客户端加密功能简介

支持此功能的版本:企业版;教育标准版和教育 Plus 版。 比较您的版本

除了使用 Google Workspace 提供的默认加密方式外,您还可以使用自己的加密密钥对组织的数据进行加密。使用 Google Workspace 客户端加密功能 (CSE) 时,系统会在数据传输或存储到云端硬盘的云端存储空间之前,在客户端的浏览器中处理内容加密。使用这种方式时,Google 服务器无法访问您的加密密钥,也无法解密数据。

如要使用 CSE,您需要将 Google Workspace 连接到外部加密密钥服务和身份提供方 (IdP)。

您的用户可以在组织内部共享 CSE 文件,也可以与同样使用 Google Workspace 并设置了 CSE 的外部组织共享此类文件。

为什么要使用 CSE?

Google Workspace 已采用最新的加密标准对所有静态数据和在其设施间传输的数据进行加密。但使用 CSE 时,您可以直接控制加密密钥以及用于访问这些密钥的身份提供方。这项额外控制功能有助于您加强敏感数据或受监管数据的机密性。

您的组织可能出于各种原因而需要使用 CSE,例如:

  • 隐私 - 组织的工作涉及极其敏感的知识产权。
  • 法规遵从 - 您的组织在受到严格监管的行业(例如航天和国防、金融服务或政府部门)内运营。

CSE 的适用范围

Google Workspace 客户端加密功能目前仅适用于以下数据:

  • Google 云端硬盘数据,包括使用 Google 文档编辑器创建的文件(文档、电子表格和演示文稿)以及上传的文件(例如 PDF 和 Microsoft Office 文件)。
  • 在会议参与者和 Google 之间传输的 Google Meet 音频流和视频流(Beta 版),包括屏幕共享内容。

我们将在后续版本中为其他 Google 服务提供 CSE 功能。

CSE 使用入门

打开此部分  |  全部收起并转至页首

CSE 设置步骤概览

以下是设置 Google Workspace 客户端加密功能的基本步骤。

第 1 步:设置外部加密密钥服务

首先,您需要通过某个 Google 合作伙伴服务设置加密密钥服务,或者使用 Google CSE API 构建您自己的服务。这项服务将控制保护数据的顶级加密密钥。了解详情

第 2 步:将 Google Workspace 连接到您的外部密钥服务

接下来,您需要添加外部密钥服务的位置(网址),以便 Google Workspace 针对受支持的应用将 CSE 连接到该服务。了解详情

第 3 步:将 Google Workspace 连接到您的身份提供方

要执行此步骤,您需要通过管理控制台或托管在您服务器上的 .well-known 文件连接到第三方 IdP 或 Google 身份。您的 IdP 首先会验证用户的身份,然后才会允许其加密内容或访问加密内容。了解详情

第 4 步:为用户启用 CSE

您可以为组织内的任何组织部门或群组启用 CSE。但请注意,您需为需要创建客户端加密内容的用户启用 CSE:

  • Google 云端硬盘 - 只需为需要创建客户端加密文档、电子表格和演示文稿的用户,或需要将客户端加密文件上传到云端硬盘的用户启用 CSE。您不用为只需要查看和编辑共享文件的用户启用 CSE。
  • Google Meet(Beta 版)- 只需为需要主持客户端加密会议的用户启用 CSE,无需为会议中的其他参与者启用 CSE。

如需详细了解如何为用户启用 CSE,请参阅创建客户端加密政策

CSE 用户体验

为组织设置客户端加密功能后,如果您为用户启用了 CSE,该用户就可以在以下服务中使用 CSE。

Google 云端硬盘

用户可以使用 Google 文档编辑器(例如文档和电子表格)创建客户端加密文档,或对其上传到云端硬盘的文件(例如 PDF)进行加密。

无法对加密文件使用部分功能,例如:

  • 如果加密文件是使用 Google 文档编辑器创建的,则您将无法使用拼写和语法检查功能。此外,一次只能有 1 位协作者编辑已加密的文档;但同时查看一个加密文档的用户数量没有限制。
  • 如果文件已加密并上传到云端硬盘,您将无法对其使用全文搜索和文件预览功能。

桌面版云端硬盘

您在将 Google Workspace 连接到 IdP 后,可以为桌面版云端硬盘设置 CSE。

桌面版云端硬盘中同步的加密文件会在 Windows 上显示为快捷方式,而在 Mac 上显示为符号链接。如果用户点击指向加密文档、表格或幻灯片文件的快捷方式或链接,则系统会打开新的浏览器窗口。

用户还可以:

