Éditions compatibles avec cette fonctionnalité : Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education Plus. Comparer votre édition
Vous pouvez configurer S/MIME (Secure/Multipurpose Internet Mail Extensions) hébergé dans la console d'administration Google pour protéger les membres de votre organisation contre l'hameçonnage, les pièces jointes malveillantes et les autres menaces qui pèsent sur les messageries. S/MIME renforce la sécurité des e-mails en chiffrant les messages et en y ajoutant une signature numérique. Les messages sont déchiffrés à l'aide d'une clé publique et d'une clé privée
Lorsque S/MIME est hébergé, l'organisation qui utilise S/MIME pour le chiffrement stocke la clé privée. Le chiffrement côté client (CSE) Google Workspace permet également aux utilisateurs d'envoyer et de recevoir des messages S/MIME chiffrés. Toutefois, avec le CSE, les clés privées sont gérées par un service de clés externe pour renforcer la confidentialité et la protection des données. En savoir plus sur le CSE
Vous pouvez également personnaliser certains paramètres Gmail afin d'exiger S/MIME pour certains messages. En savoir plus
Étape 1: Activez S/MIME hébergé dans la console d'administration Google
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Applications Google Workspace Gmail Paramètres utilisateur.
- Dans la section Organisations sur la gauche, sélectionnez le domaine ou l'organisation que vous souhaitez configurer.
Important:Pour importer et gérer des certificats racine à l'aide des commandes S/MIME avancées, vous devez activer S/MIME au niveau de l'organisation racine, généralement votre domaine. En savoir plus sur S/MIME et sur les certificats racines
-
Faites défiler la page jusqu'au paramètre S/MIME et cochez l'option Activer le chiffrement S/MIME pour l'envoi et la réception des e-mails.
-
(Facultatif) Pour autoriser les membres de votre organisation à importer des certificats, cochez l'option Autoriser les utilisateurs à importer leurs propres certificats.
-
(Commandes supplémentaires facultatives) Pour importer et gérer des certificats racine:
- À côté de Acceptez ces autres certificats racine pour des domaines spécifiques, cliquez sur Ajouter.
- Dans la fenêtre Ajouter un certificat racine, cliquez sur Importer un certificat racine.
- Recherchez et sélectionnez le fichier de certificat, puis cliquez sur Ouvrir. Un message de vérification s'affiche pour le certificat. Ce message indique le nom de l'objet et la date d'expiration.
- Sous Niveau de chiffrement, sélectionnez le niveau de chiffrement à utiliser avec ce certificat.
- Sous Liste d'adresses, saisissez au moins un domaine qui utilisera le certificat racine lors de la communication. Si vous saisissez plusieurs domaines, séparez-les par une virgule. Les noms de domaine peuvent inclure des caractères génériques. Pour en savoir plus sur l'utilisation des caractères génériques dans les noms de domaine, consultez le document RFC 6125.
- (Facultatif) Pour autoriser les paires de clés de CSE avec des certificats associés à une adresse e-mail autre que l'adresse e-mail principale d'un utilisateur, sélectionnez l'option de non-concordance des certificats (Pour ces domaines, autorisez les certificats dont l'adresse e-mail ne correspond pas à l'adresse e-mail actuelle de l'utilisateur).
Pour des raisons de sécurité, cette option n'est recommandée que lorsque votre organisation l'exige. Cette fonctionnalité est compatible avec le CSE. Elle n'est pas compatible avec S/MIME hébergé. Pour en savoir plus sur les incohérences de certificats, consultez Gérer les certificats de confiance pour S/MIME.
- Cliquez sur OK.
- Répétez ces étapes pour importer d'autres chaînes de certificats.
- Si votre domaine ou organisation doit utiliser l'algorithme SHA-1 (Secure Hash Algorithm 1), cochez l'option Autoriser les signatures SHA-1 à l'échelle globale (non recommandé). Pour en savoir plus sur l'utilisation de SHA-1, consultez Gérer les certificats de confiance pour S/MIME.
- Cliquez sur Enregistrer.
Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus Les messages envoyés pendant cette période ne sont pas chiffrés.
