รุ่นที่รองรับฟีเจอร์นี้ได้แก่ Enterprise Plus และ Education Standard และ Education Plus เปรียบเทียบรุ่นของคุณ
คุณสามารถดูคำตอบสำหรับคำถามที่พบบ่อยเกี่ยวกับการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ได้ที่นี่
เกี่ยวกับการเข้ารหัส
ฉันจะดูข้อมูลเกี่ยวกับการเข้ารหัสเริ่มต้นของ Google ได้ที่ไหน
โปรดดูรายละเอียดเกี่ยวกับการเข้ารหัสเริ่มต้นของ Google ที่เว็บไซต์ Google Cloud
โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการเข้ารหัสแบบมาตรฐานสำหรับ Gmail ที่หัวข้อการเข้ารหัสระหว่างการรับส่งข้อมูลในศูนย์ช่วยเหลือของ Gmail
CSE ต่างจากการเข้ารหัสจากต้นทางถึงปลายทาง (e2e) อย่างไร
เมื่อใช้การเข้ารหัสจากต้นทางถึงปลายทาง (e2e) การเข้ารหัสและการถอดรหัสจะเกิดขึ้นในอุปกรณ์ต้นทางและปลายทางเสมอ (เช่น ในโทรศัพท์มือถือสำหรับรับส่งข้อความโต้ตอบแบบทันที) โดยคีย์การเข้ารหัสจะสร้างขึ้นบนไคลเอ็นต์ ดังนั้นในฐานะผู้ดูแลระบบ คุณจึงไม่สามารถควบคุมคีย์ในไคลเอ็นต์และผู้ที่มีสิทธิ์ใช้งานได้ นอกจากนี้ คุณจะไม่เห็นเนื้อหาที่ผู้ใช้เข้ารหัสไว้อีกด้วย
เมื่อใช้การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) การเข้ารหัสและการถอดรหัสจะเกิดขึ้นในอุปกรณ์ต้นทางและปลายทางเสมอเช่นเดียวกัน ซึ่งในกรณีนี้คือเบราว์เซอร์ของไคลเอ็นต์ แต่เมื่อใช้ CSE ไคลเอ็นต์จะใช้คีย์การเข้ารหัสที่สร้างและจัดเก็บไว้ในบริการการจัดการคีย์ในระบบคลาวด์ เพื่อให้คุณสามารถควบคุมคีย์และผู้ที่มีสิทธิ์เข้าถึงคีย์เหล่านั้นได้ เช่น คุณสามารถเพิกถอนสิทธิ์เข้าถึงคีย์ของผู้ใช้ได้ แม้ว่าผู้ใช้จะเป็นผู้สร้างคีย์ก็ตาม นอกจากนี้ คุณสามารถตรวจสอบไฟล์ที่เข้ารหัสของผู้ใช้ได้ด้วย CSE
ทำความเข้าใจประสบการณ์ของผู้ใช้ CSE
ผู้ใช้เข้ารหัสข้อมูลโดยใช้ CSE อย่างไร
ผู้ใช้สามารถเลือกตัวเลือกในบริการที่รองรับเพื่อเปิดใช้ CSE ได้ โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ผู้ใช้สามารถเปิด CSE ในเว็บและแอปบนอุปกรณ์เคลื่อนที่ได้ที่หัวข้อภาพรวมประสบการณ์ของผู้ใช้ในการเข้ารหัสฝั่งไคลเอ็นต์
ผู้ใช้มีข้อจำกัดในการใช้ CSE ไหม
มี ฟีเจอร์บางอย่างในบริการของ Google จะใช้งานไม่ได้เมื่อเปิดใช้ CSE โปรดดูข้อมูลเพิ่มเติมที่หัวข้อภาพรวมประสบการณ์ของผู้ใช้ในการเข้ารหัสฝั่งไคลเอ็นต์
การตั้งค่า CSE
คีย์การเข้ารหัสคืออะไรและฉันจะรับคีย์ดังกล่าวได้อย่างไร
ระบบจะใช้คีย์การเข้ารหัสเพื่อแปลงข้อมูลเป็นรูปแบบที่อ่านไม่ได้เพื่อให้ปรากฏเป็นแบบสุ่ม การทำเช่นนี้จะช่วยรักษาข้อมูลให้เป็นส่วนตัวจากผู้อื่นหรือผู้ใดก็ตามที่ไม่ได้รับอนุมัติให้อ่าน หากต้องการอ่านข้อมูลที่เข้ารหัส บุคคลหรือแอปพลิเคชันจะต้องมีคีย์เพื่อแปลงข้อมูลกลับไปเป็นรูปแบบเดิม