  • 加密和上传本地文件
  • 读取和写入某些类型的加密文件,例如 PDF 和 Microsoft Office 文件

避免将已解密的敏感信息存储在云端硬盘中:告知桌面版云端硬盘用户,如果他们在云端硬盘中使用下载并解密选项,则应避免将已解密的文件存储在与云端硬盘同步的本地文件夹中

了解详情

如要详细了解云端硬盘中的 CSE 用户体验和限制,请参阅以下资源:

Google Meet(Beta 版)

用户在 Google 日历中安排会议或发起即时(未提前安排)会议时,可以通过选择添加加密选项来召开客户端加密会议。

部分功能目前还无法在加密会议中使用,例如:

  • 录制会议(如果将录制内容保存到云端硬盘)
  • 直播
  • 使用手机接收音频
  • 聊天
  • 投票
  • 白板
  • 会议室设备及移动应用(即将推出)
停用或销毁密钥可能造成数据丢失
警告 :如果您停用或销毁用于加密云端硬盘中文件的加密密钥,Google Workspace 应用将无法解密这些文件。这意味着用户无法以任何方式查看、编辑、下载或使用这些文件。在使用 CSE 之前,请务必与外部密钥服务合作伙伴沟通,了解如何保证密钥的安全(包括了解相关的备份和恢复选项)。同时,请务必仔细规划针对密钥服务所做的任何更改,以避免中断用户的服务。
使用 CSE 的要求

管理员要求

如需为组织设置 Google Workspace 客户端加密功能,您必须是 Google Workspace 的超级用户

用户要求

  • 用户必须拥有 Google Workspace 企业 Plus 版许可或 Google Workspace 教育 Plus 版许可,才能使用 CSE 执行以下操作:
    • 创建或上传文件
    • 举行会议
  • 无论拥有哪种类型的 Google Workspace 许可或 Cloud Identity 许可,用户都可以执行以下操作:
    • 查看、编辑或下载通过 CSE 加密的现有文件
    • 加入 CSE 会议
  • 使用 Google 个人帐号的用户(例如 Gmail 用户)无法访问 CSE 文件或参加 CSE 会议。
  • 如需查看或编辑加密的文件,用户必须使用 Google Chrome 或 Microsoft Edge (Chromium) 浏览器。
  • 如需加入 CSE 会议,用户必须收到邀请,或在会议期间由主持人将其添加到会议中。无法向 CSE 会议发出加入申请。
  • 对 CSE 文件和会议的访问权限取决于您组织的 CSE 政策。

外部用户要求

  • 如果您的用户要与外部组织协作,则相应外部组织也必须在管理控制台中或使用 .well-known 文件设置 CSE。
  • 外部用户必须拥有 Google Workspace 许可才能访问通过 CSE 加密的内容。使用 Google 个人帐号或访问者帐号的用户无法访问通过 CSE 加密的文件。
  • 如果您想让您的用户与外部组织的用户共享 CSE 文件,您的外部加密服务必须将相应外部组织用户使用的第三方 IdP 服务列入许可名单。通常可在 IdP 公开提供的 .well-known 文件中找到其 IdP 服务(如果 IdP 已设置此文件)。否则,您需要联系外部组织的 Google Workspace 管理员,请其提供 IdP 的详细信息。
外部用户需要共享身份信息:请务必告知外部组织的管理员,其用户需要向您的密钥服务提供身份验证令牌,才能查看或修改贵组织拥有的加密文件。身份验证过程要求用户共享其 IP 地址和其他信息。有关详情,请参阅客户端加密 API 参考指南中的身份验证令牌
查看 CSE 日志和报告

您可以查看以下有关云端硬盘的 CSE 日志和报告,但有关 Meet 的日志和报告目前尚无法查看。

审核日志

查看您组织 CSE 设置的更改历史记录。

依次转到报告 接着点击 审核日志 接着点击 管理员

加密文件的上传/下载报告

获取在一段时间内上传和下载加密文件数量的报告。

依次转到安全 接着点击 信息中心 接着点击 客户端加密功能

加密文件调查报告

使用此安全调查工具可获取有关云端硬盘在加密文件方面的活动报告。

  1. 依次转到 安全性 接着点击 调查工具
  2. 依次点击数据源 接着点击 云端硬盘日志事件
  3. 依次点击添加条件 接着点击 添加条件 接着点击 已加密
  4. 将条件设置为
  5. 点击搜索

