為使用 Google Workspace 用戶端加密 (CSE) 功能,您將一或多個外部金鑰服務新增至管理控制台後,需要將這些服務指派給機構單位或配置群組。指派金鑰服務後,您新增至外部服務金鑰存取控制清單 (KACL) 的使用者就能加密/解密內容。
如果您為 Gmail CSE 設定硬體金鑰加密功能,請將該功能指派給機構單位或配置群組。Requires having the Assured Controls or Assured Controls Plus add-on.
如果使用者需要為內容加密,您也必須為他們開啟 CSE。詳情請參閱「開啟或關閉用戶端加密功能」。
事前準備
使用金鑰服務指派加密功能
為貴機構指派預設金鑰服務
您必須以超級管理員的身分登入才能執行這項工作。
-
- 在管理控制台中,依序點選「選單」圖示
「安全性」
「存取權與資料控管」
- 在「使用外部金鑰服務加密」下方,按一下「指派」。
- 在左側面板中選取「這個帳戶中的所有使用者」或頂層機構單位。
- 按一下「金鑰服務」,然後在下拉式清單中選取您的金鑰服務。
- 按一下「儲存」。
為特定使用者指派不同的金鑰服務
如果您在管理控制台新增了多個金鑰服務,可以選取與目前指派給機構單位或群組不同的金鑰服務。
重要事項:如果內容已由目前的金鑰服務加密,建議您將加密內容遷移至新服務,確保使用者可存取現有的用戶端加密內容。詳情請參閱本頁的「將加密內容遷移至新金鑰服務」一節。
您必須以超級管理員的身分登入才能執行這項工作。
-
- 在管理控制台中,依序點選「選單」圖示
- 在「使用外部金鑰服務加密」下方,按一下「指派」。
- 在左側面板中,選取要使用其他金鑰服務的機構單位或群組。
- 按一下「金鑰服務」,然後在下拉式清單中選取新的金鑰服務。
- 如果上層機構單位的 CSE 設定有所變動,按一下「覆寫」即可保留設定。
- 如果已為機構單位設定「已覆寫」,請選擇下列其中一個選項:
- 沿用:還原成與上層機構相同的 CSE 設定。
- 儲存:儲存新的 CSE 設定 (即使上層設定發生變更,仍會套用新設定)。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
將加密內容遷移至新金鑰服務
如果不想再使用現有金鑰服務為機構單位或群組的內容加密,您可以新增服務、選取備用服務,並將加密內容遷移至新服務。
支援的服務
目前,您可以遷移下列服務的加密內容:
- Google 雲端硬碟與文件
- Google 日曆
如要為 Gmail CSE 改用其他金鑰服務:您必須使用 Gmail API 為每位使用者上傳新的 S/MIME 憑證,以及由新金鑰服務包裝的金鑰。詳情請參閱「僅限 Gmail:為用戶端加密功能上傳加密金鑰」。
Google 不會解密內容
在遷移過程中,Google 絕不會解密內容。新服務會解除先前服務的加密層,並替換成新加密層。
使用者不會受到任何影響
在遷移期間,使用者可以繼續為內容加密或查看加密內容,不會受到干擾。
系統無法顯示遷移狀態
系統無法顯示進度狀態或傳送問題通知。
請先對少數使用者測試遷移作業
建議您先嘗試遷移少數使用者的內容,再針對所有使用者的內容執行完整遷移作業。請只將新金鑰指派給一個機構單位或群組,並為其中的使用者開啟遷移功能,藉此找出是否有任何遷移問題。
完成測試遷移作業後,請嘗試使用新金鑰服務為新內容加密,並檢查是否仍可存取和編輯先前加密的內容。
縮短遷移時間
如要盡可能減少由目前金鑰服務加密的新項目數量,請選在離峰期間執行完整遷移作業。
- 如果目前只使用一項金鑰服務:請新增金鑰服務,並將目前服務設為備用服務。詳情請參閱「新增外部金鑰服務」。
- 如果目前使用的金鑰服務已有備用服務:請在金鑰服務中移除備用服務,詳情請參閱「從金鑰服務中移除備用服務」。接著,請新增金鑰服務並將目前服務選取為備用服務。
重要事項:如果您目前正在從備用服務遷移您需要移除的內容,請先等待系統完成遷移作業,再進行操作。一旦移除備用服務,所有遷移作業都會立即停止。詳情請參閱本頁的「步驟 4:檢查是否已完成遷移」。
您為機構單位或群組選取新金鑰服務後,如果某些服務上的先前加密內容已可供遷移,就可以開啟遷移功能。
影響遷移時間長短的因素包括目前金鑰服務上的加密內容數量,以及新金鑰服務的處理速度。系統可能需要數小時到數天的時間,才能顯示內容遷移進度。
您必須以超級管理員的身分登入才能執行這項工作。
-
- 在管理控制台中,依序點選「選單」圖示
- 在「使用外部金鑰服務加密」下方,按一下「指派」。
- 在左側面板中,選取要將內容遷移至新金鑰服務的機構單位或群組。
- 在「遷移」下方,按一下「開啟」。
注意:只有列在「遷移」下方,且具有先前已遷移內容的服務,才能使用這個選項。
- 勾選確認訊息中的核取方塊,表示您瞭解遷移作業開始後即無法復原。然後按一下「儲存」。
遷移程序會立即開始。
您必須以超級管理員的身分登入才能執行這項工作。
-
- 在管理控制台中,依序點選「選單」圖示
- 在「使用外部金鑰服務加密」下方,按一下「指派」。
- 在左側面板中,選取要將加密內容遷移至新金鑰服務的機構單位或群組。
- 在「遷移」下方,檢查前一個金鑰服務 (現為備用服務) 的加密項目數量。
如果沒有任何加密項目,即表示遷移作業已完成。
完成內容遷移作業後,如果您不想再使用備用服務,可以從新金鑰服務移除該服務。詳情請參閱「從金鑰服務中移除備用服務」。
使用硬體金鑰指派加密設定 (僅限 Gmail)
如果您已為貴機構的全部或部分使用者,設定硬體金鑰加密功能來加密 Gmail,請務必將該金鑰指派給這些使用者。
如果您同時也使用 Gmail 的加密金鑰服務:您可以為使用金鑰服務的使用者指派硬體金鑰加密服務。不過,這些使用者會擇一使用金鑰服務或硬體金鑰為 Gmail 加密 (視您為 Gmail 加密金鑰設定的方式而定)。詳情請參閱「僅限 Gmail:為用戶端加密功能設定 Gmail API」。
您必須以超級管理員的身分登入才能執行這項工作。
-
- 在管理控制台中,依序點選「選單」圖示
- 在「使用硬體金鑰加密」下方,按一下「指派」。
- 在左側面板中,選取要使用其他金鑰服務的機構單位或群組。
- 按一下「硬體金鑰加密」,然後勾選方塊。
- 如果您已選取子機構單位,而上層機構單位的 CSE 設定有所變動,按一下「覆寫」即可保留設定。
- 如果已為機構單位設定「已覆寫」,請選擇下列其中一個選項:
- 沿用:還原成與上層機構相同的 CSE 設定。
- 儲存:儲存新的 CSE 設定 (即使上層設定發生變更,仍會套用新設定)。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情