หากต้องการใช้คีย์การเข้ารหัสเพื่อเพิ่มการเข้ารหัสอีกชั้นให้กับข้อมูล Google Workspace ขององค์กร คุณต้องใช้บริการการจัดการคีย์ที่เป็นพาร์ทเนอร์กับ Google หรือสร้างบริการจัดการคีย์ของคุณเองโดยใช้ CSE API ของ Google หรืออีกวิธีที่ใช้ได้เฉพาะสำหรับ Gmail คือคุณสามารถใช้การเข้ารหัสคีย์ฮาร์ดแวร์ ซึ่งมีคีย์การเข้ารหัสของผู้ใช้อยู่ในสมาร์ทการ์ด
บริการการจัดการคีย์ของพาร์ทเนอร์ใดบ้างที่ใช้ร่วมกับ CSE ได้
Google ได้ร่วมมือกับบริการการจัดการคีย์หลายรายที่ใช้ร่วมกับ CSE ได้ โปรดดูรายชื่อบริการที่หัวข้อตั้งค่าบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์
ฉันจะใช้ Google เป็นบริการการจัดการคีย์ได้ไหม
ไม่ได้ คุณต้องใช้บริการการจัดการคีย์ภายนอกเพื่อตั้งค่าการเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace หากใช้ CSE คุณจะควบคุมคีย์การเข้ารหัสของตนเองได้ และ Google จะเข้าถึงคีย์ดังกล่าวเพื่อถอดรหัสข้อมูลของคุณไม่ได้
ฉันจะใช้บริการจัดการคีย์หลายรายการได้ไหม
ได้ คุณสามารถใช้บริการจัดการคีย์ได้มากกว่า 1 รายการและเลือกบริการที่จะใช้สําหรับหน่วยขององค์กรหรือกลุ่มได้ หรือจะย้ายข้อมูลเนื้อหาที่เข้ารหัสจากบริการหนึ่งไปยังอีกบริการหนึ่งก็ได้
หมายเหตุ: คุณสามารถตั้งค่าบริการจัดการคีย์เดียวสําหรับการเข้ารหัสฝั่งไคลเอ็นต์ของ Gmail ได้ในคอนโซลผู้ดูแลระบบ โปรดดูข้อมูลเกี่ยวกับตัวเลือกอื่นๆ สำหรับการจัดการคีย์ที่หัวข้อ API การเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace
ฉันจะใช้สมาร์ทการ์ดกับ CSE ได้ไหม
ได้ หากองค์กรของคุณใช้สมาร์ทการ์ดเพื่อเข้าถึงสิ่งอำนวยความสะดวกและระบบ คุณสามารถตั้งค่าการเข้ารหัสคีย์ฮาร์ดแวร์สำหรับ CSE ของ Gmail Requires having the Assured Controls add-on. โดยผู้ใช้สามารถใช้สมาร์ทการ์ดซึ่งมีคีย์การเข้ารหัสส่วนตัวเพื่อเข้ารหัสข้อความอีเมลได้ โปรดดูรายละเอียดที่หัวข้อ Gmail เท่านั้น: ตั้งค่าและจัดการการเข้ารหัสคีย์ฮาร์ดแวร์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์
ฉันจะใช้ทั้งบริการจัดการคีย์และคีย์การเข้ารหัสฮาร์ดแวร์กับ Gmail ได้ไหม
ได้ คุณสามารถตั้งค่าทั้งบริการจัดการคีย์และคีย์การเข้ารหัสฮาร์ดแวร์สำหรับ CSE ของ Gmail ได้ Requires having the Assured Controls add-on. นอกจากนี้ คุณยังมอบหมายทั้งบริการจัดการคีย์และการเข้ารหัสคีย์ฮาร์ดแวร์ให้กับผู้ใช้รายเดียวกันได้ด้วย แต่ผู้ใช้จะเลือกใช้การเข้ารหัสสำหรับ Gmail ได้เพียงประเภทเดียวเท่านั้น โดยจะขึ้นอยู่กับวิธีตั้งค่าคีย์การเข้ารหัสส่วนตัวสำหรับ Gmail โปรดดูรายละเอียดที่หัวข้อ Gmail เท่านั้น: อัปโหลดคีย์การเข้ารหัสสำหรับการเข้ารหัสฝั่งไคลเอ็นต์
