支持此功能的版本:企业 Plus 版;教育标准版和教育 Plus 版。 比较您的版本
如果您已为 Google Workspace 客户端加密功能 (CSE) 设置外部密钥服务,则需要将其添加到管理控制台。这会将 Google Workspace 连接到该服务,以便它使用您的加密密钥对内容进行加密。
如需详细了解外部密钥服务,请参阅设置密钥服务以启用客户端加密功能。
如有需要,您可以添加多项密钥服务;例如,在密钥服务之间迁移加密内容,或向特定用户分配不同的密钥服务。
注意:对于 Gmail CSE,您可以使用硬件加密密钥,而不是密钥服务。Requires having the Assured Controls or Assured Controls Plus add-on. 有关详情,请参阅“仅限 Gmail:设置和管理硬件加密密钥”。
添加密钥服务
如果这是您首次添加密钥服务
系统会显示一条消息,提醒您为顶级组织部门分配默认密钥服务。您可以随时执行此操作,以确保需要加密或解密内容的所有用户都可以使用加密功能。如需了解详情,请参阅为组织分配默认密钥服务。
如果这是您第二次添加密钥服务
您需要将当前服务设为备用密钥服务。备用密钥服务与第二项密钥服务加密的内容相同。如果您想将加密内容迁移到第二项密钥服务,则需要使用备用密钥服务。有关详情,请参阅下文中的关于备用密钥服务。
如果您要在至少已有 2 项密钥服务的情况下继续添加
您需要移除当前主密钥服务的备用密钥服务,然后为新服务选择备用密钥服务。或者,您可以添加新服务而不为其指定备用密钥服务。有关详情,请参阅下文中的在一项密钥服务拥有备用服务的情况下新增另一项密钥服务。
考虑为多项密钥服务使用命名惯例
建立命名惯例,以便轻松识别密钥服务,并确定要针对哪些服务和用户使用这些服务。例如,不妨通过名称来指明其所在的区域、所属的组织部门,以及这是某项密钥服务:
- NORTHAM-R&D-Key-service1
- EUROPE-HR-Key-service2
备用服务用于迁移内容
Gmail CSE 的例外情况
您必须以超级用户身份登录,才能执行此任务。
-
- 在管理控制台中,依次点击“菜单”图标
安全性
访问权限和数据控件
- 在使用外部密钥服务加密下,执行以下任一操作:
- 如果这是您首次添加密钥服务,请点击添加外部密钥服务。
- 如果您要添加其他密钥服务,请点击添加。
- 输入您在注册时使用的密钥服务(或使用 CSE API 构建的密钥服务)中的以下信息:
名称 - 输入您喜欢的任何名称。如果 Google Workspace 无法访问您的外部密钥服务,用户就会在某些邮件中看到此名称,这样他们就会知道此问题与加密服务而非所使用的 Google 服务有关。
网址 - 您的密钥服务会向您提供此网址。在输入此网址之前,请检查是否可以通过互联网访问该网址。
- 如果您添加了第二项密钥服务,请点击选择备用密钥服务,然后选择一项可用的备用密钥服务。这样一来,您就可以将加密内容迁移到新密钥服务。
如需详细了解如何将内容迁移到新密钥服务,请参阅分配密钥服务以确保客户端加密功能正常运行。
- 如果您要在至少已有 2 项密钥服务的情况下继续添加密钥服务,请选择是否要添加新密钥服务而不为其指定备用密钥服务。如需详细了解可用选项,请参阅下文中的在一项密钥服务拥有备用服务的情况下新增另一项密钥服务。
或者,您也可以点击取消,关闭添加外部密钥服务对话框而不选择任何选项。
- 为了确保 Google Workspace 可以与外部密钥服务通信,请点击测试连接。
- 如果连接成功,请点击页面右下角的添加或添加服务。
如果这是您首次添加密钥服务:
- 系统会显示一条消息,提醒您为顶级组织部门分配默认密钥服务。您可以随时执行此操作,以确保需要加密或解密内容的所有用户都可以使用加密功能。如需了解详情,请参阅为组织分配默认密钥服务。
- 请确保将 Google Workspace 连接到您的身份提供方 (IdP) 以实现客户端加密功能。
如果您已向管理控制台添加至少 2 项密钥服务,其中一项密钥服务会是另一项密钥服务的备用密钥服务。如果您再添加一项密钥服务,则无法为其选择备用密钥服务,因为同时只能有一项密钥服务拥有备用密钥服务。因此,在添加新密钥服务时,您需要根据所需的密钥服务使用方式来选择一个选项。
从使用现有密钥服务改为使用新密钥服务
添加新密钥服务时,请选择从密钥服务中移除备用密钥服务,然后点击移除备用密钥服务。
现在,您可以添加新密钥服务并选择备用服务。然后,您可以将加密内容迁移到新密钥服务。有关详情,请参阅将加密内容迁移到新密钥服务。
建议:仅当当前密钥服务能够顺利完成内容加密时,才选择此选项。此外,如果正在使用备用密钥服务将内容迁移到您当前的主服务,请等待迁移完成,因为移除备用密钥服务后,迁移将立即停止。有关详情,请参阅将加密内容迁移到新密钥服务。
在不迁移加密数据的情况下使用新密钥服务
添加新密钥服务时,请选择添加没有备用密钥服务的密钥服务选项,然后点击添加服务。
建议:仅当您希望为内容尚未由其他密钥服务加密的组织部门或群组使用此密钥服务时,才选择此选项。如果内容已加密,您需要保留现有的密钥服务,以确保由其加密的内容可供访问。
修改密钥服务
您必须以超级用户身份登录,才能执行此任务。
-
- 在管理控制台中,依次点击“菜单”图标
- 在外部密钥服务下方,点击您要更改的密钥服务的名称。
- 修改密钥服务的名称。
- 点击继续。
您必须以超级用户身份登录,才能执行此任务。
如果您的用户无法访问使用密钥服务加密的内容,请向密钥服务请求新的加密网址。然后在管理控制台中将旧网址替换为新网址,以便用户恢复访问其内容。
如果用户无法使用密钥服务加密新内容,您可以尝试为遇到问题的组织或群组分配其他密钥服务。
如需更改密钥服务的网址,请执行以下操作:
-
- 在管理控制台中,依次点击“菜单”图标
- 在外部密钥服务下方,点击您要更改网址的密钥服务的名称。
- 点击遇到了问题?
- 要确保 Google Workspace 可以与外部密钥服务通信,请点击测试连接。
- 如果连接成功,请点击页面右下角的继续。
在以下情况下,不妨移除某项密钥服务的备用密钥服务:
- 迁移内容时不再需要使用该备用密钥服务。
- 您想添加另一项密钥服务,并且需要选择备用密钥服务,以便将加密内容迁移到新密钥服务。
如需详细了解内容迁移,请参阅将加密内容迁移到新密钥服务。
如需移除备用密钥服务,请执行以下操作:
-
- 在管理控制台中,依次点击“菜单”图标
- 在外部密钥服务下方,点击您要移除其备用密钥服务的密钥服务的名称。
- 点击移除备用密钥服务。
- 选中如需移除备用密钥服务,请确认您理解以下内容下方的复选框。
- 点击移除备用密钥服务。
您可以停用分配有备用密钥服务的密钥服务。例如,如果用户无法访问加密内容或无法加密新内容,不妨停用相应密钥服务,并使用其备用密钥服务。由于您要停用的密钥服务拥有备用密钥服务,因此客户端加密内容仍可供访问。
如需停用密钥服务并改用其备用密钥服务,请执行以下操作:
-
- 在管理控制台中,依次点击“菜单”图标
- 在外部密钥服务下方,点击您要移除其备用密钥服务的密钥服务的名称。
- 点击停用此密钥并改用备用密钥。
- 选中停用即表示我了解以下内容下方的复选框。
- 点击停用此密钥并改用备用密钥。
如果您在使用密钥服务时遇到问题
用于加密内容的密钥可能存在问题。请与您当前密钥服务的提供商联系,请求新网址。如需详细了解如何更改密钥服务的网址,请参阅上文中的更改密钥服务的网址。
或者,您也可以尝试执行以下操作:
- 将当前密钥服务替换为其他密钥服务。请参阅将加密内容迁移到新密钥服务。
- 如果该密钥服务拥有备用密钥服务,请尝试改用备用密钥服务。有关详情,请参阅上文中的停用拥有备用密钥服务的密钥服务。
请尝试改用备用密钥服务。有关详情,请参阅上文中的停用拥有备用密钥服务的密钥服务。
如果用户仍无法访问加密内容或加密新内容,这表示备用密钥存在问题。请与您的密钥服务提供商联系,寻求帮助。