支援這項功能的版本:Enterprise Plus 和 Education Standard 和 Education Plus。 版本比較
如果使用者需要透過以下服務建立加密內容,您可以為他們開啟 Google Workspace 用戶端加密 (CSE) 功能:
- Google 雲端硬碟:只有需要建立用戶端加密文件、試算表和簡報,或將用戶端加密檔案上傳至雲端硬碟的使用者,您才須為他們開啟 CSE。如果使用者只會查看及編輯與他們共用的檔案,您就無須為他們開啟 CSE。
- Gmail:僅為需要傳送或接收加密郵件的使用者開啟 CSE。
為 Gmail 開啟 CSE 前:請確認您已啟用 Gmail API 並上傳使用者的加密金鑰。詳情請參閱「僅限 Gmail:為用戶端加密功能上傳加密金鑰」。
- Google 日曆:只有需要建立用戶端加密日曆活動的使用者,您才須為他們開啟 CSE。如要讓這些使用者附加用戶端加密文件和發起用戶端加密會議,您也必須為他們開啟雲端硬碟和 Meet 的 CSE 功能。您無須為活動邀請對象開啟 CSE。
- Google Meet:只有需要發起用戶端加密線上會議的使用者,您才須為他們開啟 CSE。對於會議中的其他參與者,則無須開啟 CSE。
如果使用者只需要查看或編輯加密內容,請確認下列事項:
- 內部使用者列在金鑰服務的金鑰存取控制清單 (KACL) 中。詳情請參閱「為用戶端加密功能設定金鑰服務」。
- 外部使用者的識別資訊提供者 (IdP) 列在金鑰服務的許可清單中。詳情請參閱「CSE 相關規定」。
事前準備
- 選擇金鑰服務。
- 連線至識別資訊提供者 (IdP)。
- 設定外部金鑰服務或硬體金鑰加密。
- 為機構單位或群組指派金鑰服務或硬體金鑰加密功能。
如果您使用多個金鑰服務,請確認金鑰服務皆已指派給適當的機構單位或配置群組。
請確認您已將使用者加入您要為所有或特定服務開啟 CSE 的機構單位或群組。
- 如要進一步瞭解如何建立機構單位,請參閱「新增機構單位」。
- 如要進一步瞭解如何建立及使用配置群組,請參閱「使用配置群組自訂服務設定」。
Requires having the Assured Controls add-on.
為機構單位開啟 CSE 後,即可將 CSE 設為下列服務的預設設定,包括網頁版和行動應用程式:
- Gmail:根據預設,當使用者撰寫、回覆或轉寄電子郵件時,內容會經過加密。
- Google 雲端硬碟:當使用者建立新檔案 (例如文件、試算表和簡報) 時,系統預設會加密內容。
- Google 日曆:根據預設,使用者建立活動時,活動說明會經過加密。根據預設,Google Meet 會議也會經過加密。
如果預設開啟 CSE,使用者仍然可以視需要選擇關閉加密功能。您可以使用安全調查工具監控使用者動作,關閉雲端硬碟和日曆的 CSE 功能。詳情請參閱「查看用戶端加密的記錄和報告」。
注意:目前只有機構單位才能將 CSE 設為預設設定,無法透過配置群組設定。
為使用者開啟或關閉 CSE
如要為使用者開啟 CSE,您必須為使用者所屬機構單位或配置群組開啟 CSE。開啟 CSE 的使用者存取權後,使用者就能選擇是否要加密內容。
為特定機構單位開啟 CSE 後,您可以將 CSE 設為 Gmail、Google 雲端硬碟和 Google 日曆的預設設定,包括網頁版和行動應用程式。Requires having the Assured Controls add-on.
如要禁止使用者加密內容,請為他們所屬的機構單位或配置群組關閉 CSE。如果您為使用者關閉 CSE,任何現有的用戶端加密內容都會維持加密狀態,也可供使用者存取。
您必須以超級管理員的身分登入才能執行這項工作。
-
- 在管理控制台中,依序點選「選單」圖示 「安全性」「存取權與資料控管」「用戶端加密」。
- 在「應用程式」下方,按一下您要為使用者開啟或關閉 CSE 的 Google 服務名稱。
或者,在「使用外部金鑰服務加密」或「使用硬體金鑰加密」部分,按一下「指派」。接著在「依應用程式加密」部分,選取要開啟 CSE 的 Google 服務。
- 在左側面板中,選取您要開啟或關閉 CSE 的機構單位或群組。
- 在「使用者存取權」下方選取「開啟」或「關閉」。
- 在彈出式訊息中確認您所選的設定。
- (僅限機構單位選用) 如要預設使用 Google 服務加密 Gmail、雲端硬碟或日曆內容,請勾選「預設啟用用戶端加密功能」方塊。使用者仍可選擇關閉加密功能。
Requires having the Assured Controls add-on. - 如果上層機構單位的 CSE 設定有所變動,按一下「覆寫」即可保留設定。
- 如果已為機構單位設定「已覆寫」,請選擇下列其中一個選項:
- 沿用:還原成與上層機構相同的 CSE 設定。
- 儲存:儲存新的 CSE 設定 (即使上層設定發生變更,仍會套用新設定)。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
如果您已為 Gmail 開啟 CSE
只要是想對 Gmail 使用 CSE 的使用者,您就必須將他們的 S/MIME 憑證,以及透過金鑰服務加密的私密金鑰中繼資料上傳到 Gmail。詳情請參閱「為使用者設定 Gmail CSE」。
如果使用者無法順利使用 CSE
如果使用者在使用 CSE 時遇到問題,請查看快訊中心。詳情請參閱「用戶端加密服務無法使用」。