ฉันจะเปลี่ยนไปใช้บริการจัดการคีย์อื่นได้ไหม
ได้ คุณสามารถเปลี่ยนไปใช้บริการจัดการคีย์อื่นๆ ได้ หากทำเช่นนี้ แนวทางปฏิบัติแนะนำคือการย้ายข้อมูลเนื้อหาที่เข้ารหัสด้วยบริการจัดการคีย์ปัจจุบันไปยังบริการใหม่ โปรดดูรายละเอียดที่หัวข้อหากต้องการเปลี่ยนไปใช้บริการจัดการคีย์ใหม่
ฉันจะจำกัดผู้ใช้หรือกลุ่มที่มีสิทธิ์เข้าถึงบริการจัดการคีย์ภายนอกของฉันได้อย่างไร
คุณจะจัดการรายการควบคุมการเข้าถึงคีย์ (KACL) สำหรับคีย์การเข้ารหัสได้ผ่านบริการจัดการคีย์ภายนอก ซึ่ง KACL จะต้องรวมผู้ใช้ทุกคนที่ต้องการเข้ารหัสหรือถอดรหัส (ดูหรือแก้ไข) เนื้อหา โปรดติดต่อผู้ให้บริการเข้ารหัสสำหรับข้อมูลเพิ่มเติม
นอกจากนี้ จะต้องเปิด CSE ให้กับผู้ใช้ที่ต้องการเข้ารหัสข้อมูล โปรดดูรายละเอียดที่หัวข้อเปิดหรือปิดการเข้ารหัสฝั่งไคลเอ็นต์ให้กับผู้ใช้
ฉันจะบังคับใช้ CSE กับผู้ใช้บางรายได้ไหม
สำหรับ Gmail, Google ไดรฟ์ และ Google ปฏิทิน คุณสามารถระบุให้เปิดใช้ CSE โดยค่าเริ่มต้นสำหรับหน่วยขององค์กรที่เฉพาะเจาะจงได้ Requires having the Assured Controls add-on.
หากคุณระบุให้เปิดใช้ CSE โดยค่าเริ่มต้น ผู้ใช้ยังคงปิด CSE ได้หากจำเป็น
โปรดดูรายละเอียดที่หัวข้อเปิดหรือปิดการเข้ารหัสฝั่งไคลเอ็นต์ให้กับผู้ใช้
ฉันจะตั้งค่า CSE สำหรับไดรฟ์ที่แชร์ได้อย่างไร
คุณไม่จําเป็นต้องตั้งค่า CSE สําหรับไดรฟ์ที่แชร์โดยเฉพาะ บริการจัดการคีย์ภายนอกที่ตั้งค่าในคอนโซลผู้ดูแลระบบจะใช้งานได้กับทั้งไฟล์ในไดรฟ์ของฉันและไดรฟ์ที่แชร์
ฉันควรทำอย่างไรหากได้รับการแจ้งเตือนขณะตั้งค่า CSE
หากพบปัญหาในการตั้งค่า CSE โปรดดูข้อมูลเพิ่มเติมที่หัวข้อดูรายละเอียดการแจ้งเตือน
ฉันจะนำเข้าและเข้ารหัสอีเมลที่มีอยู่ด้วย CSE ได้ไหม
ได้ ไปที่หัวข้อย้ายข้อความไปยัง Gmail เป็นอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์
ฉันจะอนุญาตให้ผู้ใช้ภายนอกเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ขององค์กรได้ไหม
ได้ โปรดไปที่หัวข้อให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
การใช้งานเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
ฉันจะเข้ารหัสไฟล์ที่มีอยู่อีกครั้งด้วยคีย์การเข้ารหัสอื่นได้ไหม
คุณสามารถย้ายข้อมูลไฟล์ที่เข้ารหัสฝั่งไคลเอ็นต์ไปยังบริการจัดการคีย์ใหม่ได้ โปรดดูรายละเอียดที่หัวข้อหากต้องการเปลี่ยนไปใช้บริการจัดการคีย์ใหม่
ฉันจะเปลี่ยนการเข้ารหัสของไฟล์เป็นการเข้ารหัสเริ่มต้นของ Google ได้ไหม
ได้ คุณสามารถนำการเข้ารหัสฝั่งไคลเอ็นต์ออกจากเอกสาร สเปรดชีต หรืองานนำเสนอของ Google ได้ โปรดดูรายละเอียดที่หัวข้อนำการเข้ารหัสออกจากเอกสาร
ฉันจะถอดรหัสไฟล์ในไดรฟ์และอีเมลที่ส่งออกได้อย่างไร
