支援這項功能的版本:Enterprise Plus 和 Education Standard 和 Education Plus。 版本比較
Requires having the Assured Controls add-on.
如果貴機構使用智慧型卡片 (例如個人識別驗證 (PIV)) 存取設施和系統,您可以使用硬體金鑰加密功能,而非加密金鑰服務來處理 Gmail 用戶端加密 (CSE)。
硬體金鑰加密功能可將使用者的私密金鑰存放在他們的智慧型卡片中。使用者必須先將智慧型卡片插入與 Windows 裝置連接的讀卡機,才能在 Gmail 中簽署及解密電子郵件。如要加密郵件,使用者會使用公開金鑰。
設定總覽
如要設定硬體金鑰加密功能,您需要完成下列步驟:
- 請為需要加密電子郵件的每位使用者在 Windows 裝置上安裝 Google Workspace Hardware Key 應用程式。這個應用程式會以服務形式啟動,在特定連接埠和介面上運作,並與使用者的智慧型卡片連線,處理加密和解密作業。
- Google Workspace 會使用一組通訊埠編號與使用者 Windows 裝置上的硬體金鑰應用程式通訊,請在管理控制台中輸入這組編號,即可開啟硬體金鑰加密功能。
完成上述步驟後,您就可以將硬體金鑰加密功能指派給使用者,並為 Gmail 開啟 CSE。
設定需求
使用者的裝置必須符合以下規定:
- 執行 Microsoft Windows 10 以上版本
- 將智慧型讀卡機連接至裝置
- 持有智慧型卡片並使用私人加密金鑰
步驟 1:安裝 Google Workspace Hardware Key 應用程式
您可以使用 Google Workspace Hardware Key 應用程式設定硬體金鑰加密功能,執行 Gmail 用戶端加密作業。這可讓使用者在智慧型卡片 (例如 PIV 卡) 上使用私密金鑰簽署及加密電子郵件。
步驟 2:開啟硬體金鑰加密功能
在使用者的 Windows 裝置上安裝 Google Workspace Hardware Key 應用程式後,您就可以在管理控制台中開啟硬體金鑰加密功能。
事前準備:確認您已有安裝 Hardware Key 應用程式時選取的通訊埠編號。
如要透過硬體金鑰開啟加密功能,請按照下列步驟操作:
您必須以超級管理員的身分登入才能執行這項工作。
-
- 在管理控制台中,依序點選「選單」圖示 「安全性」「存取權與資料控管」「用戶端加密」。
- 在「使用硬體金鑰加密」下方,按一下「新增通訊埠編號」。
- 輸入安裝 Hardware Key 應用程式時選取的通訊埠編號。
-
按一下「儲存」。
後續步驟
安裝 Google Workspace Hardware Key 應用程式,並在管理控制台中開啟硬體金鑰加密功能後,您需要執行以下操作:
- 為使用者指派硬體金鑰加密功能。詳情請參閱「為使用者指派用戶端加密功能」。
- 連線至識別資訊提供者 (IdP)。詳情請參閱「連線至識別資訊提供者以進行用戶端加密」。
- 啟用 Gmail API,並將使用者的加密憑證上傳到 Gmail。詳情請參閱「僅限 Gmail:為用戶端加密功能上傳加密金鑰」。
管理硬體金鑰加密功能
變更硬體金鑰加密的通訊埠編號
如果 Google Workspace 用來與使用者 Windows 裝置上的智慧型讀卡機進行通訊的通訊埠編號有所變更,請在管理控制台中更新通訊埠編號,確保使用者能繼續使用 Gmail CSE。
如要更新硬體金鑰加密功能的通訊埠編號,請按照下列步驟操作:
您必須以超級管理員的身分登入才能執行這項工作。
-
- 在管理控制台中,依序點選「選單」圖示 「安全性」「存取權與資料控管」「用戶端加密」。
- 在「使用硬體金鑰加密」下方,按一下「編輯」。
- 輸入新的通訊埠編號。
-
按一下「儲存」。
如果使用者需要新的智慧型卡片
- 如果使用者的新智慧型卡片與上一張卡片含有相同的加密金鑰,則可直接使用新卡片。
- 如果使用者的新智慧型卡片含有新的加密金鑰,您需要使用 Gmail API 將新的公開金鑰憑證上傳至 Gmail。詳情請參閱「僅限 Gmail:為用戶端加密功能上傳加密金鑰」。