支援這項功能的版本:Frontline Plus;Enterprise Plus;Education Standard 和 Education Plus。版本比較
如果使用者需要透過以下服務建立加密內容,您可以為他們開啟 Google Workspace 用戶端加密 (CSE) 功能:
| 適用服務 | 為以下情況啟用 CSE 功能... |
|---|---|
| Google 雲端硬碟 |
需要建立用戶端加密文件、試算表和簡報,或將用戶端加密檔案上傳至雲端硬碟的使用者。 如果使用者只會查看及編輯與他們共用的檔案,您就無須為他們開啟 CSE。 |
| Gmail |
需要收發加密郵件的使用者。 啟用 Gmail 的 CSE 前:除了啟用 Gmail CSE 外,您也需要啟用使用者的電子郵件加密功能,因此請查看相關選項。詳情請參閱本頁下方的「Gmail CSE:確認已啟用使用者的加密功能」。 |
| Google 日曆 |
需要建立用戶端加密日曆活動的使用者。如要讓這些使用者附加用戶端加密文件和發起用戶端加密會議,您也必須為他們開啟雲端硬碟和 Meet 的 CSE 功能。 您無須為活動邀請對象開啟 CSE。 |
| Google Meet |
需要主辦用戶端加密線上會議的使用者。 對於會議中的其他參與者,則無須開啟 CSE。 |
如果使用者只需要查看或編輯加密內容,請確認下列事項:
- 內部使用者列在金鑰服務的金鑰存取控制清單 (KACL) 中。詳情請參閱「設定金鑰服務以進行用戶端加密」。
- 外部使用者可存取您的用戶端加密內容。詳情請參閱「開放外部人士存取用戶端加密內容」。
事前準備
- 選擇金鑰服務。
- 連線至識別資訊提供者 (IdP)。
- 設定外部金鑰服務或硬體金鑰加密。
- 為機構單位或群組指派金鑰服務或硬體金鑰加密功能。
如果您使用多個金鑰服務,請確認金鑰服務皆已指派給適當的機構單位或配置群組。
請確認您已將使用者加入您要為所有或特定服務開啟 CSE 的機構單位或群組。
- 如要進一步瞭解如何建立組織單位,請參閱「新增組織單位」。
- 如要進一步瞭解如何建立及使用配置群組,請參閱「使用配置群組自訂服務設定」。
為機構單位開啟 CSE 後,即可將 CSE 設為下列服務的預設設定,包括網頁版和行動應用程式:
- Gmail:根據預設,當使用者撰寫、回覆或轉寄電子郵件時,內容會經過加密。
- Google 雲端硬碟:當使用者建立新檔案 (例如文件、試算表和簡報) 時,系統預設會加密內容。
- Google 日曆:根據預設,使用者建立活動時,活動說明會經過加密。根據預設,Google Meet 會議也會經過加密。
即使您預設開啟 CSE,使用者仍可視需要關閉加密功能。您可以使用安全調查工具監控使用者動作,關閉雲端硬碟和日曆的 CSE 功能。詳情請參閱「查看用戶端加密的記錄和報告」。
注意:目前只有機構單位才能將 CSE 設為預設設定,無法透過配置群組設定。
使用者必須為帳戶啟用 Gmail CSE 和電子郵件加密功能,才能收發加密郵件。視訂閱方案和需求而定,您可以透過下列任一方式啟用加密功能:
- 為使用者設定及上傳 S/MIME 憑證 (須瞭解如何運用 API 和 Python 指令碼)。若採用此方式,您必須先啟用 Gmail API,才能開啟 Gmail CSE。詳情請參閱「僅限 Gmail:設定用戶端加密功能的 S/MIME 憑證」。
- 如果您已加購安全控管功能,且沒有在 Gmail 中使用硬體金鑰加密,請在開啟 Gmail CSE 時選取「以訪客帳戶加密」選項 (如本頁後述),即可使用 Gmail 端對端加密 (E2EE) 功能。若採用此方法,您不需要為使用者設定 S/MIME 憑證。 如要使用 Gmail E2EE 功能,請先設定訪客識別資訊提供者 (IdP)。詳情請參閱「開放外部人士存取用戶端加密內容」。
重要事項:您也可以透過「以訪客帳戶加密」選項,允許使用者與組織外的任何人互傳用戶端加密郵件。如要提供這項存取權,您需要設定訪客識別資訊提供者 (IdP)。詳情請參閱「開放外部人士存取用戶端加密內容」。
為使用者開啟或關閉 CSE
如要為使用者開啟 CSE,您必須為使用者所屬機構單位或配置群組開啟 CSE。開啟 CSE 的使用者存取權後,使用者就能選擇是否要加密內容。
為特定組織單位開啟 CSE 後,您可以將 CSE 設為 Gmail、Google 雲端硬碟和 Google 日曆的預設設定,包括網頁版和行動應用程式。須加購「安全控管」或「安全控管 Plus」方案
如要禁止使用者加密內容,請為他們所屬的機構單位或配置群組關閉 CSE。如果您為使用者關閉 CSE,任何現有的用戶端加密內容都會維持加密狀態,也可供使用者存取。
您必須以超級管理員的身分登入才能執行這項工作。
-
請使用「超級管理員」帳戶登入 Google 管理控制台。
如果您不是使用超級管理員帳戶,就無法完成這些步驟。
- 依序點選「選單」圖示
「資料」>「法規遵循」>「用戶端加密」。
- 在「應用程式」下方,按一下您要為使用者開啟或關閉 CSE 的 Google 服務名稱。
或者,在「使用外部金鑰服務加密」或「使用硬體金鑰加密」部分,按一下「指派」。接著在「依應用程式加密」部分,選取要開啟 CSE 的 Google 服務。
- 在左側面板中,選取要開啟或關閉 CSE 的組織單位或群組。
- 在「用戶端加密狀態」下方,選取「開啟」或「關閉」。
- 在彈出式訊息中確認您所選的設定。
- (僅限 Gmail 選用) 如要自動啟用使用者帳戶的電子郵件加密功能,請在「以訪客帳戶加密」下方,選取「允許使用者傳送用戶端加密郵件給不使用 S/MIME 的收件者」。須加購「安全控管」或「安全控管 Plus」方案
- (僅限組織單位選用) 如要預設使用 Google 服務加密 Gmail、雲端硬碟或日曆內容,請勾選「預設為開啟」下方的「預設開啟用戶端加密功能」方塊。使用者仍可選擇關閉加密功能。
須加購「安全控管」或「安全控管 Plus」方案 - 如果上層組織單位的 CSE 設定有所變動,按一下「覆寫」即可保留設定。
- 如果已為組織單位設定「已覆寫」,請選擇下列任一選項:
- 沿用:還原成與上層機構相同的 CSE 設定。
- 儲存:儲存新的 CSE 設定 (即使上層設定發生變更,仍會套用新設定)。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
如果您已為 Gmail 開啟 CSE
如果提交 Gmail CSE 後無法使用「以訪客帳戶加密」選項:對於想開啟 Gmail CSE 的使用者,您必須取得他們的 S/MIME 憑證及已加密的私密金鑰中繼資料,並將這些資訊上傳到 Gmail。詳情請參閱「為使用者設定 Gmail CSE」。
如果使用者遇到 CSE 功能相關問題
如果使用者遇到 Gmail CSE 的相關問題,請查看快訊中心。詳情請參閱「無法使用用戶端加密服務」。