หากต้องการถอดรหัสไฟล์ CSE ที่ส่งออกโดยใช้เครื่องมือส่งออกข้อมูลหรือ Google ห้องนิรภัย คุณสามารถใช้สคริปต์ถอดรหัสซึ่งเป็นยูทิลิตีบรรทัดคำสั่งได้ โปรดดูรายละเอียดที่หัวข้อถอดรหัสไฟล์ที่ส่งออกซึ่งมีการเข้ารหัสฝั่งไคลเอ็นต์
ฉันจะเก็บรักษา ค้นหา รวมถึงส่งออกไฟล์และอีเมลที่เข้ารหัสใน Google ห้องนิรภัยได้ไหม
ได้ หากรุ่น Google Workspace ที่คุณใช้มี Google ห้องนิรภัย คุณก็เก็บรักษา ค้นหา และส่งออกไฟล์ในไดรฟ์และอีเมล Gmail ที่เข้ารหัสฝั่งไคลเอ็นต์ในห้องนิรภัยได้
คุณสามารถค้นหาไฟล์ที่เข้ารหัสฝั่งไคลเอ็นต์ได้โดยใช้ข้อมูลเมตา เช่น ชื่อและเจ้าของ แต่จะค้นหาเนื้อหา ค้นหาตามประเภทไฟล์ ดูตัวอย่างเนื้อหา หรือดาวน์โหลดจากมุมมองตัวอย่างไม่ได้
โปรดดูรายละเอียดที่ศูนย์ช่วยเหลือของ Google ห้องนิรภัย
การสแกนไฟล์และอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์
ไดรฟ์และ Gmail จะสแกนเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์โดยอัตโนมัติเพื่อตรวจหาภัยคุกคามด้านความปลอดภัยไหม
ระบบจะไม่สแกนไฟล์และอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์เพื่อหาฟิชชิงและมัลแวร์ เนื่องจากเซิร์ฟเวอร์ของ Google ไม่มีสิทธิ์เข้าถึงเนื้อหา
ฉันจะเรียกใช้การสแกน DLP สําหรับเนื้อหาในไฟล์หรืออีเมลที่เข้ารหัสฝั่งไคลเอ็นต์ได้ไหม
การสแกนการป้องกันข้อมูลรั่วไหล (DLP) จะเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ในไฟล์หรืออีเมลไม่ได้ อย่างไรก็ตาม คุณจะสร้างกฎ DLP เพื่อดำเนินการต่อไปนี้ได้
- สแกนข้อมูลเมตาที่ไม่ได้เข้ารหัสของไฟล์ในไดรฟ์ เช่น ชื่อไฟล์และป้ายกำกับไดรฟ์ วิธีนี้ช่วยป้องกันการรั่วไหลของข้อมูลที่ละเอียดอ่อนได้
- สแกนไฟล์ในไดรฟ์เพื่อระบุว่ามีการเข้ารหัสฝั่งไคลเอ็นต์หรือไม่ โดยเลือกเงื่อนไขของกฎเป็นสถานะการเข้ารหัสไฟล์ > คือ > เข้ารหัสฝั่งไคลเอ็นต์หรือไม่ได้เข้ารหัสฝั่งไคลเอ็นต์
โปรดดูรายละเอียดเกี่ยวกับการสร้างกฎ DLP สำหรับไดรฟ์ที่หัวข้อสร้าง DLP สำหรับกฎของไดรฟ์และตัวตรวจจับเนื้อหาที่กำหนดเอง
การเปลี่ยนเป็นรุ่น Google Workspace ที่ไม่รองรับ CSE
จะเกิดอะไรขึ้นกับเนื้อหาที่เข้ารหัสหากใบอนุญาตของผู้ใช้ไม่มี CSE อีกต่อไป
หากคุณเปลี่ยนผู้ใช้ให้ไปใช้ใบอนุญาต Google Workspace ที่ไม่มี CSE ผู้ใช้จะยังเข้าถึงและแก้ไขรายการที่เข้ารหัสฝั่งไคลเอ็นต์ เช่น ไฟล์และอีเมล ได้ แต่จะสร้างรายการใหม่ที่เข้ารหัสไคลเอ็นต์ไม่ได้
หากไม่ต้องการใช้ CSE อีกต่อไป ฉันจะนำการเข้ารหัสออกจากเนื้อหาได้ไหม
หากต้องการหยุดใช้ CSE และถอดรหัสรายการต่างๆ เช่น ไฟล์และอีเมล คุณจะต้องส่งออกรายการดังกล่าวก่อนโดยใช้เครื่องมือส่งออกข้อมูล จากนั้นจึงใช้ยูทิลิตีสคริปต์ถอดรหัสเพื่อนำ CSE ออก