Ediciones compatibles con esta función: Enterprise Plus y Education Standard y Education Plus. Comparar ediciones
Antes de empezar a configurar el cifrado del lado del cliente (CLC) de Google Workspace, revisa los requisitos, las opciones de las claves de cifrado y el resumen de la configuración.
Requisitos del CLC
Para gestionar el CLC en tu organización, debes tener privilegios de superadministrador en Google Workspace; por ejemplo:
- Añadir y gestionar servicios de claves
- Asignar servicios de claves a unidades organizativas y grupos
- Activar o desactivar el CLC para los usuarios
Requisitos de las licencias de usuario
- Los usuarios deben tener una licencia de Google Workspace Enterprise Plus o Google Workspace Education Plus si quieren utilizar el CPC con acciones como:
- Crear o subir contenido cifrado del lado del cliente
- Organizar reuniones cifradas
- Enviar o recibir correos cifrados
- Para otras acciones como las siguientes, los usuarios pueden tener cualquier tipo de licencia de Google Workspace o de Cloud Identity:
- Ver, editar o descargar contenido CLC
- Participar en una reunión con CLC
- Los usuarios que tengan una cuenta de consumidor de Google (como los usuarios de Gmail) no pueden acceder a contenido con CLC, enviar correos cifrados ni participar en reuniones que incluyan este método de seguridad.
Requisitos del navegador
Para ver o editar contenido con CLC, los usuarios deben hacerlo desde los navegadores Google Chrome o Microsoft Edge (Chromium).
Puedes permitir que los usuarios externos accedan a contenido cifrado del lado del cliente. Para acceder a los mensajes cifrados de Gmail de tus usuarios, los usuarios externos solo tienen que utilizar S/MIME. Para otros tipos de contenido, los requisitos varían en función del método que utilice para proporcionar el acceso externo. Para obtener más información, consulta el artículo Proporcionar acceso externo a contenido cifrado del lado del cliente.
Opciones de claves de cifrado
- Usar un servicio de claves de cifrado externo asociado a Google, que te guiará a la hora de configurar el servicio para Google Workspace. Consulta más información en el artículo Elegir tu servicio de claves para el cifrado del lado del cliente.
- Crea tu propio servicio de claves con la API de CLC de Google Workspace.
Requires having the Assured Controls add-on.
Descripción general de la configuración del CLC
A continuación, puedes ver los pasos que deberás seguir para configurar el CLC de Google Workspace. La forma de configurar el CLC depende del tipo de claves de cifrado que quieras utilizar.
Si utilizas un servicio de claves de cifrado externo
Sigue estos pasos para configurar el cifrado de Google Drive, Google Calendar y Google Meet. También deberás seguir estos pasos en el caso de Gmail, a menos que quieras utilizar únicamente claves de cifrado de hardware en Gmail.
| Step | Descripción | Cómo completar este paso |
|---|---|---|
| Paso 1: Elige tu servicio de claves de cifrado externo |
Regístrate con uno de los partners de servicios de claves de cifrado de Google o crea tu propio servicio con la API de CLC de Google Workspace. Tu servicio de claves controla las claves de cifrado de nivel superior que protegen tus datos.