Étape 2 : Demandez à vos utilisateurs d'actualiser Gmail
Après avoir activé S/MIME hébergé dans la console d'administration Google, demandez à vos utilisateurs d'actualiser Gmail. Une icône en forme de cadenas apparaît dans l'objet du message. Si le message est chiffré avec S/MIME hébergé, le cadenas est vert.
Étape 3 : Importez les certificats
Pour utiliser le chiffrement S/MIME hébergé, vous devez importer des certificats d'utilisateurs finaux S/MIME dans Gmail. Le certificat doit respecter les normes cryptographiques actuelles et utiliser le format de fichier d'archive PKCS#12 (Public-Key Cryptography Standards).
Cette liste de certificats de confiance fournie et gérée par Google ne s'applique qu'à Gmail pour S/MIME.
Nous recommandons aux administrateurs d'importer les certificats avec l'API Gmail S/MIME. Vous pouvez également utiliser l'API Gmail S/MIME pour gérer certaines tâches comme l'affichage, la suppression et le réglage par défaut des clés utilisateur. En savoir plus sur l'API Gmail S/MIME
Vous pouvez également autoriser les utilisateurs à importer des certificats dans leurs paramètres Gmail:
- Accédez à Gmail.
- Sélectionnez Paramètres Afficher tous les paramètres.
- Sélectionnez l'onglet Comptes.
- À côté de l'option Envoyer des e-mails en tant que, sélectionnez Modifier les informations.
La fenêtre Modifier l'adresse e-mail et les paramètres de chiffrement s'affiche. Si cette option ne s'affiche pas, contactez votre administrateur.
- Cliquez sur Importer un certificat personnel.
- Sélectionnez le fichier de certificat et cliquez sur Ouvrir. Vous serez invité à saisir un mot de passe pour le certificat.
- Saisissez le mot de passe et cliquez sur Ajouter le certificat.
Étape 4 : Demandez à vos utilisateurs d'échanger leurs clés
Pour commencer à échanger des messages S/MIME, vos utilisateurs doivent échanger des clés avec les destinataires de messages de l'une des manières suivantes :
- Envoyer aux destinataires un message signé selon la norme S/MIME. Le message est signé numériquement et inclut la clé publique de l'utilisateur. Cette clé publique permet aux destinataires de chiffrer les messages qu'ils envoient à l'utilisateur.
- Demander aux destinataires d'envoyer un message. Lorsque l'utilisateur le reçoit, il est signé selon la norme S/MIME. La clé est automatiquement stockée et disponible. Les messages envoyés au destinataire seront désormais chiffrés selon la norme S/MIME.
Remplacer les paramètres SMIME de la sous-organisation
Par défaut, les unités organisationnelles héritent des paramètres SMIME de l'unité organisationnelle racine. Vous pouvez éventuellement remplacer les paramètres SMIME hérités pour les unités organisationnelles. Cette fonctionnalité est utile pour désactiver ou personnaliser les paramètres SMIME des unités organisationnelles.
Pour remplacer les paramètres SMIME:
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Applications Google Workspace Gmail Paramètres utilisateur.
-
Sur la gauche, sous Organisations, sélectionnez l'unité organisationnelle que vous souhaitez configurer.
- Faites défiler la page jusqu'au paramètre S/MIME, puis cliquez pour le développer.
Le libellé affiché sous le libellé du paramètre S/MIME indique soit Hérité de (nom de l'organisation ou du domaine), soit Remplacé.
- Cliquez sur Remplacer pour enregistrer les modifications apportées à la sous-organisation héritant des paramètres SMIME.
Une fois les paramètres de la sous-organisation enregistrés, Remplacés s'affiche sous le libellé "Paramètres SMIME". Un "point" s'affiche également à côté des sous-organisations principales, dans l'arborescence de l'unité organisationnelle sur la gauche.
Conseil : Si votre sous-organisation a remplacé les paramètres d'une organisation de niveau supérieur, vous pouvez hériter des paramètres de l'organisation de niveau supérieur en cliquant sur le bouton Hériter.