客户端加密功能常见问题解答

打开此部分  |  全部收起并转至页首

综合问题

我可以在哪里找到有关 Google 默认加密方式的信息?
如需详细了解 Google 默认加密方式,请访问 Google Cloud 网站
CSE 与端到端 (e2e) 加密有何不同?
使用端到端加密 (e2e) 时,加密和解密操作始终在源设备和目标设备上进行(例如在手机上加密和解密即时通讯数据)。加密密钥在客户端生成,因此作为管理员,您无法控制客户端上的密钥以及哪些人员可以使用密钥。此外,您也无法了解用户对哪些内容进行了加密。
使用客户端加密 (CSE) 时,加密和解密操作也始终在源设备和目标设备上进行,只是在这种情况下使用的设备是客户端浏览器。然而,在使用 CSE 时,客户端所使用的加密密钥由基于云的密钥管理服务生成并存储在其中,因此您可以控制密钥以及哪些人员可以访问密钥。例如,您可以撤消用户对密钥的访问权限,即使该用户是密钥的生成者也不例外。此外,您还可以利用 CSE 监控用户的加密文件。

设置 CSE

为了使用 CSE,我可以选择哪些合作伙伴的密钥管理服务?

Google 已与以下密钥管理服务合作,为使用 CSE 提供必要的服务:

可以使用 Google 作为我的密钥管理服务吗?
不可以,您需要使用外部密钥管理服务来设置 Google Workspace 客户端加密功能。使用 CSE 后,您可以控制自己的加密密钥,而 Google 无法访问这些密钥来解密数据。
如何限制哪些用户或群组可以访问我的外部密钥服务?
您可以通过外部密钥服务来管理加密密钥的访问控制列表 (ACL)。请与您的加密服务提供商联系以了解详情。
如何为共享云端硬盘设置 CSE?
您无需专门为共享云端硬盘设置 CSE。您在管理控制台中设置的外部密钥服务适用于“我的云端硬盘”和共享云端硬盘中的文件。

使用 CSE 文件

CSE 会加密哪些数据?

Google 云端硬盘:

  • 所有文件内容,例如文档正文
  • 嵌入的内容,例如 Google 文档文件中的图片

Google Meet(Beta 版):

在会议参与者与 Google 之间传输的媒体流(视频和音频数据)

CSE 不会加密哪些数据?

Google 云端硬盘:

  • 文件标题
  • 文件元数据,例如所有者、创建者和上次修改时间
  • 云端硬盘标签(也称为“云端硬盘元数据”)
  • 链接到 Google 文档或云端硬盘外部的内容(例如从 Google 文档链接到 YouTube 中的视频)
  • 用户偏好设置,例如 Google 文档的标题样式

Google Meet(Beta 版):

除媒体流(音频流和视频流)以外的任何数据。

我可以使用其他加密密钥重新加密现有文件吗?
我们将在后续版本中提供此功能。
如何解密导出的文件?
如需使用数据导出工具或 Google 保险柜解密导出的 CSE 文件,您可以使用解密工具(一款命令行实用程序)。有关详情,请参阅对导出的客户端加密文件进行解密
我可以保留、搜索和导出 Google 保险柜中的加密文件吗?
可以,如果您的 Google Workspace 版本包含 Google 保险柜,您就可以保留、搜索和导出保险柜中的 CSE 文件。您可以按客户端加密文件的元数据(例如标题和所有者)搜索客户端加密文件。不过,您无法搜索文件内容、按文件类型搜索、预览内容或从预览视图中下载内容。 有关详情,请参阅处理保险柜中的客户端加密文件

扫描 CSE 文件

云端硬盘是否会自动扫描 CSE 文件以检测安全隐患?
云端硬盘不会扫描 CSE 文件以检测是否存在钓鱼式攻击和恶意软件的风险,因为 Google 的服务器无法访问这些文件的内容。
我可以对 CSE 文件中的内容运行数据泄露防护扫描吗?
数据泄露防护 (DLP) 扫描功能无法访问文件中经过客户端加密的内容。不过,由于 DLP 扫描可以访问文件的元数据(例如文件标题和云端硬盘标签),而这些内容不会受到加密,因此这类扫描仍然有助于防止敏感数据泄露。

将 CSE 与桌面版云端硬盘搭配使用

桌面版云端硬盘是否会同步 CSE 文件?
桌面版云端硬盘中同步的加密文件会在 Windows 上显示为快捷方式,而在 Mac 上显示为符号链接。
如果将已下载的 CSE 文件重新同步到云端硬盘,那么桌面版云端硬盘是否会对这些文件重新加密?
不会。对于已下载到本地文件夹并解密的 CSE 文件,如果将其同步到云端硬盘,则会以明文形式存储在云端硬盘中。

避免将已解密的敏感信息存储在云端硬盘中:告知桌面版云端硬盘用户,如果他们在云端硬盘中使用下载并解密选项,则应避免将已解密的文件存储在与云端硬盘同步的本地文件夹中

该内容对您有帮助吗?
您有什么改进建议?

需要更多帮助?

登录可获取更多支持选项,以便快速解决您的问题

搜索
清除搜索查询
关闭搜索框
Google 应用
主菜单
搜索支持中心
true
73010
false
false