|
Elegir tu servicio de claves para el cifrado del lado del cliente |
| Paso 2: Conecta Google Workspace a tu proveedor de identidades |
Conéctate a un proveedor de identidades de terceros o a una identidad de Google, ya sea mediante la consola de administración o con un archivo .well-known alojado en tu servidor. Tu IdP verifica la identidad de los usuarios antes de permitirles cifrar contenido o acceder a contenido cifrado. |
Conectarse al proveedor de identidades para el cifrado por parte del cliente |
| Paso 3: Configura tu servicio de claves externo | Ponte en contacto con tu partner de servicios de claves para configurar el servicio de cifrado del lado del cliente de Google Workspace. | Configurar el servicio de claves para el cifrado por parte del cliente |
| Paso 4: Añade la información de tu servicio de claves a la consola de administración |
Añade la URL de tu servicio de claves externo a la consola de administración para conectar el servicio a Google Workspace. Puedes añadir varios servicios de claves para asignar servicios de claves diferentes a unidades organizativas o grupos específicos. |
Añadir y gestionar servicios de claves para el cifrado por parte del cliente |
| Paso 5: Asigna tu servicio de claves a los usuarios | Asigna tu servicio de claves o varios servicios a tus unidades organizativas y grupos. Deberás asignar un servicio de claves como el predeterminado de tu organización. | Asignar cifrado del lado del cliente a los usuarios |
| Paso 5: (Solo en el caso del CLC de Gmail) Sube las claves de cifrado de los usuarios |
Crea un proyecto de Google Cloud Platform (GCP) y habilita la API de Gmail. A continuación, permite que la API acceda a toda tu organización, activa el CLP para los usuarios de Gmail y sube claves de cifrado públicas y privadas a Gmail. Nota: Para completar este paso, debes tener experiencia en el uso de APIs y de secuencias de comandos de Python. |
Solo Gmail: subir claves de cifrado para el cifrado del lado del cliente |
| Paso 6: Activa el CLC para los usuarios | Activa el CLC en todas las unidades organizativas o grupos de tu organización que tengan usuarios que necesiten crear contenido cifrado del lado del cliente. | Activar o desactivar el CPC para los usuarios |
| Paso 7: (Opcional) Configura el acceso externo | Para acceder al contenido de Gmail cifrado, los usuarios externos solo necesitan S/MIME. Si no, tienes dos métodos para proporcionar acceso externo, en función de la organización y del contenido. | Proporcionar acceso externo al contenido cifrado del lado del cliente |
| Paso 6: (Opcional) Importa mensajes a Gmail como correos cifrados del lado del cliente | Si tu organización tiene mensajes en otro servicio o en otro formato de cifrado, como administrador, puedes migrarlos a Gmail como mensajes cifrados del lado del cliente con el formato S/MIME. | Migrar mensajes a Gmail como correos cifrados del lado del cliente |
Si utilizas claves de cifrado de hardware en Gmail
Requires having the Assured Controls add-on.
Sigue estos pasos si quieres configurar claves de cifrado de hardware para todos o algunos de tus usuarios de Gmail, en lugar de configurar un servicio de claves externo.
| Step | Descripción | Cómo completar este paso |
|---|---|---|
| Paso 1: Conecta Google Workspace a tu proveedor de identidades | Conéctate a un proveedor de identidades de terceros o a una identidad de Google, ya sea mediante la consola de administración o con un archivo .well-known alojado en tu servidor. Tu IdP verifica la identidad de los usuarios antes de permitirles cifrar contenido o acceder a contenido cifrado. | Conectarse al proveedor de identidades para el cifrado por parte del cliente |
| Paso 2: Configura tus claves de cifrado de hardware |
Instala la aplicación Hardware Key de Google Workspace en los dispositivos Windows de los usuarios. Nota: Para completar este paso, debes tener experiencia trabajando con secuencias de comandos de PowerShell. |
Solo Gmail: configurar y gestionar claves de cifrado de hardware |
| Paso 3: Añade información sobre el cifrado de hardware a la consola de administración | Introduce el número de puerto en el que Google Workspace se comunicará con el lector de tarjetas inteligentes en los dispositivos Windows de los usuarios. | Solo Gmail: configurar y gestionar claves de cifrado de hardware |
| Paso 4: Asigna el cifrado de hardware a los usuarios | Asigna el cifrado de claves de hardware a tus unidades organizativas y grupos. | Asignar cifrado del lado del cliente a los usuarios |
| Paso 5: Sube las claves de cifrado públicas de los usuarios |
Crea un proyecto de Google Cloud Platform (GCP) y habilita la API de Gmail. A continuación, permite que la API acceda a toda tu organización, activa el CLP para los usuarios de Gmail y sube claves de cifrado públicas a Gmail. Nota: Para completar este paso, debes tener experiencia en el uso de APIs y de secuencias de comandos de Python. |
Solo Gmail: subir claves de cifrado para el cifrado del lado del cliente |
| Paso 6: (Opcional) Importa mensajes a Gmail como correos cifrados del lado del cliente | Si tu organización tiene mensajes en otro servicio o en otro formato de cifrado, como administrador, puedes migrarlos a Gmail como mensajes cifrados del lado del cliente con el formato S/MIME. | Migrar mensajes a Gmail como correos cifrados del lado del cliente |
