支援這項功能的版本:Enterprise Plus 和 Education Standard 和 Education Plus。 版本比較
設定 Google Workspace 用戶端加密 (CSE) 功能前,請先詳閱相關規定、加密金鑰選項和設定總覽。
CSE 需求條件
您必須具備 Google Workspace 超級管理員權限,才能為貴機構執行下列 CSE 管理動作:
- 新增及管理金鑰服務
- 為機構單位和群組指派金鑰服務
- 為使用者開啟或關閉 CSE
使用者授權規定
- 使用者必須擁有 Google Workspace Enterprise Plus 或 Google Workspace for Education Plus 授權,才能使用 CSE 執行下列操作:
- 建立或上傳用戶端加密內容
- 發起加密會議
- 收發加密電子郵件
- 使用者只要擁有任一類型的 Google Workspace 或 Cloud Identity 授權,就能執行下列操作:
- 查看、編輯或下載用戶端加密內容
- 加入 CSE 會議
- 擁有 Google 個人帳戶的使用者 (例如 Gmail 使用者) 無法存取用戶端加密內容、傳送加密電子郵件,也無法參與用戶端加密會議。
瀏覽器需求
使用者必須使用 Google Chrome 或 Microsoft Edge (Chromium) 瀏覽器,才能查看或編輯用戶端加密內容。
您可以允許外部使用者存取用戶端加密內容。外部使用者只要使用 S/MIME,就能存取使用者的加密 Gmail 郵件。其他內容的需求條件則有所不同,具體取決於您提供外部存取權的方式。詳情請參閱「開放外部人士存取用戶端加密內容」。
瞭解加密金鑰選項
- 使用與 Google 合作的外部加密金鑰服務。該服務會引導您為 Google Workspace 設定外部加密金鑰服務。詳情請參閱「選擇金鑰服務以進行用戶端加密」。
- 使用 Google Workspace CSE API 自行建構金鑰服務。
Requires having the Assured Controls or Assured Controls Plus add-on.
CSE 設定總覽
以下簡要說明設定 Google Workspace 用戶端加密功能的必要步驟。CSE 的設定方式取決於您要使用的加密金鑰類型。
如果使用外部加密金鑰服務
請按照下列步驟為 Google 雲端硬碟、Google 日曆和 Google Meet 設定加密功能。除非您只想將硬體加密金鑰用於 Gmail,否則請按照下列步驟,一併設定 Gmail。
| 步驟 | 說明 | 如何完成這個步驟 |
|---|---|---|
| 步驟 1:選擇外部加密金鑰服務 |
向 Google 的加密金鑰服務合作夥伴註冊服務,或利用 Google Workspace CSE API 自行建構服務。金鑰服務可控管用於保護資料的頂層加密金鑰。
|
選擇金鑰服務以進行用戶端加密 |
| 步驟 2:將 Google Workspace 連線至識別資訊提供者 |
透過管理控制台或在伺服器上代管的 .well-known 檔案,連線至第三方 IdP 或 Google 身分。您的 IdP 會先驗證使用者身分,才能加密內容或存取已加密內容。 |
連線至識別資訊提供者以進行用戶端加密 |
| 步驟 3:設定外部金鑰服務 | 請與金鑰服務合作夥伴合作,為 Google Workspace 用戶端加密功能設定服務。 | 設定金鑰服務以進行用戶端加密 |
| 步驟 4:在管理控制台新增金鑰服務資訊 |
在管理控制台中新增外部金鑰服務的網址,即可將服務連結至 Google Workspace。您可以新增多項金鑰服務,為特定機構單位或群組指派不同的金鑰服務。 |
新增及管理金鑰服務以進行用戶端加密 |
| 步驟 5:為使用者指派金鑰服務 | 為機構單位和群組指派金鑰服務或多項服務。您必須為貴機構指派一個預設金鑰服務。 | 為使用者指派用戶端加密設定 |
| 步驟 5 (僅限 Gmail CSE) 上傳使用者的加密金鑰 |
建立 Google Cloud Platform (CGP) 專案並啟用 Gmail API。接著,將 API 存取權授予整個機構、為 Gmail 使用者開啟 CSE,並將私密和公開加密金鑰上傳至 Gmail。 注意:需有使用 API 和 Python 指令碼的經驗,才能執行這個步驟。 |
僅限 Gmail:為用戶端加密功能上傳加密金鑰 |
| 步驟 6:為使用者開啟 CSE | 如果使用者需要建立用戶端加密內容,您可以為其所屬機構單位或群組開啟 CSE。 | 為使用者開啟或關閉 CSE |
| 步驟 7:(選用) 設定外部存取權 | 外部使用者只需使用 S/MIME,即可存取加密的 Gmail 內容。如果不想採取這種方式,您可以根據機構和內容,透過 2 種方法提供外部存取權。 | 開放外部人士存取用戶端加密內容 |
| 步驟 8:(選用) 將郵件以用戶端加密電子郵件的格式匯入 Gmail | 如果貴機構擁有其他服務或其他加密格式的郵件,管理員可以將這些郵件轉換為S/MIME 格式的用戶端加密郵件並遷移至 Gmail。 | 將郵件以用戶端加密電子郵件的格式遷移至 Gmail |
如果在 Gmail 中使用硬體加密金鑰
Requires having the Assured Controls or Assured Controls Plus add-on.
如要為所有或部分使用者設定硬體加密金鑰 (而非外部金鑰服務),請按照下列步驟操作。
| 步驟 | 說明 | 如何完成這個步驟 |
|---|---|---|
| 步驟 1:將 Google Workspace 連線至識別資訊提供者 | 透過管理控制台或在伺服器上代管的 .well-known 檔案,連線至第三方 IdP 或 Google 身分。您的 IdP 會先驗證使用者身分,才能加密內容或存取已加密內容。 | 連線至識別資訊提供者以進行用戶端加密 |
| 步驟 2:設定硬體加密金鑰 |
在使用者的 Windows 裝置上安裝 Google Workspace 硬體金鑰應用程式。 注意:這個步驟需要具備使用 PowerShell 指令碼的經驗。 |
僅限 Gmail:設定及管理硬體加密金鑰 |
| 步驟 3:在管理控制台中新增硬體加密資訊 | 輸入 Google Workspace 要用來與使用者 Windows 裝置上的智慧型讀卡機通訊的通訊埠號碼。 | 僅限 Gmail:設定及管理硬體加密金鑰 |
| 步驟 4:為使用者指派硬體加密設定 | 為機構單位和群組指派硬體金鑰加密設定。 | 為使用者指派用戶端加密設定 |
| 步驟 5:上傳使用者的公開加密金鑰 |
建立 Google Cloud Platform (CGP) 專案並啟用 Gmail API。接著,將 API 存取權授予整個機構、為 Gmail 使用者開啟 CSE,並將公開加密金鑰上傳至 Gmail。 注意:需有使用 API 和 Python 指令碼的經驗,才能執行這個步驟。 |
僅限 Gmail:為用戶端加密功能上傳加密金鑰 |
| 步驟 6:(選用) 將郵件以用戶端加密電子郵件的格式匯入 Gmail | 如果貴機構擁有其他服務或其他加密格式的郵件,管理員可以將這些郵件轉換為S/MIME 格式的用戶端加密郵件並遷移至 Gmail。 | 將郵件以用戶端加密電子郵件的格式遷移至 Gmail |