หลังจากเพิ่มบริการจัดการคีย์ภายนอกอย่างน้อย 1 รายการในคอนโซลผู้ดูแลระบบสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace (CSE) แล้ว คุณจะต้องมอบหมายบริการเหล่านี้ให้กับหน่วยขององค์กรหรือกลุ่มการกำหนดค่า ซึ่งการมอบหมายบริการจัดการคีย์จะช่วยให้ผู้ใช้ที่คุณเพิ่มไว้ในรายการควบคุมการเข้าถึงคีย์ (KACL) ของบริการภายนอกสามารถเข้ารหัสและถอดรหัสเนื้อหาได้
หากตั้งค่าการเข้ารหัสคีย์ฮาร์ดแวร์สำหรับ CSE ของ Gmail ไว้ คุณจะต้องมอบหมายให้กับหน่วยขององค์กรหรือกลุ่มการกำหนดค่า Requires having the Assured Controls or Assured Controls Plus add-on.
สําหรับผู้ใช้ที่ต้องการเข้ารหัสเนื้อหา คุณจะต้องเปิดใช้ CSE ด้วย โปรดดูรายละเอียดที่หัวข้อเปิดหรือปิดการเข้ารหัสฝั่งไคลเอ็นต์
ข้อควรปฏิบัติก่อนที่จะเริ่มต้น
มอบหมายการเข้ารหัสด้วยบริการจัดการคีย์
มอบหมายบริการจัดการคีย์เริ่มต้นสำหรับองค์กร
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
- ในคอนโซลผู้ดูแลระบบ ไปที่เมนู
ความปลอดภัย
การเข้าถึงและการควบคุมข้อมูล
- ในส่วนการเข้ารหัสกับบริการจัดการคีย์ภายนอก ให้คลิกกำหนด
- เลือกผู้ใช้ทั้งหมดในบัญชีนี้หรือหน่วยขององค์กรระดับบนสุดจากแผงด้านซ้าย
- คลิกบริการจัดการคีย์ แล้วเลือกบริการจัดการคีย์ในรายการแบบเลื่อนลง
- คลิกบันทึก
มอบหมายบริการจัดการคีย์อื่นให้ผู้ใช้ที่ต้องการ
หากเพิ่มบริการจัดการคีย์หลายรายการไปยังคอนโซลผู้ดูแลระบบแล้ว คุณสามารถเลือกบริการจัดการคีย์อื่นนอกเหนือจากบริการปัจจุบันที่มอบหมายให้กับหน่วยขององค์กรหรือกลุ่มได้
สําคัญ: หากเนื้อหาได้รับการเข้ารหัสด้วยบริการจัดการคีย์ปัจจุบันแล้ว วิธีที่ดีที่สุดคือย้ายเนื้อหาที่เข้ารหัสไปยังบริการใหม่เพื่อให้เข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ที่มีอยู่ได้ โปรดดูรายละเอียดที่หัวข้อย้ายเนื้อหาที่เข้ารหัสไปยังบริการจัดการคีย์ใหม่ต่อไปในหน้านี้
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
- ในคอนโซลผู้ดูแลระบบ ไปที่เมนู
- ในส่วนการเข้ารหัสกับบริการจัดการคีย์ภายนอก ให้คลิกกำหนด
- ในแผงด้านซ้าย ให้เลือกหน่วยขององค์กรหรือกลุ่มที่ต้องการใช้บริการจัดการคีย์อื่น
- คลิกบริการจัดการคีย์ แล้วเลือกบริการจัดการคีย์ใหม่ในรายการแบบเลื่อนลง
- คลิกลบล้าง เพื่อเก็บการตั้งค่าไว้หากมีการเปลี่ยนแปลงกับการตั้งค่า CSE สำหรับหน่วยขององค์กรระดับบนสุด
- หากมีการตั้งค่าลบล้างให้กับหน่วยขององค์กรแล้ว ให้เลือกตัวเลือกต่อไปนี้
- รับค่า เปลี่ยนกลับไปใช้การตั้งค่า CSE เดียวกันกับองค์กรระดับบน
- บันทึก บันทึกการตั้งค่า CSE ใหม่ของคุณ (แม้ว่าการตั้งค่าสำหรับหน่วยขององค์กรหลักจะเปลี่ยนไป)
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม
ย้ายเนื้อหาที่เข้ารหัสไปยังบริการจัดการคีย์ใหม่
หากไม่ต้องการใช้บริการจัดการคีย์ที่มีอยู่เพื่อเข้ารหัสเนื้อหาสำหรับหน่วยขององค์กรหรือกลุ่มอีกต่อไป คุณสามารถเพิ่มบริการใหม่ เลือกบริการสำรองข้อมูล และย้ายเนื้อหาที่เข้ารหัสไปยังบริการใหม่ได้
