Edições compatíveis com este recurso: Enterprise Plus; Education Standard e Education Plus. Comparar sua edição
Antes de começar a configurar a criptografia do lado do cliente (CSE) do Google Workspace, consulte os requisitos, as opções de chave de criptografia e a visão geral da configuração.
Requisitos da CSE
Você precisa de privilégios de superadministrador do Google Workspace para gerenciar a CSE da sua organização, incluindo:
- Adicionar e gerenciar serviços de chaves
- Atribuir serviços de chaves a unidades organizacionais e grupos
- Ativar ou desativar a CSE para os usuários
Requisitos da licença do usuário
- Para usar a CSE, os usuários precisam de uma licença do Google Workspace Enterprise Plus ou do Google Workspace for Education Plus para:
- Criar ou fazer upload de conteúdo criptografado do lado do cliente
- Realizar reuniões criptografadas
- Enviar ou receber e-mails criptografados
- Os usuários podem ter qualquer tipo de licença do Google Workspace ou do Cloud Identity para:
- Acessar, editar ou fazer o download de conteúdo criptografado do lado do cliente
- Participar de uma reunião com a CSE
- Os usuários com uma Conta do Google pessoal (como as do Gmail) não podem acessar o conteúdo criptografado do lado do cliente, enviar e-mails criptografados nem participar de reuniões com criptografia do lado do cliente.
Requisitos do navegador
Para ver ou editar conteúdo criptografado do lado do cliente, os usuários precisam usar o navegador Google Chrome ou o Microsoft Edge (Chromium).
É possível permitir que usuários externos acessem conteúdo criptografado do lado do cliente. Para acessar as mensagens criptografadas dos seus usuários, os usuários externos só precisam usar o S/MIME. Para outros conteúdos, os requisitos variam de acordo com o método usado para fornecer acesso externo. Saiba mais em Conceder acesso externo a conteúdo criptografado do lado do cliente.
Entender as opções de chave de criptografia
- Use um serviço de chaves de criptografia externo que tem parceria com o Google. Seu serviço de chaves vai orientar você na configuração do serviço do Google Workspace.Saiba mais em Escolher seu serviço de chaves para usar a criptografia do lado do cliente.
- Crie seu próprio serviço de chaves usando a API Google Workspace CSE.
Requires having the Assured Controls add-on.
Visão geral da configuração da CSE
Confira um resumo das etapas necessárias para configurar a criptografia do lado do cliente de Google Workspace.A forma de configuração da CSE depende do tipo de chave de criptografia que você quer usar.
Se você estiver usando um serviço de chaves de criptografia externo
Siga estas etapas para configurar a criptografia nos apps Drive, Agenda e Meet. Siga estas etapas para o Gmail, a menos que você queira apenas usar chaves de criptografia de hardware no Gmail.
| Etapa | Descrição | Como concluir esta etapa |
|---|---|---|
| Etapa 1: escolher o serviço de chaves de criptografia externo |
Inscreva-se com um dos parceiros de serviços de chaves de criptografia do Google ou crie seu próprio serviço usando a API Google Workspace CSE. O serviço de chaves controla as chaves de criptografia de nível superior que protegem seus dados.
