用戶端加密常見問題

支援這項功能的版本：Enterprise Plus 和 Education Standard 和 Education Plus。 版本比較

以下是 Google Workspace 用戶端加密 (CSE) 功能的常見問題解答。

關於加密功能

如要進一步瞭解 Google 的預設加密機制，請前往 Google Cloud 網站。

如要進一步瞭解 Gmail 的標準加密機制，請參閱 Gmail 說明中心的「在傳輸過程中加密」一文。

端對端加密 (e2e) 一律會在來源和目標裝置上進行加密和解密 (例如在手機上進行即時通訊時)。由於加密金鑰是在用戶端產生，因此管理員對用戶端上的金鑰沒有控制權，也無法控管哪些人能使用這些金鑰。此外，管理員也沒辦法查看使用者加密了哪些內容。

使用用戶端加密 (CSE) 時，系統一樣是在來源和目標裝置 (這裡是指用戶端的瀏覽器) 上進行加密和解密作業，不過，由於用戶端所使用的加密金鑰是由雲端式的金鑰管理服務產生及儲存，所以您可以控管金鑰和金鑰存取權的擁有者。舉例來說，您可以撤銷某位使用者的金鑰存取權，即使是由該使用者產生金鑰也一樣。此外，有了 CSE，您就可以監控使用者的加密檔案。

瞭解 CSE 使用者體驗

使用者如何使用 CSE 加密資料？

使用者可以在支援的服務中選擇開啟 CSE。如要進一步瞭解使用者如何在網頁版和行動應用程式中開啟 CSE，請參閱「用戶端加密使用者體驗總覽」。

使用者是否有任何 CSE 使用限制？

有，開啟 CSE 後，Google 服務的部分功能將無法使用。詳情請參閱「用戶端加密使用者體驗總覽」。

設定 CSE

什麼是加密金鑰？該如何取得？

加密金鑰是用來將資料轉換為無法讀取的格式，以隨機方式顯示。這樣一來，就能避免未經核准的任何人或應用程式讀取資料。如要讀取加密資料，個人或應用程式需有金鑰，才能將資料轉換回原本的格式。

如要使用加密金鑰為貴機構的 Google Workspace 資料多添一層加密機制，您必須使用與 Google 合作的金鑰管理服務，或是使用 Google 的 CSE API 自行建立金鑰服務。或者，您也可以只針對 Gmail 使用硬體金鑰加密功能，使用者的加密金鑰會存放在智慧型卡片中。

哪些合作夥伴金鑰管理服務可以與 CSE 搭配使用？

Google 已與一些金鑰管理服務合作，這些服務都可與 CSE 搭配使用。如需服務清單，請參閱「為用戶端加密功能設定金鑰服務」。

可以使用 Google 做為我的金鑰管理服務嗎？

不可以。您必須使用外部金鑰管理服務來設定 Google Workspace 用戶端加密功能。有了用戶端加密功能，您就可以自行控管加密金鑰，Google 無法存取這些金鑰來解密您的資料。

我可以使用多個金鑰服務嗎？

可以。您可以使用多個金鑰服務，並為機構單位或群組選擇要使用的服務。您也可以隨時在金鑰服務之間遷移加密內容。

注意：您可以在管理控制台中為 Gmail 用戶端加密功能設定單一金鑰服務。如要瞭解其他管理金鑰的方法，請造訪 Google Workspace Client-side Encryption API。

我可以將智慧型卡片與 CSE 搭配使用嗎？

可以。如果貴機構使用智慧型卡片存取設施和系統，您可以為 Gmail CSE 設定硬體金鑰加密功能。Requires having the Assured Controls or Assured Controls Plus add-on. 使用者可以使用含有私人加密金鑰的智慧型卡片加密電子郵件。詳情請參閱「僅限 Gmail：為用戶端加密功能設定及管理硬體金鑰」。

我可以為 Gmail 同時使用金鑰服務和硬體加密金鑰嗎？

可以。您可以同時為 Gmail CSE 設定金鑰服務和硬體加密金鑰。Requires having the Assured Controls or Assured Controls Plus add-on. 您也可以一併將金鑰服務和硬體金鑰加密功能指派給相同的使用者。不過，使用者只能對 Gmail 使用一種加密方式，取決於您為 Gmail 設定私人加密金鑰的方式。詳情請參閱「僅限 Gmail：為用戶端加密功能上傳加密金鑰」。

