รุ่นที่รองรับฟีเจอร์นี้ได้แก่ Enterprise Plus และ Education Standard และ Education Plus เปรียบเทียบรุ่นของคุณ
ก่อนเริ่มตั้งค่าการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace โปรดอ่านข้อกำหนด ตัวเลือกคีย์การเข้ารหัส และภาพรวมการตั้งค่า
ข้อกำหนดของ CSE
คุณต้องมีสิทธิ์ของผู้ดูแลระบบขั้นสูงของ Google Workspace จึงจะจัดการ CSE สําหรับองค์กรได้ ซึ่งประกอบไปด้วย
- การเพิ่มและจัดการบริการจัดการคีย์
- การมอบหมายบริการจัดการคีย์ให้กับหน่วยขององค์กรและกลุ่ม
- การเปิดหรือปิด CSE ให้กับผู้ใช้
ข้อกำหนดใบอนุญาตของผู้ใช้
- ผู้ใช้ต้องมีใบอนุญาต Google Workspace Enterprise Plus, Google Workspace Education Standard หรือ Google Workspace for Education Plus ในการใช้ CSE เพื่อดำเนินการต่อไปนี้
- สร้างหรืออัปโหลดเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
- จัดการประชุมที่เข้ารหัส
- ส่งหรือรับอีเมลที่เข้ารหัส
- ผู้ใช้อาจมีใบอนุญาต Google Workspace หรือ Cloud Identity ประเภทใดก็ได้ในการดำเนินการต่อไปนี้
- ดู แก้ไข หรือดาวน์โหลดเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
- เข้าร่วมการประชุม CSE
- ผู้ใช้ที่มีบัญชี Google สําหรับผู้ใช้ทั่วไป (เช่น ผู้ใช้ Gmail) จะไม่สามารถเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ ส่งอีเมลที่เข้ารหัส หรือเข้าร่วมการประชุมที่เข้ารหัสฝั่งไคลเอ็นต์ได้
ข้อกำหนดของเบราว์เซอร์
หากต้องการดูหรือแก้ไขเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ ผู้ใช้ต้องใช้เบราว์เซอร์ Google Chrome หรือ Microsoft Edge (Chromium)
คุณสามารถอนุญาตให้ผู้ใช้ภายนอกเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ได้ โดยผู้ใช้ภายนอกต้องใช้ S/MIME เท่านั้นเพื่อเข้าถึงข้อความ Gmail ที่เข้ารหัสของผู้ใช้ของคุณ สำหรับเนื้อหาอื่นๆ ข้อกำหนดจะแตกต่างกันไป โดยขึ้นอยู่กับวิธีการที่คุณใช้เพื่อให้สิทธิ์เข้าถึงภายนอก โปรดดูรายละเอียดที่หัวข้อให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
ทำความเข้าใจตัวเลือกคีย์การเข้ารหัส
- ใช้บริการจัดการคีย์การเข้ารหัสภายนอกที่เป็นพาร์ทเนอร์กับ Google บริการจัดการคีย์จะแนะนำการตั้งค่าบริการสำหรับ Google Workspace ให้คุณ โปรดดูรายละเอียดที่หัวข้อเลือกบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์
- สร้างบริการจัดการคีย์ของคุณเองโดยใช้ Google Workspace CSE API
ต้องมีส่วนเสริมของ Assured Controls หรือ Assured Controls Plus
ภาพรวมของการตั้งค่า CSE
ภาพรวมขั้นตอนที่คุณต้องดำเนินการเพื่อตั้งค่าการเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace มีดังนี้ วิธีตั้งค่า CSE จะขึ้นอยู่กับประเภทคีย์การเข้ารหัสที่ต้องการใช้
หากคุณใช้บริการจัดการคีย์การเข้ารหัสภายนอก
โปรดทำตามขั้นตอนต่อไปนี้เพื่อตั้งค่าการเข้ารหัสสำหรับ Google ไดรฟ์, Google ปฏิทิน และ Google Meet นอกจากนี้ คุณจะต้องทำตามขั้นตอนเหล่านี้สำหรับ Gmail ด้วย เว้นแต่คุณต้องการใช้เฉพาะคีย์การเข้ารหัสฮาร์ดแวร์กับ Gmail