บริการใดบ้างที่ได้รับการสนับสนุน
ปัจจุบันคุณสามารถย้ายเนื้อหาที่เข้ารหัสสําหรับบริการต่อไปนี้ได้
- Google ไดรฟ์และเอกสาร
- Google ปฏิทิน
หากต้องการเปลี่ยนไปใช้บริการจัดการคีย์อื่นสำหรับ CSE ของ Gmail: คุณต้องใช้ Gmail API เพื่ออัปโหลดใบรับรอง S/MIME ใหม่ที่มีคีย์ซึ่งบริการจัดการคีย์ใหม่รวมไว้ให้กับผู้ใช้แต่ละราย โปรดดูรายละเอียดที่หัวข้อ Gmail เท่านั้น: อัปโหลดคีย์การเข้ารหัสสำหรับการเข้ารหัสฝั่งไคลเอ็นต์
Google ไม่ถอดรหัสเนื้อหา
ในระหว่างการย้ายข้อมูล Google จะไม่ถอดรหัสเนื้อหา บริการใหม่จะถอดชั้นการเข้ารหัสออกจากบริการก่อนหน้าและแทนที่ด้วยชั้นการเข้ารหัสใหม่
ซึ่งการดำเนินการนี้ไม่ส่งผลกระทบต่อผู้ใช้
ในระหว่างการย้ายข้อมูล ผู้ใช้สามารถเข้ารหัสหรือดูเนื้อหาที่เข้ารหัสต่อได้โดยไม่มีการหยุดชะงัก
สถานะการย้ายข้อมูลไม่พร้อมใช้งาน
ไม่มีสถานะความคืบหน้าและการแจ้งเตือนปัญหาใดๆ
ทดสอบการย้ายข้อมูลกับผู้ใช้จํานวนน้อยก่อน
แนวทางปฏิบัติแนะนําคือ ให้ลองย้ายข้อมูลกับผู้ใช้จํานวนน้อยก่อนที่จะย้ายข้อมูลทุกอย่างของผู้ใช้ทั้งหมด มอบหมายคีย์ใหม่ให้กับหน่วยขององค์กรหรือกลุ่มเพียงกลุ่มเดียว และเปิดใช้การย้ายข้อมูลให้กับผู้ใช้เหล่านั้นเพื่อดูว่าเกิดปัญหาในการย้ายข้อมูลหรือไม่
หลังจากทดสอบการย้ายข้อมูลแล้ว ให้ลองเข้ารหัสเนื้อหาใหม่ด้วยบริการจัดการคีย์ใหม่ แล้วตรวจสอบว่าคุณยังสามารถเข้าถึงและแก้ไขเนื้อหาที่เข้ารหัสไว้ก่อนหน้านี้ได้หรือไม่
ลดเวลาในการย้ายข้อมูล
หากต้องการลดจำนวนรายการใหม่ที่เข้ารหัสด้วยบริการจัดการคีย์ปัจจุบัน ให้เริ่มย้ายข้อมูลทั้งหมดในช่วงที่มีการใช้งานต่ำ
- หากใช้บริการจัดการคีย์เพียงบริการเดียว: ให้เพิ่มบริการจัดการคีย์ใหม่และเลือกบริการปัจจุบันเป็นข้อมูลสํารอง โปรดดูรายละเอียดที่หัวข้อเพิ่มบริการจัดการคีย์ภายนอก
- หากบริการจัดการคีย์ใดที่คุณมีอยู่ใช้บริการสํารองข้อมูลอยู่แล้ว: ให้นําข้อมูลสํารองออกจากบริการจัดการคีย์ โปรดดูรายละเอียดที่หัวข้อนําข้อมูลสํารองออกจากบริการจัดการคีย์ จากนั้นเพิ่มบริการจัดการคีย์ใหม่และเลือกบริการปัจจุบันเป็นข้อมูลสำรอง
สำคัญ: หากกำลังย้ายเนื้อหาจากข้อมูลสำรองที่คุณต้องการนำออก โปรดรอจนกว่าการย้ายข้อมูลเสร็จสมบูรณ์ เมื่อนําข้อมูลสํารองออกแล้ว การย้ายข้อมูลจะหยุดลงทันที โปรดดูรายละเอียดที่ขั้นตอนที่ 4: ตรวจสอบว่าการย้ายข้อมูลเสร็จสมบูรณ์หรือไม่ต่อไปในหน้านี้
หลังจากเลือกบริการจัดการคีย์ใหม่สําหรับหน่วยขององค์กรหรือกลุ่มแล้ว คุณสามารถเปิดการย้ายข้อมูลได้ หากมีบริการซึ่งมีเนื้อหาที่เข้ารหัสไว้ก่อนหน้านี้ซึ่งสามารถย้ายได้
เวลาในการย้ายข้อมูลจะแตกต่างกันไป ขึ้นอยู่กับปริมาณเนื้อหาของคุณที่ได้รับการเข้ารหัสด้วยบริการจัดการคีย์ปัจจุบัน และความเร็วในการประมวลผลของบริการจัดการคีย์ใหม่ อาจใช้เวลา 2-3 ชั่วโมงไปจนถึงหลายวันจึงจะเห็นความคืบหน้าในการย้ายข้อมูลเนื้อหา
