Activer S/MIME hébergé pour le chiffrement des messages

Éditions compatibles avec cette fonctionnalité: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education PlusComparer votre édition

Vous pouvez configurer S/MIME (Secure/Multipurpose Internet Mail Extensions) hébergé dans la console d'administration Google pour protéger les membres de votre organisation contre l'hameçonnage, les pièces jointes dangereuses et d'autres menaces dans les e-mails. S/MIME renforce la sécurité des e-mails en chiffrant les messages et en y ajoutant une signature numérique. Les messages sont déchiffrés à l'aide d'une clé publique et d'une clé privée.

Lorsque S/MIME est hébergé, l'organisation qui utilise S/MIME pour le chiffrement stocke la clé privée. Le chiffrement côté client (CSE) Google Workspace permet également aux utilisateurs d'envoyer et de recevoir des messages S/MIME chiffrés. Toutefois, avec le CSE, les clés privées sont gérées par un service de clés externe pour renforcer la confidentialité et la protection des données. En savoir plus sur le CSE

Vous pouvez également personnaliser certains paramètres Gmail afin d'exiger l'utilisation de S/MIME pour certains messages. En savoir plus

Étape 1 : Activez S/MIME hébergé dans la console d'administration Google

  1. Connectez-vous à la console d'administration Google avec un compte administrateur.

    Si vous ne disposez pas d'un compte administrateur, vous ne pouvez pas accéder à la console d'administration.

  2. Dans la section Organisations sur la gauche, sélectionnez le domaine ou l'organisation que vous souhaitez configurer.

    Important : Pour importer et gérer des certificats racines à l'aide des commandes S/MIME avancées, vous devez activer S/MIME au niveau de l'organisation racine, généralement votre domaine. En savoir plus sur S/MIME et les certificats racines

  3. Faites défiler la page jusqu'au paramètre S/MIME et cochez l'option Activer le chiffrement S/MIME pour l'envoi et la réception des e-mails.

  4. (Facultatif) Pour autoriser les membres de votre organisation à importer des certificats, cochez l'option Autoriser les utilisateurs à importer leurs propres certificats.

  5. (Commandes supplémentaires facultatives) Pour importer et gérer des certificats racines : 

    1. À côté de Acceptez ces autres certificats racine pour des domaines spécifiques, cliquez sur Ajouter.
    2. Dans la fenêtre Ajouter un certificat racine, cliquez sur Importer un certificat racine.
    3. Recherchez et sélectionnez le fichier de certificat, puis cliquez sur Ouvrir. Un message de validation s'affiche pour le certificat. Ce message inclut le nom de l'objet et la date d'expiration. 
    4. Sous Niveau de chiffrement, sélectionnez le niveau de chiffrement à utiliser avec ce certificat.
    5. Sous Liste d'adresses, saisissez au moins un domaine qui utilisera le certificat racine lors de la communication. Si vous saisissez plusieurs domaines, séparez-les par une virgule. Les noms de domaine peuvent inclure des caractères génériques. Pour en savoir plus sur l'utilisation des caractères génériques dans les noms de domaine, consultez le document RFC 6125
    6. (Facultatif) Pour autoriser les paires de clés de CSE avec des certificats associés à une adresse e-mail autre que l'adresse e-mail principale d'un utilisateur, sélectionnez l'option de non-concordance des certificats (Pour ces domaines, autorisez les certificats dont l'adresse e-mail ne correspond pas à l'adresse e-mail actuelle de l'utilisateur).

      Pour des raisons de sécurité, cette option n'est recommandée que lorsque votre organisation l'exige. Cette fonctionnalité est compatible avec le CSE. Elle n'est pas compatible avec S/MIME hébergé. Pour en savoir plus sur les incohérences de certificats, consultez Gérer les certificats de confiance pour S/MIME.

    7. Cliquez sur OK.
    8. Répétez ces étapes pour importer d'autres chaînes de certificats.
  6. Si votre domaine ou organisation doit utiliser l'algorithme SHA-1 (Secure Hash Algorithm 1), cochez l'option Autoriser les signatures SHA-1 à l'échelle globale (non recommandé). Pour en savoir plus sur l'utilisation de SHA-1, consultez Gérer les certificats de confiance pour S/MIME.
  7. Cliquez sur Enregistrer.  

Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus Les messages envoyés au cours de cette période ne sont pas chiffrés.

Étape 2 : Demandez à vos utilisateurs d'actualiser Gmail

Après avoir activé S/MIME hébergé dans la console d'administration Google, demandez à vos utilisateurs d'actualiser Gmail. Une icône en forme de cadenas apparaît dans l'objet du message. Si le message est chiffré avec S/MIME hébergé, le cadenas est vert.

Étape 3 : Importez les certificats

Pour utiliser le chiffrement S/MIME hébergé, vous devez importer des certificats d'utilisateurs finaux S/MIME dans Gmail. Le certificat doit respecter les normes cryptographiques actuelles et utiliser le format de fichier d'archive PKCS#12 (Public-Key Cryptography Standards)

Cette liste de certificats de confiance fournie et gérée par Google ne s'applique qu'à Gmail pour S/MIME. 

Nous recommandons aux administrateurs d'importer les certificats à l'aide de l'API S/MIME de Gmail. Vous pouvez également utiliser l'API Gmail S/MIME pour gérer certaines tâches comme l'affichage, la suppression et le réglage par défaut des clés utilisateur. En savoir plus sur l'API S/MIME de Gmail

Vous pouvez également autoriser les utilisateurs à importer des certificats dans leurs paramètres Gmail :

  1. Accédez à Gmail.
  2. Sélectionnez Paramètres Paramètres puis Voir tous les paramètres.
  3. Sélectionnez l'onglet Comptes.
  4. À côté de Envoyer des e-mails en tant que, sélectionnez Modifier les informations.

    La fenêtre Modifier l'adresse e-mail et les paramètres de chiffrement s'affiche. Si vous ne voyez pas cette option, contactez votre administrateur.

  5. Cliquez sur Importer un certificat personnel.
  6. Sélectionnez le fichier de certificat et cliquez sur Ouvrir. Vous serez invité à saisir un mot de passe pour le certificat.
  7. Saisissez le mot de passe et cliquez sur Ajouter le certificat.

Étape 4 : Demandez à vos utilisateurs d'échanger leurs clés

Pour commencer à échanger des messages S/MIME, vos utilisateurs doivent échanger des clés avec les destinataires de messages de l'une des manières suivantes :

  • Envoyer aux destinataires un message signé selon la norme S/MIME. Le message est signé numériquement et inclut la clé publique de l'utilisateur. Cette clé publique permet aux destinataires de chiffrer les messages qu'ils envoient à l'utilisateur.
  • Demander aux destinataires d'envoyer un message. Lorsque l'utilisateur le reçoit, il est signé selon la norme S/MIME. La clé est automatiquement stockée et disponible. Les messages envoyés au destinataire seront alors chiffrés avec S/MIME.

Remplacer les paramètres S/MIME de la sous-organisation

Par défaut, les unités organisationnelles héritent des paramètres S/MIME de l'unité organisationnelle racine. Vous pouvez éventuellement remplacer les paramètres S/MIME hérités pour les unités organisationnelles. Cette fonctionnalité est utile pour désactiver ou personnaliser les paramètres S/MIME des unités organisationnelles. 

Pour remplacer les paramètres S/MIME :

  1. Connectez-vous à la console d'administration Google avec un compte administrateur.

    Si vous ne disposez pas d'un compte administrateur, vous ne pouvez pas accéder à la console d'administration.

  2. Sur la gauche, sous Organisations, sélectionnez l'unité organisationnelle que vous souhaitez configurer.

  3. Faites défiler la page jusqu'au paramètre S/MIME, puis cliquez pour le développer.

    Le libellé sous le libellé du paramètre S/MIME indique soit Hérité de (organisation ou nom de domaine), soit Remplacé.

  4. Cliquez sur Remplacer pour enregistrer les modifications apportées à la sous-organisation héritant des paramètres S/MIME.

    Une fois les paramètres de la sous-organisation enregistrés, Remplacé s'affiche sous le libellé des paramètres S/MIME. Un "point" s'affiche également à côté des sous-organisations principales, dans l'arborescence de l'unité organisationnelle sur la gauche.

Conseil : Si votre sous-organisation a remplacé les paramètres d'une organisation de niveau supérieur, vous pouvez hériter des paramètres de l'organisation de niveau supérieur en cliquant sur le bouton Hériter.

Résoudre le problème : les sous-organisations n'héritent pas des paramètres S/MIME 

Problème : les unités organisationnelles enfants n'héritent pas des paramètres S/MIME de l'unité organisationnelle racine.

Cause : le plus souvent, ce problème est dû au fait que S/MIME a été désactivé ou modifié pour l'ensemble de votre organisation (au niveau racine) après qu'une ou plusieurs unités organisationnelles ont ajouté des paramètres S/MIME à l'aide de la fonctionnalité de forçage. En savoir plus sur la fonctionnalité de forçage des paramètres S/MIME

Ce problème peut également se produire lorsque ces options S/MIME sont définies au niveau de l'unité organisationnelle enfant avec la fonctionnalité de forçage Activer S/MIME, Autoriser les utilisateurs à importer leurs propres certificats ou Autoriser la signature SHA-1 à l'échelle globale. En effet, ces modifications remplacent les paramètres de certificat au niveau racine.

Solution : pour résoudre le problème et appliquer l'héritage S/MIME à une unité organisationnelle enfant :

  1. Dans les paramètres S/MIME, sélectionnez le nom de l'unité organisationnelle enfant sur la gauche, sous le libellé du paramètre S/MIME
  2. Cliquez sur Hériter pour appliquer les paramètres S/MIME racines à l'unité organisationnelle enfant.
  3. Appliquez à nouveau les paramètres de l'unité organisationnelle enfant :
    1. Laissez l'unité organisationnelle enfant sélectionnée sur la gauche, sous le libellé du paramètre S/MIME
    2. Mettez à jour les paramètres S/MIME pertinents pour l'unité organisationnelle enfant : Activer S/MIME, Autoriser les utilisateurs à importer leurs propres certificats ou Autoriser la signature SHA-1 à l'échelle globale.
    3. Cliquez sur Remplacer. Cela permet d'enregistrer les paramètres spécifiques à l'enfant, tout en veillant à ce qu'il hérite des modifications apportées précédemment aux certificats racines ou aux paramètres S/MIME au niveau racine.

Répétez cette procédure pour chaque unité organisationnelle enfant concernée.

Important : Chaque fois que vous ajoutez ou supprimez un certificat racine, vous devez répéter ces étapes pour toutes les unités organisationnelles enfants auxquelles vous souhaitez appliquer ces modifications.

Articles associés

Gérer les certificats de confiance pour S/MIME (avancé)

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
12768230086632058258
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false
false
false