| ขั้นตอน | คำอธิบาย | วิธีทำขั้นตอนนี้ให้เสร็จสมบูรณ์ |
|---|---|---|
| ขั้นตอนที่ 1: เลือกบริการจัดการคีย์การเข้ารหัสภายนอก |
ลงชื่อสมัครใช้ด้วยพาร์ทเนอร์บริการจัดการคีย์การเข้ารหัสของ Google รายใดรายหนึ่ง หรือสร้างบริการของคุณเองโดยใช้ Google Workspace CSE API บริการจัดการคีย์ของคุณจะควบคุมคีย์การเข้ารหัสระดับบนสุดที่ปกป้องข้อมูลของคุณ
|
เลือกบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 2: เชื่อมต่อ Google Workspace กับผู้ให้บริการข้อมูลประจําตัว |
เชื่อมต่อ IdP ของบุคคลที่สามหรือข้อมูลประจำตัวของ Google โดยใช้คอนโซลผู้ดูแลระบบหรือไฟล์ .well-known ที่โฮสต์บนเซิร์ฟเวอร์ของคุณ IdP ของคุณจะยืนยันตัวตนของผู้ใช้ก่อนอนุญาตให้เข้ารหัสเนื้อหาหรือเข้าถึงเนื้อหาที่เข้ารหัส |
เชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัวสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 3: ตั้งค่าบริการจัดการคีย์ภายนอก | ใช้งานพาร์ทเนอร์บริการจัดการคีย์เพื่อตั้งค่าบริการสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace | ตั้งค่าบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 4: เพิ่มข้อมูลบริการจัดการคีย์ไปยังคอนโซลผู้ดูแลระบบ |
เพิ่ม URL ของบริการจัดการคีย์ภายนอกในคอนโซลผู้ดูแลระบบเพื่อเชื่อมต่อบริการกับ Google Workspace คุณสามารถเพิ่มบริการจัดการคีย์หลายรายการเพื่อมอบหมายบริการจัดการคีย์ที่แตกต่างกันให้กับหน่วยขององค์กรหรือกลุ่มที่ต้องการได้ |
เพิ่มและจัดการบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 5: มอบหมายบริการจัดการคีย์ให้กับผู้ใช้ | มอบหมายบริการจัดการคีย์หรือบริการต่างๆ ให้กับหน่วยขององค์กรและกลุ่ม คุณจะต้องมอบหมายบริการจัดการคีย์เป็นค่าเริ่มต้นสำหรับองค์กร | มอบหมายการเข้ารหัสฝั่งไคลเอ็นต์ให้กับผู้ใช้ |
| ขั้นตอนที่ 6: (CSE ของ Gmail เท่านั้น) อัปโหลดคีย์การเข้ารหัสของผู้ใช้ |
สร้างโปรเจ็กต์ Google Cloud Platform (GCP) และเปิดใช้ Gmail API จากนั้นให้สิทธิ์ API ในการเข้าถึงทั้งองค์กร แล้วเปิด CSE ให้กับผู้ใช้ Gmail และอัปโหลดคีย์การเข้ารหัสส่วนตัวและคีย์การเข้ารหัสสาธารณะไปยัง Gmail หมายเหตุ: ขั้นตอนนี้อาศัยประสบการณ์ในการใช้ API และสคริปต์ Python |
Gmail เท่านั้น: อัปโหลดคีย์การเข้ารหัสสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 7: เปิด CSE สำหรับผู้ใช้ | เปิดใช้ CSE สำหรับหน่วยขององค์กรหรือกลุ่มใดก็ได้ในองค์กรที่มีผู้ใช้ที่ต้องการสร้างเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ | เปิดหรือปิด CSE ให้กับผู้ใช้ |
