支持此功能的版本:企业 Plus 版;教育标准版和教育 Plus 版。 比较您的版本
开始设置 Google Workspace 客户端加密功能 (CSE) 之前,请查看相关要求、加密密钥选项和设置概览。
CSE 要求
您需要拥有 Google Workspace 的超级用户权限才能为组织管理 CSE,包括:
- 添加和管理密钥服务
- 将密钥服务分配给组织部门和群组
- 为用户启用或停用 CSE
用户许可要求
- 用户必须有 Google Workspace 企业 Plus 版许可或 Google Workspace 教育 Plus 版许可,才能使用 CSE 执行以下操作:
- 创建或上传客户端加密内容
- 举行加密会议
- 发送或接收加密电子邮件
- 只要有任何一种类型的 Google Workspace 许可或 Cloud Identity 许可,用户就可以执行以下操作:
- 查看、编辑或下载客户端加密内容
- 加入通过 CSE 加密的会议
- 使用个人 Google 账号的用户(例如 Gmail 用户)无法访问客户端加密内容、发送加密电子邮件,也无法参与客户端加密会议。
浏览器要求
如要查看或修改客户端加密内容,用户必须使用 Google Chrome 或 Microsoft Edge (Chromium) 浏览器。
您可以允许外部用户访问客户端加密内容。外部用户只需使用 S/MIME 即可访问您用户的已加密 Gmail 邮件。对于其他内容,要求不同,具体取决于您提供外部访问权限所用的方法。有关详情,请参阅提供对客户端加密内容的外部访问权限。
了解加密密钥选项
- 使用与 Google 合作的外部加密密钥服务。您的密钥服务会引导您为 Google Workspace 设置服务。有关详情,请参阅选择密钥服务以启用客户端加密功能。
- 使用 Google Workspace CSE API 构建您自己的密钥服务。
Requires having the Assured Controls add-on.
CSE 设置概览
下面概述了设置 Google Workspace 客户端加密功能所需执行的步骤。如何设置 CSE 取决于您要使用的加密密钥类型。
如果您使用的是外部加密密钥服务
请按照以下步骤为 Google 云端硬盘、Google 日历和 Google Meet 设置加密功能。除非您只想将硬件加密密钥用于 Gmail,否则您也会为 Gmail 执行这些步骤。
| Step | 说明 | 如何完成此步骤 |
|---|---|---|
| 第 1 步:选择外部加密密钥服务 |
向 Google 的任一加密密钥服务合作伙伴注册,或使用 Google Workspace CSE API 构建您自己的服务。您的密钥服务用于控制可保护数据的顶级加密密钥。
|
选择密钥服务以启用客户端加密功能 |
| 第 2 步:将 Google Workspace 连接到您的身份提供方 |
通过管理控制台或在您服务器上托管的 .well-known 文件连接到第三方 IdP 或 Google 身份提供方。您的 IdP 会先验证用户的身份,然后才会允许其加密内容或访问加密的内容。 |
连接到身份提供方以使用客户端加密功能 |
| 第 3 步:设置外部密钥服务 | 请与您的密钥服务合作伙伴合作,设置适用于 Google Workspace 客户端加密功能的服务。 | 设置密钥服务以启用客户端加密功能 |
| 第 4 步:将密钥服务信息添加到管理控制台 |
将您的外部密钥服务的网址添加到管理控制台,以将该服务连接到 Google Workspace。您可以添加多项密钥服务,为特定组织部门或群组分配不同的密钥服务。 |
添加和管理密钥服务以启用客户端加密功能 |
| 第 5 步:将密钥服务分配给用户 | 将密钥服务或多项服务分配给组织部门和群组。您需要为组织分配一项密钥服务作为默认密钥服务。 | 为用户分配客户端加密功能 |
| 第 5 步:(仅限 Gmail CSE)上传用户的加密密钥 |
创建 Google Cloud Platform (CGP) 项目并启用 Gmail API。然后向整个组织授予 API 访问权限,为 Gmail 用户启用 CSE,并将加密私钥和加密公钥上传到 Gmail。 注意:此步骤需要具有使用 API 和 Python 脚本的经验。 |
仅限 Gmail:上传加密密钥以启用客户端加密功能 |
| 第 6 步:为用户启用 CSE | 如果组织内的任何组织部门或群组中有用户需要创建客户端加密内容,则可以为这些部门或群组启用 CSE。 | 为用户启用或停用 CSE |
| 第 7 步:(可选)设置外部访问权限 | 外部用户只需使用 S/MIME 即可访问已加密的 Gmail 内容。否则,您可以通过 2 种方法提供外部访问权限,具体取决于组织和内容。 | 提供对客户端加密内容的外部访问权限 |
| 第 8 步:(可选)将邮件作为客户端加密电子邮件导入 Gmail | 如果贵组织中有邮件采用其他服务或其他加密格式,那么作为管理员,您可以使用 S/MIME 格式将这些邮件作为客户端加密邮件迁移到 Gmail。 | 将邮件作为客户端加密电子邮件迁移到 Gmail |
如果您对 Gmail 使用硬件加密密钥
Requires having the Assured Controls add-on.
如果您想为所有或部分 Gmail 用户设置硬件加密密钥(而不是外部密钥服务),请按以下步骤操作。
| Step | 说明 | 如何完成此步骤 |
|---|---|---|
| 第 1 步:将 Google Workspace 连接到您的身份提供方 | 通过管理控制台或在您服务器上托管的 .well-known 文件连接到第三方 IdP 或 Google 身份提供方。您的 IdP 会先验证用户的身份,然后才会允许其加密内容或访问加密的内容。 | 连接到身份提供方以使用客户端加密功能 |
| 第 2 步:设置硬件加密密钥 |
在用户的 Windows 设备上安装 Google Workspace 硬件密钥应用。 注意:此步骤需要具有使用 PowerShell 脚本的经验。 |
仅限 Gmail:设置和管理硬件加密密钥 |
| 第 3 步:将硬件加密信息添加到管理控制台 | 输入 Google Workspace 与用户的 Windows 设备上的智能卡读卡器进行通信时将使用的端口号。 | 仅限 Gmail:设置和管理硬件加密密钥 |
| 第 4 步:向用户分配硬件加密 | 将硬件加密密钥分配给您的组织部门和群组。 | 为用户分配客户端加密功能 |
| 第 5 步:上传用户的加密公钥 |
创建 Google Cloud Platform (CGP) 项目并启用 Gmail API。然后,向整个组织授予 API 访问权限,为 Gmail 用户启用 CSE,并将加密公钥上传到 Gmail。 注意:此步骤需要具有使用 API 和 Python 脚本的经验。 |
仅限 Gmail:上传加密密钥以启用客户端加密功能 |
| 第 6 步:(可选)将邮件作为客户端加密电子邮件导入 Gmail | 如果贵组织中有邮件采用其他服务或其他加密格式,那么作为管理员,您可以使用 S/MIME 格式将这些邮件作为客户端加密邮件迁移到 Gmail。 | 将邮件作为客户端加密电子邮件迁移到 Gmail |