|
Escolher seu serviço de chaves para usar a criptografia do lado do cliente |
| Etapa 2: conectar Google Workspace ao seu provedor de identidade |
Conecte-se a um IdP terceirizado ou à identidade do Google usando o Admin Console ou um arquivo .well-known hospedado no seu servidor. Seu IdP verifica a identidade dos usuários antes de permitir que eles criptografem conteúdo ou acessem conteúdo criptografado. |
Conectar-se ao provedor de identidade para usar a criptografia do lado do cliente (CSE) |
| Etapa 3: configurar o serviço de chaves externo | Trabalhe com seu parceiro de serviços de chaves para configurar o serviço para usar a criptografia do lado do cliente do Google Workspace. | Configurar seu serviço de chaves para usar a criptografia do lado do cliente |
| Etapa 4: adicionar as informações do serviço de chaves ao Admin Console |
Adicione o URL do seu serviço de chaves externo ao Admin Console para conectar o serviço ao Google Workspace. É possível adicionar vários serviços de chaves para atribuir diferentes serviços a unidades organizacionais ou grupos específicos. |
Adicionar e gerenciar serviços de chaves para usar a criptografia do lado do cliente |
| Etapa 5: atribuir seu serviço de chaves aos usuários | Atribua um ou vários serviços a unidades organizacionais e grupos. Atribua um serviço de chaves como o padrão na sua organização. | Atribuir criptografia do lado do cliente aos usuários |
| Etapa 5: (apenas CSE do Gmail) fazer upload das chaves de criptografia dos usuários |
Crie um projeto do Google Cloud Platform (CGP) e ative a API Gmail. Em seguida, conceda à API acesso a toda a organização, ative a CSE para usuários do Gmail e faça upload de chaves de criptografia privadas e públicas no Gmail. Observação: essa etapa exige experiência com APIs e scripts Python. |
Somente no Gmail: fazer upload de chaves para usar a criptografia do lado do cliente |
| Etapa 6: ativar a CSE para os usuários | Ative a CSE para unidades ou grupos da organização com usuários que precisam criar conteúdo criptografado do lado do cliente. | Ativar ou desativar a CSE para os usuários |
| Etapa 7 (opcional): configurar o acesso externo | Para acessar o conteúdo criptografado do Gmail, os usuários externos só precisam do S/MIME. Caso contrário, há dois métodos para fornecer acesso externo, dependendo da organização e do conteúdo. | Conceder acesso externo a conteúdo criptografado do lado do cliente |
| Etapa 8: (opcional) importar mensagens para o Gmail como e-mails criptografados do lado do cliente | Caso sua organização tenha mensagens em outro serviço ou em outro formato de criptografia, como administrador, você poderá migrar essas mensagens para o Gmail como mensagens criptografadas do lado do cliente no formato S/MIME. | Migrar mensagens para o Gmail como e-mails criptografados do lado do cliente |
Se você usa chaves de criptografia de hardware no Gmail
Requires having the Assured Controls add-on.
Siga estas etapas se você quiser configurar chaves de criptografia de hardware para todos ou alguns usuários do Gmail em vez de um serviço de chaves externo.
| Etapa | Descrição | Como concluir esta etapa |
|---|---|---|
| Etapa 1: conectar Google Workspace ao seu provedor de identidade | Conecte-se a um IdP terceirizado ou à identidade do Google usando o Admin Console ou um arquivo .well-known hospedado no seu servidor. Seu IdP verifica a identidade dos usuários antes de permitir que eles criptografem conteúdo ou acessem conteúdo criptografado. | Conectar-se ao provedor de identidade para usar a criptografia do lado do cliente (CSE) |
| Etapa 2: configurar as chaves de criptografia de hardware |
Instale o app de chave de hardware Google Workspace nos dispositivos Windows dos usuários. Observação: essa etapa exige experiência de trabalho com scripts do PowerShell. |
Somente no Gmail: configurar e gerenciar chaves de criptografia de hardware |
| Etapa 3: adicionar informações de criptografia de hardware ao Admin Console | Digite o número da porta pela qual o Google Workspace se comunicará com o leitor de cartão inteligente nos dispositivos Windows dos usuários. | Somente no Gmail: configurar e gerenciar chaves de criptografia de hardware |
| Etapa 4: atribuir criptografia de hardware aos usuários | Atribua a criptografia de chaves de hardware a unidades organizacionais e grupos. | Atribuir criptografia do lado do cliente aos usuários |
| Etapa 5: fazer upload das chaves de criptografia públicas dos usuários |
Crie um projeto do Google Cloud Platform (CGP) e ative a API Gmail. Em seguida, conceda à API acesso a toda a organização, ative a CSE para usuários do Gmail e faça upload de chaves de criptografia públicas para o Gmail. Observação: essa etapa exige experiência com APIs e scripts Python. |
Somente no Gmail: fazer upload de chaves para usar a criptografia do lado do cliente |
| Etapa 6: (opcional) importar mensagens para o Gmail como e-mails criptografados do lado do cliente | Caso sua organização tenha mensagens em outro serviço ou em outro formato de criptografia, como administrador, você poderá migrar essas mensagens para o Gmail como mensagens criptografadas do lado do cliente no formato S/MIME. | Migrar mensagens para o Gmail como e-mails criptografados do lado do cliente |