| ขั้นตอนที่ 8: (ไม่บังคับ) ตั้งค่าการเข้าถึงจากภายนอก | ผู้ใช้ภายนอกใช้เพียง S/MIME ในการเข้าถึงเนื้อหา Gmail ที่เข้ารหัส หรือคุณจะให้สิทธิ์เข้าถึงจากภายนอกได้ 2 วิธี โดยขึ้นอยู่กับองค์กรและเนื้อหา | ให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 9: (ไม่บังคับ) นําเข้าข้อความไปยัง Gmail เป็นอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์ | หากองค์กรของคุณมีข้อความในบริการอื่นหรือในรูปแบบการเข้ารหัสอื่น ในฐานะผู้ดูแลระบบ คุณสามารถย้ายข้อความดังกล่าวไปยัง Gmail เป็นข้อความที่เข้ารหัสฝั่งไคลเอ็นต์ในรูปแบบ S/MIME ได้ | ย้ายข้อความไปยัง Gmail เป็นอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์ |
หากใช้คีย์การเข้ารหัสฮาร์ดแวร์สำหรับ Gmail
ต้องมีส่วนเสริมของ Assured Controls หรือ Assured Controls Plus
ทำตามขั้นตอนเหล่านี้หากต้องการตั้งค่าคีย์การเข้ารหัสฮาร์ดแวร์ให้กับผู้ใช้ Gmail ทั้งหมดหรือบางรายแทนบริการจัดการคีย์ภายนอก
| ขั้นตอน | คำอธิบาย | วิธีทำขั้นตอนนี้ให้เสร็จสมบูรณ์ |
|---|---|---|
| ขั้นตอนที่ 1: เชื่อมต่อ Google Workspace กับผู้ให้บริการข้อมูลประจําตัว | เชื่อมต่อ IdP ของบุคคลที่สามหรือข้อมูลประจำตัวของ Google โดยใช้คอนโซลผู้ดูแลระบบหรือไฟล์ .well-known ที่โฮสต์บนเซิร์ฟเวอร์ของคุณ IdP ของคุณจะยืนยันตัวตนของผู้ใช้ก่อนอนุญาตให้เข้ารหัสเนื้อหาหรือเข้าถึงเนื้อหาที่เข้ารหัส | เชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัวสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 2: ตั้งค่าคีย์การเข้ารหัสฮาร์ดแวร์ |
ติดตั้งแอปพลิเคชันคีย์ฮาร์ดแวร์ของ Google Workspace ในอุปกรณ์ Windows ของผู้ใช้ หมายเหตุ: ขั้นตอนนี้อาศัยประสบการณ์ในการใช้สคริปต์ PowerShell |
Gmail เท่านั้น: ตั้งค่าและจัดการคีย์การเข้ารหัสฮาร์ดแวร์ |
| ขั้นตอนที่ 3: เพิ่มข้อมูลการเข้ารหัสฮาร์ดแวร์ลงในคอนโซลผู้ดูแลระบบ | ป้อนหมายเลขพอร์ตที่ Google Workspace จะใช้สื่อสารกับเครื่องอ่านสมาร์ทการ์ดในอุปกรณ์ Windows ของผู้ใช้ | Gmail เท่านั้น: ตั้งค่าและจัดการคีย์การเข้ารหัสฮาร์ดแวร์ |
| ขั้นตอนที่ 4: มอบหมายการเข้ารหัสฮาร์ดแวร์ให้กับผู้ใช้ | มอบหมายการเข้ารหัสคีย์ฮาร์ดแวร์ให้กับหน่วยขององค์กรและกลุ่ม | มอบหมายการเข้ารหัสฝั่งไคลเอ็นต์ให้กับผู้ใช้ |
| ขั้นตอนที่ 5: อัปโหลดคีย์การเข้ารหัสสาธารณะของผู้ใช้ |
สร้างโปรเจ็กต์ Google Cloud Platform (GCP) และเปิดใช้ Gmail API จากนั้นให้สิทธิ์ API ในการเข้าถึงทั้งองค์กร แล้วเปิด CSE ให้กับผู้ใช้ Gmail และอัปโหลดคีย์การเข้ารหัสสาธารณะไปยัง Gmail หมายเหตุ: ขั้นตอนนี้อาศัยประสบการณ์ในการใช้ API และสคริปต์ Python |
Gmail เท่านั้น: อัปโหลดคีย์การเข้ารหัสสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 6: (ไม่บังคับ) นําเข้าข้อความไปยัง Gmail เป็นอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์ | หากองค์กรของคุณมีข้อความในบริการอื่นหรือในรูปแบบการเข้ารหัสอื่น ในฐานะผู้ดูแลระบบ คุณสามารถย้ายข้อความดังกล่าวไปยัง Gmail เป็นข้อความที่เข้ารหัสฝั่งไคลเอ็นต์ในรูปแบบ S/MIME ได้ | ย้ายข้อความไปยัง Gmail เป็นอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์ |
