支持此功能的版本:企业 Plus 版;教育标准版和教育 Plus 版。 比较您的版本
Requires having the Assured Controls add-on.
如果贵组织使用智能卡(例如个人识别码验证 [PIV] 卡)访问设施和系统,则您可以为 Gmail 客户端加密功能 (CSE) 使用硬件密钥加密,而不是加密密钥服务。
使用硬件密钥加密时,用户的私钥位于其智能卡上。用户需要将智能卡插入与 Windows 设备连接的读卡器,才能在 Gmail 中签署和解密电子邮件。如需加密邮件,用户需要使用自己的公钥。
设置概览
如需设置硬件密钥加密,您需要完成以下步骤:
- 在 Windows 设备上为需要加密电子邮件的每位用户安装 Google Workspace 硬件密钥应用。该应用作为一项服务启动,在特定端口上运行,并与用户的智能卡连接以处理加密和解密。
- 在管理控制台中,输入 Google Workspace 与用户 Windows 设备上的硬件密钥应用通信时使用的端口号,以启用硬件密钥加密。
完成上述步骤后,您可以为用户分配硬件密钥加密,并为 Gmail 启用 CSE。
设置要求
用户的设备必须:
- 运行 Microsoft Windows 10 或更高版本
- 连接了智能卡读卡器
- 将智能卡与私有加密密钥配合使用
第 1 步:安装 Google Workspace 硬件密钥应用
您可以使用 Google Workspace 硬件密钥应用为 Gmail 客户端加密功能设置硬件密钥加密。这样一来,用户就可以在智能卡(例如 PIV 卡)上使用私钥对电子邮件进行签名和加密。
第 2 步:开启硬件密钥加密
在用户的 Windows 设备上安装 Google Workspace 硬件密钥应用后,您可以在管理控制台中启用硬件密钥加密。
准备工作:请确保您拥有安装硬件密钥应用时选择的端口号。
如需使用硬件密钥开启加密功能,请执行以下操作:
您必须以超级用户身份登录,才能执行此任务。
-
- 在管理控制台中,依次点击“菜单”图标 安全性 访问权限和数据控件 客户端加密。
- 在使用硬件密钥加密下,点击添加端口号。
- 输入您在安装硬件密钥应用时选择的端口号。
-
点击保存。
后续步骤
在管理控制台中安装 Google Workspace 硬件密钥应用并开启硬件密钥加密后,您需要执行以下操作:
- 为用户分配硬件密钥加密。有关详情,请参阅为用户分配客户端加密功能。
- 连接到您的身份提供方 (IdP)。有关详情,请参阅连接到身份提供方以使用客户端加密功能。
- 启用 Gmail API 并将用户的加密证书上传到 Gmail。有关详情,请参阅“仅限 Gmail:上传加密密钥以启用客户端加密功能”。
管理硬件密钥加密
更改用于硬件密钥加密的端口号
如果 Google Workspace 用于与用户 Windows 设备上的智能卡读卡器通信的端口号发生变化,您需要在管理控制台中更新该端口号,以确保用户可以继续使用 Gmail CSE。
如需更新用于硬件密钥加密的端口号,请执行以下操作:
您必须以超级用户身份登录,才能执行此任务。
-
- 在管理控制台中,依次点击“菜单”图标 安全性 访问权限和数据控件 客户端加密。
- 在使用硬件密钥加密下,点击修改。
- 输入新的端口号。
-
点击保存。
如果用户需要新的智能卡
- 如果用户的新智能卡与先前卡包含的加密密钥相同,则用户可以使用新卡。
- 如果用户的新智能卡包含新的加密密钥,您需要使用 Gmail API 将新的公钥证书上传到 Gmail。有关详情,请参阅“仅限 Gmail:上传加密密钥以启用客户端加密功能”。