Эта функция доступна в версиях Enterprise Plus, Education Standard и Education Plus. Сравнение версий
Прежде чем приступать к настройке шифрования на стороне клиента в Google Workspace, ознакомьтесь с требованиями, вариантами ключей шифрования и общими сведениями о настройке.
Требования для шифрования на стороне клиента
Развернуть раздел | Свернуть все
Чтобы настроить шифрование на стороне клиента в организации, нужны права суперадминистратора для Google Workspace, включая следующие:
- добавление сервисов управления ключами и управление этими сервисами;
- назначение сервисов управления ключами организационным подразделениям и группам;
- включение и отключение шифрования на стороне клиента для пользователей.
Требования к пользовательским лицензиям
- Только пользователи с лицензией Google Workspace Enterprise Plus или Google Workspace for Education Plus могут использовать шифрование на стороне клиента, чтобы:
- создавать и загружать зашифрованные файлы;
- проводить зашифрованные встречи;
- отправлять и получать зашифрованные электронные письма.
- Пользователи с любой лицензией Google Workspace или Cloud Identity могут:
- просматривать, редактировать и скачивать зашифрованный на стороне клиента контент;
- присоединяться к зашифрованной на стороне клиента встрече.
- Пользователи с обычным аккаунтом Google (например, пользователи Gmail) не получат доступ к зашифрованному на стороне клиента контенту, а также не смогут отправлять зашифрованные электронные письма и участвовать в зашифрованных на стороне клиента встречах.
Требования к браузеру
Просматривать и редактировать зашифрованный на стороне клиента контент можно только в браузерах Google Chrome и Microsoft Edge (Chromium).
Вы можете предоставить внешним пользователям доступ к зашифрованному на стороне клиента контенту. Чтобы получить доступ к зашифрованным письмам Gmail сотрудников организации, внешним пользователям нужно использовать S/MIME. Для другого контента требования зависят от способа внешнего доступа. Подробнее о том, как предоставить внешний доступ к зашифрованному на стороне клиента контенту…
Варианты ключей шифрования
Развернуть раздел | Свернуть все
- Воспользоваться сторонним сервисом управления ключами шифрования, который является партнером Google. От него вы получите инструкции по настройке для Google Workspace. Подробнее о том, как выбрать сервис управления ключами для шифрования на стороне клиента…
- Создать собственный сервис управления ключами, используя Google Workspace CSE API.
Requires having the Assured Controls add-on.
Общие сведения о настройке шифрования на стороне клиента
Ниже приведены инструкции по настройке шифрования на стороне клиента в Google Workspace. Способ настройки шифрования на стороне клиента зависит от того, какой тип ключей шифрования вы хотите использовать.
Если вы используете внешний сервис управления ключами шифрования
Следуйте приведенным ниже инструкциям, чтобы настроить шифрование для Google Диска, Календаря и Meet. Эти же инструкции применимы к Gmail, если вы не хотите использовать для этого сервиса только аппаратные ключи шифрования.
| Шаг | Описание | Инструкции |
|---|---|---|
| Шаг 1. Выберите внешний сервис управления ключами шифрования |
Зарегистрируйтесь в сервисе управления ключами, предоставляемом партнером Google, или создайте собственный сервис на основе Google Workspace CSE API. Он будет управлять ключами шифрования верхнего уровня, которые обеспечивают защиту ваших данных.