我可以改用其他金鑰服務嗎？

可以。如要改用其他金鑰服務，最佳做法是將目前金鑰服務的加密內容遷移至新服務。詳情請參閱「如要改用新金鑰服務」。

如何限制哪些使用者或群組可以存取我的外部金鑰服務？

透過外部金鑰服務，您可以管理加密金鑰的金鑰存取控制清單 (KACL)。KACL 必須包含所有需要加密或解密 (查看或編輯) 內容的使用者。如要瞭解詳情，請與加密服務供應商聯絡。

此外，您必須為所有需要將資料加密的使用者開啟 CSE。詳情請參閱「為使用者開啟或關閉用戶端加密」。

我可以讓特定使用者強制使用 CSE 嗎？

您可以在 Gmail、Google 雲端硬碟和 Google 日曆中調整設定，讓特定機構單位預設開啟 CSE。Requires having the Assured Controls or Assured Controls Plus add-on.

如果您指定預設開啟 CSE，使用者仍可視需要關閉 CSE。

詳情請參閱「為使用者開啟或關閉用戶端加密」。

如何為共用雲端硬碟設定 CSE？

您不需要特地為共用雲端硬碟設定 CSE。您在管理控制台設定的外部金鑰服務，可同時支援「我的雲端硬碟」和共用雲端硬碟中的檔案。

如果在設定 CSE 時收到快訊，該怎麼辦？

如果您在設定 CSE 設定時有任何問題，請參閱「查看快訊詳細資料」瞭解詳情。

我可以匯入現有電子郵件並使用 CSE 加密嗎？

可以，請參閱「以用戶端加密電子郵件的形式將郵件遷移至 Gmail」。

可以讓外部使用者存取機構的用戶端加密內容嗎？

可以，請參閱「開放外部人士存取用戶端加密內容」。

處理用戶端加密內容

我可以使用其他加密金鑰重新加密現有檔案嗎？

您可以將用戶端加密檔案遷移至新的金鑰服務。詳情請參閱「如要改用新金鑰服務」。

我可以將檔案的加密機制改成 Google 預設的加密機制嗎？

可以。您可以移除 Google 文件、試算表或簡報的用戶端加密功能。詳情請參閱「移除文件的加密功能」。

如何解密匯出的雲端硬碟檔案和電子郵件？

如要將透過資料匯出工具或 Google 保管箱匯出的 CSE 檔案解密，您可以使用解密工具 (指令列公用程式)。詳情請參閱「將匯出的用戶端加密檔案解密」。

我可以在 Google 保管箱中保留、搜尋及匯出加密的檔案和電子郵件嗎？

可以，如果您的 Google Workspace 版本有 Google 保管箱，您就可以在保管箱中保留、搜尋及匯出用戶端加密的雲端硬碟檔案和 Gmail 電子郵件。

您可以依中繼資料 (例如標題和擁有者) 搜尋用戶端加密檔案。不過，您無法搜尋相關內容、依檔案類型進搜尋、預覽內容，或透過預覽檢視畫面下載這些內容。

詳情請造訪 Google 保管箱說明中心。

我需要限制用戶端加密內容的拼字檢查功能嗎？

對於 Google 文件和簡報中的用戶端加密內文，裝置端機器學習模型會提供拼字檢查功能，並保留文件資料的機密性。
如果是 Gmail 和 Google 文件中的註解，則瀏覽器會提供拼字檢查功能。
如果貴機構使用 Google Chrome：請確認 CSE 使用者不會使用 Chrome 的強化拼字檢查功能，因為這個選項會將資料傳送給 Google。CSE 使用者可以改用 Chrome 的基本拼字檢查功能，這項功能不會傳送資料給 Google。詳情請參閱「開啟或關閉 Chrome 拼字檢查功能」。如果使用受管理的 Chrome 瀏覽器，可以建立政策來停用 CSE 使用者的拼字檢查功能，這麼做會關閉進階拼字檢查功能，但不會關閉基本拼字檢查功能。詳情請參閱「為使用者或瀏覽器設定 Chrome 政策」。