Как включить Private Rooms в ONLYOFFICE Workspace

Private Rooms в ONLYOFFICE создают зашифрованное рабочее пространство для совместного редактирования в реальном времени. Шифрование выполняется на клиенте с использованием AES-256, поэтому сервер получает только зашифрованные данные. В этой статье пошагово описано включение функции, установка рабочего клиента, подключение к облаку, а также рекомендации по безопасности и тесты приёмки.

Что такое Private Rooms

Private Rooms — это защищённые рабочие пространства в ONLYOFFICE, где каждый вводимый символ шифруется на стороне клиента с помощью алгоритма AES-256. Клиентское приложение отвечает за генерацию и хранение криптографических ключей во временной сессии и за шифрование данных перед отправкой на сервер. При совместной работе все изменения передаются в зашифрованном виде и расшифровываются только на устройствах участников, у которых есть необходимые учётные данные для шифрования.

Определение термина

• AES-256: симметричный алгоритм шифрования с ключом 256 бит. Применяется для защиты содержимого документов в Private Rooms.

Важно

Private Rooms не требуют отдельной регистрации для создания крипто-объекта. Как пользователь, вы не заметите разницы в базовом UX между обычным и защищённым режимом, кроме дополнительного состояния Private Room в интерфейсе.

Чем Private Rooms отличаются от других решений

• Локальное шифрование на клиенте в отличие от только серверного шифрования. Это снижает риск доступа к незашифрованным данным со стороны администратора сервера.
• Интегрированное совместное редактирование в реальном времени. Многие сервисы шифруют файлы, но не предлагают встроенного редактора, который работал бы с зашифрованным контентом.

Примечание

Private Rooms защищают содержимое документов, но не исключают необходимость общей безопасности инфраструктуры: надёжные сертификаты, актуальные обновления и конфигурация сети по-прежнему важны.

Что разрешено и что ограничено в Private Rooms

Разрешено:

• Создавать и загружать файлы форматов .docx, .xlsx, .pptx
• Просматривать защищённые файлы и файлы, которыми с вами поделились
• Создавать папки
• Перемещать файлы внутри Private Room
• Удалять файлы навсегда
• Делить файлы с пользователями, у которых есть шифровые учётные данные
• Совместно редактировать документы в реальном времени

Ограничено:

• Нельзя копировать файлы вне Private Room
• Нельзя перемещать разделяемые файлы, если у вас нет прав на шифрование
• Нельзя перемещать файлы за пределы Private Room
• Нельзя делиться файлами с пользователями без шифровых учётных данных
• Нельзя загружать папки целиком через веб-интерфейс
• Нельзя перезаписывать файлы путём загрузки с тем же именем
• Нельзя восстанавливать версии файлов в обычном режиме

Шаг 1: Включение Private Rooms

Если вы ещё не установили ONLYOFFICE Workspace, сначала выполните установку по инструкции на стороннем ресурсе, например HowtoForge, для вашей ОС. Как правило, функция Private Rooms включена по умолчанию.

Запустите ONLYOFFICE Workspace, откройте модуль Documents и проверьте наличие папки Private Room. Если папки нет, включите функцию в Панели управления.

Важно

Для корпоративных развёртываний проверьте настройки брандмауэра и прокси, чтобы клиенты могли устанавливать соединение с сервером для аутентификации и синхронизации зашифрованных данных.

Шаг 2: Установка ONLYOFFICE Desktop Editors

Для работы Private Rooms требуется десктопное приложение ONLYOFFICE Desktop Editors. Оно обеспечивает клиентское шифрование и расшифровку.

Установка из DEB пакета:

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys CB2DE8E5

Затем отредактируйте файл источников:

nano /etc/apt/sources.list

Добавьте запись:

deb https://download.onlyoffice.com/repo/debian squeeze main

И выполните:

sudo apt-get update  
sudo apt-get install onlyoffice-desktopeditors

Установка через snap:

sudo apt update  
sudo apt install snapd  
snap install onlyoffice-desktopeditors

Совет

Убедитесь, что версия Desktop Editors соответствует версии Workspace или официально поддерживаемой совместимости. Различия в протоколах могут вызвать ошибки шифрования.