|
Как выбрать сервис управления ключами для шифрования на стороне клиента |
| Шаг 2. Подключите Google Workspace к поставщику идентификационной информации |
Подключитесь к сервису стороннего поставщика идентификационной информации или Google с помощью консоли администратора или файла .well-known, размещенного на вашем сервере. Поставщик идентификационной информации будет проверять личность пользователей, прежде чем разрешать им шифровать контент или получать доступ к зашифрованному контенту. |
Как установить подключение к поставщику идентификационной информации для шифрования на стороне клиента |
| Шаг 3. Настройте внешний сервис управления ключами | Настройте сервис управления ключами для работы с Google Workspace. | Как настроить сервис управления ключами для шифрования на стороне клиента |
| Шаг 4. Добавьте информацию о сервисе управления ключами в консоль администратора |
Добавьте URL внешнего сервиса управления ключами в консоль администратора, чтобы подключить сервис к Google Workspace. Если вам нужны разные сервисы для разных организационных подразделений или групп, можно добавить сразу несколько. |
Как добавить сервис управления ключами для шифрования на стороне клиента и управлять им |
| Шаг 5. Назначьте сервис управления ключами пользователям | Назначьте один или несколько сервисов управления ключами организационным подразделениям и группам. Один сервис управления ключами нужно назначить как стандартный для всей организации. | Как назначить пользователям шифрование на стороне клиента |
| Шаг 5 (только Gmail). Загрузите ключи шифрования пользователей |
Создайте проект Google Cloud Platform и включите Gmail API. Затем предоставьте API доступ ко всей организации, включите шифрование на стороне клиента для пользователей Gmail, а также загрузите закрытые и открытые ключи в Gmail. Примечание. Для выполнения этого шага необходим опыт использования API и скриптов Python. |
Как загрузить ключи для шифрования на стороне клиента (только Gmail) |
| Шаг 6. Включите шифрование на стороне клиента для пользователей | Вы можете включить шифрование на стороне клиента для любых организационных подразделений и групп, пользователям которых нужно создавать зашифрованный контент. | Как включить или отключить шифрование на стороне клиента для пользователей |
| Шаг 7. Настройте внешний доступ (необязательно) | Для доступа к зашифрованному контенту Gmail внешним пользователям нужно использовать S/MIME. В остальных случаях внешний доступ можно предоставить одним из двух способов в зависимости от организации и контента. | Как предоставить внешний доступ к зашифрованному на стороне клиента контенту |
| Шаг 8. Перенесите в Gmail письма в виде зашифрованных на стороне клиента объектов (необязательно) | Если у вашей организации есть письма в другом сервисе или другом формате шифрования, администратор может перенести их в Gmail как зашифрованные на стороне клиента письма в формате S/MIME. | Как перенести в Gmail письма в виде зашифрованных на стороне клиента объектов |
Если вы используете аппаратные ключи шифрования для Gmail
Requires having the Assured Controls add-on.
Выполните перечисленные ниже действия, если вы хотите настроить вместо внешнего сервиса управления ключами аппаратные ключи шифрования для всех или части пользователей Gmail.
| Шаг | Описание | Инструкции |
|---|---|---|
| Шаг 1. Подключите Google Workspace к поставщику идентификационной информации | Подключитесь к сервису стороннего поставщика идентификационной информации или Google с помощью консоли администратора или файла .well-known, размещенного на вашем сервере. Поставщик идентификационной информации будет проверять личность пользователей, прежде чем разрешать им шифровать контент или получать доступ к зашифрованному контенту. | Как установить подключение к поставщику идентификационной информации для шифрования на стороне клиента |
| Шаг 2. Настройте аппаратные ключи шифрования |
Установите приложение Google Workspace Hardware Key на устройства Windows пользователей. Примечание. Для выполнения этого шага нужно уметь использовать скрипты PowerShell. |
Как настроить аппаратные ключи шифрования и управлять ими (только Gmail) |
| Шаг 3. Добавьте информацию об аппаратных ключах шифрования в консоль администратора | Введите номер порта, через который Google Workspace будет обмениваться данными с устройством для чтения смарт-карт на устройствах Windows пользователей. | Как настроить аппаратные ключи шифрования и управлять ими (только Gmail) |
| Шаг 4. Назначьте аппаратные ключи шифрования пользователям | Назначьте аппаратные ключи шифрования организационным подразделениям и группам. | Как назначить пользователям шифрование на стороне клиента |
| Шаг 5. Загрузите открытые ключи шифрования пользователей |
Создайте проект Google Cloud Platform и включите Gmail API. Затем предоставьте API доступ ко всей организации, включите шифрование на стороне клиента для пользователей Gmail, а также загрузите открытые ключи в Gmail. Примечание. Для выполнения этого шага необходим опыт использования API и скриптов Python. |
Как загрузить ключи для шифрования на стороне клиента (только Gmail) |
| Шаг 6. Перенесите в Gmail письма в виде зашифрованных на стороне клиента объектов (необязательно) | Если у вашей организации есть письма в другом сервисе или другом формате шифрования, администратор может перенести их в Gmail как зашифрованные на стороне клиента письма в формате S/MIME. | Как перенести в Gmail письма в виде зашифрованных на стороне клиента объектов |