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
- ในคอนโซลผู้ดูแลระบบ ไปที่เมนู
- ในส่วนการเข้ารหัสกับบริการจัดการคีย์ภายนอก ให้คลิกกำหนด
- ในแผงด้านซ้าย ให้เลือกหน่วยขององค์กรหรือกลุ่มที่ต้องการย้ายข้อมูลเนื้อหาไปยังบริการจัดการคีย์ใหม่
- ในส่วน การย้ายข้อมูล ให้คลิกเปิด
หมายเหตุ: ตัวเลือกนี้จะใช้ได้เฉพาะเมื่อมีบริการที่มีเนื้อหาที่เข้ารหัสไว้ก่อนหน้านี้แสดงอยู่ในส่วนการย้ายข้อมูลเท่านั้น
- ในข้อความยืนยัน ให้ทำเครื่องหมายในช่องเพื่อระบุว่าคุณเข้าใจว่าการย้ายข้อมูลไม่สามารถย้อนกลับได้เมื่อเริ่มดำเนินการแล้ว จากนั้นคลิกบันทึก
ขั้นตอนการย้ายข้อมูลจะเริ่มต้นขึ้น
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
- ในคอนโซลผู้ดูแลระบบ ไปที่เมนู
- ในส่วนการเข้ารหัสกับบริการจัดการคีย์ภายนอก ให้คลิกกำหนด
- ในแผงด้านซ้าย ให้เลือกหน่วยขององค์กรหรือกลุ่มที่ต้องการย้ายข้อมูลเนื้อหาที่เข้ารหัสไปยังบริการจัดการคีย์ใหม่
- ในส่วนการย้ายข้อมูล ให้ตรวจสอบจํานวนรายการที่เข้ารหัสกับบริการก่อนหน้านี้ (ปัจจุบันคือบริการสํารองข้อมูล)
หากไม่มีรายการที่เข้ารหัส แสดงว่าการย้ายข้อมูลเสร็จสมบูรณ์
หากการย้ายข้อมูลเนื้อหาเสร็จสมบูรณ์แล้วและคุณไม่ต้องการใช้บริการสำรองข้อมูลอีกต่อไป คุณสามารถนำบริการออกจากบริการจัดการคีย์ใหม่ได้ โปรดดูรายละเอียดที่หัวข้อนําข้อมูลสํารองออกจากบริการจัดการคีย์
มอบหมายการเข้ารหัสด้วยคีย์ฮาร์ดแวร์ (Gmail เท่านั้น)
หากคุณตั้งค่าการเข้ารหัสคีย์ฮาร์ดแวร์ให้กับผู้ใช้ทั้งหมดหรือบางรายในองค์กรเพื่อเข้ารหัส Gmail คุณจะต้องมอบหมายการเข้ารหัสให้กับผู้ใช้ดังกล่าว
หากใช้บริการจัดการคีย์การเข้ารหัสสำหรับ Gmail ด้วย คุณสามารถกำหนดการเข้ารหัสคีย์ฮาร์ดแวร์ให้กับผู้ใช้รายเดียวกันกับบริการจัดการคีย์ได้ แต่ผู้ใช้เหล่านั้นจะเข้ารหัส Gmail โดยเลือกระหว่างใช้บริการจัดการคีย์หรือคีย์ฮาร์ดแวร์ ทั้งนี้ขึ้นอยู่กับวิธีตั้งค่าคีย์การเข้ารหัสสำหรับ Gmail โปรดดูรายละเอียดที่หัวข้อ "Gmail เท่านั้น: ตั้งค่า Gmail API สำหรับการเข้ารหัสฝั่งไคลเอ็นต์
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
- ในคอนโซลผู้ดูแลระบบ ไปที่เมนู
- ในส่วนการเข้ารหัสด้วยคีย์ฮาร์ดแวร์ ให้คลิก กำหนด
- ในแผงด้านซ้าย ให้เลือกหน่วยขององค์กรหรือกลุ่มที่ต้องการใช้บริการจัดการคีย์อื่น
- คลิกการเข้ารหัสคีย์ฮาร์ดแวร์ แล้วเลือกช่องดังกล่าว
- หากเลือกหน่วยขององค์กรย่อย ให้คลิกลบล้างเพื่อเก็บการตั้งค่าไว้หากมีการเปลี่ยนแปลงการตั้งค่า CSE สำหรับหน่วยขององค์กรระดับบนสุด
- หากมีการตั้งค่าลบล้างให้กับหน่วยขององค์กรแล้ว ให้เลือกตัวเลือกต่อไปนี้
- รับค่า เปลี่ยนกลับไปใช้การตั้งค่า CSE เดียวกันกับองค์กรระดับบน
- บันทึก บันทึกการตั้งค่า CSE ใหม่ของคุณ (แม้ว่าการตั้งค่าสำหรับหน่วยขององค์กรหลักจะเปลี่ยนไป)
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม