支持此功能的版本:Frontline Plus;企业 Plus 版;教育标准版和教育 Plus 版。比较您的版本
需要拥有安全管控或安全管控 Plus 版加购项。
如果贵组织使用智能卡(例如个人识别码验证 [PIV] 卡)访问设施和系统,则您可以为 Gmail 客户端加密功能 (CSE) 使用硬件密钥加密,而不是加密密钥服务。
使用硬件密钥加密时,用户的私钥位于其智能卡上。用户需要将智能卡插入连接到 Windows 设备的读卡器,才能在 Gmail 中对邮件进行签名和解密。如需加密邮件,用户需要使用自己的公钥。
设置概览
如需设置硬件密钥加密,您需要完成以下步骤:
- 为需要加密邮件的每位用户在 Windows 设备上安装 Google Workspace 硬件密钥应用。该应用作为一项服务启动,在特定端口上运行,并与用户的智能卡连接以处理加密和解密。
- 在管理控制台中,输入 Google Workspace 与用户 Windows 设备上的硬件密钥应用通信时使用的端口号,以启用硬件密钥加密。
完成上述步骤后,您可以为用户分配硬件密钥加密,并为 Gmail 启用 CSE。
设置要求
用户设备必须:
- 运行 Microsoft Windows 10 或更高版本
- 连接了智能卡读卡器
- 具有包含其私有加密密钥的智能卡
第 1 步:安装 Google Workspace 硬件密钥应用
您可以使用 Google Workspace 硬件密钥应用为 Gmail 客户端加密功能设置硬件密钥加密。这使用户可以使用智能卡(例如 PIV 卡)上的私钥对邮件进行签名和加密。
第 2 步:开启硬件密钥加密
在用户的 Windows 设备上安装 Google Workspace 硬件密钥应用后,您可以在管理控制台中启用硬件密钥加密。
准备工作:请确保您拥有安装硬件密钥应用时选择的端口号。
如需开启使用硬件密钥进行加密功能,请执行以下操作:
您必须以超级用户身份登录,才能执行此任务。
-
使用超级用户账号登录 Google 管理控制台。
如果您使用的不是超级用户账号,则无法完成这些步骤。
- 依次点击“菜单”图标
数据 > 法规遵从 > 客户端加密。
- 在使用硬件密钥进行加密下,点击添加端口号。
- 输入您在安装硬件密钥应用时选择的端口号。
-
点击保存。
后续步骤
在管理控制台中安装 Google Workspace 硬件密钥应用并开启硬件密钥加密后,您需要执行以下操作:
- 为用户分配硬件密钥加密。如需了解详情,请参阅为用户分配客户端加密功能。
- 连接到您的身份提供方 (IdP)。有关详情,请参阅连接到身份提供方以使用客户端加密功能。
- 启用 Gmail API 并将用户的加密证书上传到 Gmail。如需了解详情,请参阅仅限 Gmail:为客户端加密功能配置 S/MIME 证书。
管理硬件密钥加密
更改用于硬件密钥加密的端口号
如果 Google Workspace 用于与用户 Windows 设备上的智能卡读卡器通信的端口号发生变化,您需要在管理控制台中更新该端口号,以确保用户可以继续使用 Gmail CSE。
如需更新用于硬件密钥加密的端口号,请执行以下操作:
您必须以超级用户身份登录,才能执行此任务。
-
使用超级用户账号登录 Google 管理控制台。
如果您使用的不是超级用户账号,则无法完成这些步骤。
- 依次点击“菜单”图标
- 在使用硬件密钥进行加密下,点击修改。
- 输入新的端口号。
-
点击保存。
如果用户需要新的智能卡
- 如果用户的新智能卡与先前卡包含的加密密钥相同,则用户可以使用新卡。
- 如果用户的新智能卡包含新的加密密钥,您需要使用 Gmail API 将新的公钥证书上传到 Gmail。如需了解详情,请参阅仅限 Gmail:为客户端加密功能配置 S/MIME 证书。