Шаг 3: Подключение десктопа к облаку

Запустите десктопное приложение и подключитесь к своему ONLYOFFICE Workspace. В разделе Connect to cloud укажите адрес вашей веб-офис инсталляции.

После входа откройте раздел Private Room и начните совместную работу и редактирование в защищённом режиме.

Важно

Не делитесь ключами шифрования и не используйте небезопасные каналы для передачи учётных данных. ONLYOFFICE автоматически генерирует и обменивается необходимыми данными, вам не нужно запоминать пароли шифрования.

Практические рекомендации по безопасности

• Храните сервер в актуальном состоянии и применяйте исправления безопасности
• Используйте HTTPS с валидным сертификатом
• Настройте резервное копирование зашифрованных данных и проверяйте восстановление
• Логируйте доступ администраторов и пользователей для аудита
• Ограничьте доступ к панели управления и к серверу по IP при необходимости

Факт-бокс

• Шифрование происходит на клиенте. Сервер не имеет доступа к незашифрованному содержимому.
• Алгоритм AES-256 обеспечивает криптографическую стойкость при корректной реализации и хранении ключей.

Когда Private Rooms не подходят

• Если требуется централизованное восстановление содержимого администрацией без участия владельца ключа
• Если нужно массово обрабатывать файлы на сервере в незашифрованном виде, например для индексации или обработки OCR
• При интеграции с сервисами, которые не поддерживают клиентское расшифрование

Альтернативные подходы

• Серверное шифрование с управлением ключами через HSM или KMS для сценариев, где требуется централизованный контроль
• Использование зашифрованных контейнеров на уровне файловой системы для офлайн-доступа
• Привлечение сторонних E2EE-редакторов, если они поддерживают ваш рабочий процесс

Ментальные модели для принятия решения

• Конфиденциальность vs управляемость: чем сильнее локальное шифрование, тем меньше контроля у администратора
• Клиентская безопасность: если устройства пользователей скомпрометированы, клиентское шифрование не спасёт
• Облако как хранилище зашифрованных буллетов: сервер хранит только шифротексты

Критерии приёмки

• Пользователь A создаёт документ в Private Room и приглашает пользователя B
• Пользователь B видит документ и может вносить правки в реальном времени
• На сервере все файлы сохраняются в зашифрованном виде
• При входе с другого устройства участник, имеющий шифровые учётные данные, видит расшифрованный документ
• Попытки доступа пользователем без шифровых данных блокируются

Руководство для ролей

Администратор

• Проверить включение Private Rooms в Панели управления
• Обеспечить доступность HTTPS и актуальных обновлений
• Настроить резервное копирование и аудит

Пользователь

• Установить ONLYOFFICE Desktop Editors и подключиться к облаку
• Не передавать свои учётные данные третьим лицам
• Хранить важные локальные копии в безопасном месте

Тесты приёмки

• Создать файл .docx, внести правку на машине пользователя A, проверить, что пользователь B видит изменения
• Проверить, что в файлах на сервере отсутствует читаемый текст
• Попытаться открыть файл пользователем без ключа шифрования и убедиться в ошибке доступа

Краткое резюме

Private Rooms в ONLYOFFICE обеспечивают удобную и надёжную среду для конфиденциального совместного редактирования. Решение сочетает клиентское шифрование AES-256 с привычным интерфейсом редакторов. Для корректной работы нужно установить десктопные редакторы и подключить их к Workspace. Администраторам рекомендуется поддерживать инфраструктуру в актуальном состоянии и следовать практикам безопасности.

Важно

Private Rooms подходят для сценариев, где требуется максимальная конфиденциальность при совместной работе. При этом необходимо учитывать ограничения в управлении ключами и совместимости с серверными обработками.