Adicionar número da porta.
- Digite o número da porta que você selecionou ao instalar o app Hardware Key.
-
Clique em Salvar.
Próximas etapas
Depois de instalar o aplicativo Google Workspace Hardware Key e ativar a criptografia de chaves de hardware no Admin Console, você vai precisar fazer o seguinte:
- Atribuir criptografia de chaves de hardware aos usuários. Saiba mais em Atribuir a criptografia do lado do cliente a usuários.
- Conectar ao seu provedor de identidade (IdP). Saiba mais em Conectar-se ao provedor de identidade para usar a criptografia do lado do cliente.
- Ativar a API Gmail e fazer o upload dos certificados de criptografia dos usuários para o Gmail. Saiba mais em Somente no Gmail: fazer upload de chaves de criptografia para usar a criptografia do lado do cliente.
Gerenciar a criptografia de chaves de hardware
Mudar o número da porta para a criptografia de chaves de hardware
Se o número da porta em que o Google Workspace se comunica com o leitor de cartão inteligente nos dispositivos Windows dos usuários mudar, ele vai precisar ser atualizado no Admin Console para os usuários continuarem usando a CSE do Gmail.
Para atualizar o número da porta da criptografia de chaves de hardware:
Para realizar essa tarefa, você precisa fazer login como um superadministrador.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
- No Admin Console, acesse Menu SegurançaAcesso e controle de dadosCriptografia do lado do cliente.
- Em Criptografia com chaves de hardware, clique em Editar.
- Digite o número da nova porta.
-
Clique em Salvar.
Se um usuário precisar de um novo cartão inteligente
- Se o novo cartão inteligente do usuário tiver a mesma chave de criptografia do cartão anterior, basta usar o cartão novo.
- Se o novo cartão inteligente do usuário tiver uma nova chave de criptografia, será necessário fazer upload de novos certificados de chave pública para o Gmail usando a API Gmail. Saiba mais em Somente no Gmail: fazer upload de chaves de criptografia para usar a criptografia do lado do cliente.