启用或停用客户端加密功能

请确认您查看的是正确的页面。这些步骤适用于为公司、学校或其他群组管理 Gmail 账号的管理员。您无法将客户端加密功能与个人 gmail.com 账号搭配使用。如果您不是管理员，但拥有公司或学校的 Google 账号，并且该账号使用客户端加密功能，请前往 Gmail、Google 日历或 Google 文档的帮助中心。

支持此功能的版本：企业 Plus 版；教育标准版和教育 Plus 版。 比较您的版本

作为管理员，您可以为需要使用以下服务创建加密内容的用户启用 Google Workspace 客户端加密功能 (CSE)：

对于此服务…	为以下情况启用 CSE...
Google 云端硬盘	需要创建客户端加密文档、电子表格和演示文稿的用户，或需要将客户端加密文件上传到云端硬盘的用户。如果用户只需要查看和编辑共享给自己的文件，则您无需为这类用户启用 CSE。
Gmail	需要发送或接收加密邮件的用户。在为 Gmail 启用 CSE 之前：请确保启用 Gmail API 并上传用户的加密密钥。有关详情，请参阅“仅限 Gmail：上传加密密钥以启用客户端加密功能”。
Google 日历	需要创建客户端加密日历活动的用户。如果您想让这些用户附加客户端加密文档并主持客户端加密会议，则还需要为他们启用云端硬盘和 Meet 的 CSE。您无需为活动邀请对象启用 CSE。
Google Meet	需要主持客户端加密在线会议的用户。无需为其他会议参与者启用 CSE。

对于只需查看或编辑加密内容的用户，请确保：

将内部用户列入您的密钥服务的密钥访问控制列表 (KACL)。有关详情，请参阅设置密钥服务以启用客户端加密功能。
外部用户有权访问您的客户端加密内容。有关详情，请参阅提供对客户端加密内容的外部访问权限。

准备工作

打开此部分 | 全部收起

确保您已完成以下步骤

选择密钥服务。
连接到您的身份提供方 (IdP)。
设置外部密钥服务或硬件密钥加密。
向组织部门或群组分配密钥服务或硬件密钥加密。
如果您要使用多项密钥服务，请确保已将这些服务分配给相应的组织部门或配置群组。

了解针对受支持的服务使用 CSE 时存在的限制

如需详细了解用户在选择使用 CSE 后无法使用的功能，请参阅 CSE 用户体验。

如有需要，请向组织部门和群组添加用户

请确保您已将用户添加到要为所有或特定服务启用 CSE 的组织部门或群组。

如需详细了解如何创建组织部门，请参阅添加组织部门。
如需详细了解如何创建和使用配置群组，请参阅通过配置群组来自定义服务设置。

您可以将 CSE 设为用户应用的默认设置

Requires having the Assured Controls or Assured Controls Plus add-on.

为组织部门启用 CSE 时，您可以将 CSE 设为以下服务的默认设置（包括 Web 应用和移动应用）：

Gmail - 当用户撰写、回复或转发电子邮件时，内容在默认情况下会进行加密。
Google 云端硬盘 - 当用户创建新文件（例如文档、电子表格和演示文稿）时，内容在默认情况下会进行加密。
Google 日历 - 当用户创建活动时，系统会默认对活动说明进行加密。默认情况下，Google Meet 会议也会加密。

如果您默认启用 CSE，用户仍然可以在需要时选择停用加密功能。您可以使用安全调查工具监控用户为云端硬盘和日历停用 CSE 的操作。有关详情，请参阅查看客户端加密功能的日志和报告。

注意：目前，将 CSE 设为服务的默认设置仅适用于组织部门，不适用于配置群组。

为用户启用或停用 CSE

若要为用户启用 CSE，您需要开启用户所属组织部门或配置群组的 CSE。您启用针对 CSE 的用户访问权限后，用户便可以选择是否加密内容。

为组织部门启用 CSE 时，您可以将 CSE 设为 Gmail、Google 云端硬盘和 Google 日历的默认设置（针对 Web 应用和移动应用）。Requires having the Assured Controls or Assured Controls Plus add-on.

若要禁止用户加密内容，您可以为用户所属的组织部门或配置群组停用 CSE。如果您为用户停用了 CSE，所有现有的客户端加密内容都将保持加密状态，并可供访问。

您必须以超级用户身份登录，才能执行此任务。

登录您的 Google 管理控制台。
请使用拥有超级用户权限的帐号（不是以 @gmail.com 结尾）登录。
在管理控制台中，依次点击“菜单”图标 安全性 访问权限和数据控件 客户端加密。
在应用下方，找到您要为用户的哪些 Google 服务启用或停用 CSE，然后点击相应服务的名称。
或者，在使用外部密钥服务进行加密或使用硬件密钥进行加密下方，点击分配。然后，在按应用加密下方，选择要为其启用 CSE 的 Google 服务。
在左侧面板中，选择您要为哪些组织部门或群组启用或停用 CSE。
在用户访问权限下方，选择启用或停用。
在弹出的消息窗口中，确认您的选择。
（仅对于组织部门是可选的）如需默认使用 Google 服务加密 Gmail、云端硬盘或日历内容，请勾选默认启用客户端加密功能复选框。用户仍然可以选择停用加密功能。
Requires having the Assured Controls or Assured Controls Plus add-on.
点击覆盖，以便在上级组织部门的 CSE 设置发生变化时保持您的当前设置不变。
如果为组织部门设置了已覆盖，请根据需要选择一个选项：
- 继承：恢复为与上级组织部门相同的 CSE 设置。
- 保存：保存新的 CSE 设置（即使上级组织部门的设置发生变化也应用新设置）。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

如果您为 Gmail 启用了 CSE

对于要使用 Gmail 客户端加密功能的每位用户，您都需要准备 S/MIME 证书和加密的私钥元数据，并将其上传到 Gmail。有关详情，请参阅为用户设置 Gmail CSE。

如果用户无法使用 CSE

如果用户无法使用客户端加密功能，请查看提醒中心。有关详情，请参阅客户端加密服务不可用。

该内容对您有帮助吗？

您有什么改进建议？