在管理控制台中添加一项或多项外部密钥服务以启用 Google Workspace 客户端加密功能 (CSE) 后,您需要将这些服务分配给组织部门或配置群组。分配密钥服务后,您添加到外部服务的密钥访问控制列表 (KACL) 中的用户就可以加密和解密内容。
如果您已为 Gmail CSE 设置硬件密钥加密,则需要将其分配给组织部门或配置群组。Requires having the Assured Controls add-on.
对于需要加密内容的用户,您还需要启用 CSE。有关详情,请参阅启用或停用客户端加密功能。
准备工作
使用密钥服务分配加密
为组织分配默认密钥服务
您必须以超级用户身份登录,才能执行此任务。
-
- 在管理控制台中,依次点击“菜单”图标 安全性 访问权限和数据控件 客户端加密。
- 在使用外部密钥服务加密下方,点击分配。
- 在左侧面板中,选择此账号中的所有用户或顶级组织部门。
- 点击密钥服务,然后从下拉列表中选择您的密钥服务。
- 点击保存。
为特定用户分配其他密钥服务
如果您已将多项密钥服务添加到管理控制台,则可以选择与分配给某个组织部门或群组的当前服务不同的密钥服务。
重要提示:如果内容已通过当前密钥服务加密,最好将加密内容迁移到新服务,确保现有客户端加密内容仍可供访问。有关详情,请参阅本页面后面的将加密内容迁移到新密钥服务。
您必须以超级用户身份登录,才能执行此任务。
-
- 在管理控制台中,依次点击“菜单”图标 安全性 访问权限和数据控件 客户端加密。
- 在使用外部密钥服务加密下方,点击分配。
- 在左侧面板中,选择要为哪个组织部门或群组使用其他密钥服务。
- 点击密钥服务,然后从下拉列表中选择新密钥服务。
- 点击覆盖,以便在上级组织部门的 CSE 设置发生变化时保持您的当前设置不变。
- 如果为组织部门设置了已覆盖,请根据需要选择一个选项:
- 继承:恢复为与上级组织部门相同的 CSE 设置。
- 保存:保存新的 CSE 设置(即使上级组织部门的设置发生变化也应用新设置)。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
将加密内容迁移到新密钥服务
如果您不想再使用现有密钥服务来为组织部门或群组加密内容,可以添加新服务,选择备用密钥服务,然后将加密内容迁移到新服务。
支持哪些服务
目前,您可以针对以下服务迁移加密内容:
- Google 云端硬盘和文档
- Google 日历
如要为 Gmail CSE 改用其他密钥服务:您需要为每位用户使用 Gmail API 上传新的 S/MIME 证书以及由新密钥服务封装的密钥。有关详情,请参阅“仅限 Gmail:上传加密密钥以启用客户端加密功能”。
Google 不会解密内容
在迁移期间,Google 绝不会解密内容。新服务会解除之前的服务添加的加密层,代之以新的加密层。
用户不会受到任何影响
在迁移期间,用户可以继续加密内容或查看加密的内容,而不会遇到服务中断。
无法查看迁移状态
系统不会显示进度状态,也不会在出现任何问题时显示通知。
先为少数用户试迁移
最好先试着为少数用户进行迁移,然后再对所有用户的内容执行完整迁移。请将新密钥仅分配给一个组织部门或群组,并为其中的用户启用迁移,以确定是否存在任何迁移问题。
试迁移结束后,请尝试使用新密钥服务加密新内容,并确认您是否仍可访问和修改之前加密的内容。
缩短迁移时间
为了尽量减少使用当前密钥服务加密的新内容数量,请在非高峰时段开始进行完整迁移。
- 如果您当前仅使用一项密钥服务:请添加新密钥服务,并选择当前服务作为备用密钥服务。有关详情,请参阅添加外部密钥服务。
- 如果您当前使用的任何密钥服务已有备用密钥服务:请移除相应密钥服务的备用密钥服务。有关详情,请参阅移除密钥服务的备用密钥服务。然后,添加新密钥服务,并选择当前服务作为备用密钥服务。
重要提示:如果您当前正在从您需要移除的备用密钥服务迁移内容,请等待迁移完成。移除备用密钥服务后,任何迁移都会立即停止。有关详情,请参阅本页面后面的“第 4 步:检查迁移是否已完成”。
为某个组织部门或群组选择新密钥服务后,如果有之前加密了内容的服务可进行迁移,您就可以启用迁移。
迁移时间取决于由当前密钥服务加密的内容量以及新密钥服务的处理速度。系统可能需要几小时到几天的时间才能显示内容迁移进度。
您必须以超级用户身份登录,才能执行此任务。
-
- 在管理控制台中,依次点击“菜单”图标 安全性 访问权限和数据控件 客户端加密。
- 在使用外部密钥服务加密下方,点击分配。
- 在左侧面板中,选择要为哪个组织部门或群组将内容迁移到新密钥服务。
- 在迁移下,点击启用。
注意:仅当迁移下列出了之前加密过内容的服务时,系统才会显示此选项。
- 勾选确认消息中的复选框,表明您了解迁移一旦开始便无法撤消。然后,点击保存。
迁移过程随即便会开始。
您必须以超级用户身份登录,才能执行此任务。
-
- 在管理控制台中,依次点击“菜单”图标 安全性 访问权限和数据控件 客户端加密。
- 在使用外部密钥服务加密下方,点击分配。
- 在左侧面板中,选择要为哪个组织部门或群组将加密的内容迁移到新密钥服务。
- 在迁移下方,查看通过之前的服务(现为备用密钥服务)加密的内容量。
如果没有任何已加密内容,则表示迁移已完成。
如果内容迁移已完成,而您不想再使用备用密钥服务,可以从新密钥服务中移除该服务。有关详情,请参阅移除密钥服务的备用密钥服务。
使用硬件密钥分配加密功能(仅限 Gmail)
如果您为组织中的所有或部分用户设置了硬件密钥加密来加密 Gmail,则需要将其分配给这些用户。
如果您还为 Gmail 使用了加密密钥服务:您可以将硬件密钥加密分配给使用该密钥服务的用户;不过,这些用户会使用密钥服务或硬件密钥来加密 Gmail,具体取决于您为 Gmail 设置加密密钥的方式。有关详情,请参阅“仅限 Gmail:设置 Gmail API 以启用客户端加密功能”。
您必须以超级用户身份登录,才能执行此任务。
-
- 在管理控制台中,依次点击“菜单”图标 安全性 访问权限和数据控件 客户端加密。
- 在使用硬件密钥加密下,点击分配。
- 在左侧面板中,选择要为哪个组织部门或群组使用其他密钥服务。
- 点击硬件密钥加密,然后勾选相应复选框。
- 如果您选择了下级组织部门,请在上级组织部门的 CSE 设置发生更改后,点击覆盖以保留您的设置。
- 如果为组织部门设置了已覆盖,请根据需要选择一个选项:
- 继承:恢复为与上级组织部门相同的 CSE 设置。
- 保存:保存新的 CSE 设置(即使上级组织部门的设置发生变化也应用新设置)。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情