客户端加密功能常见问题解答

支持此功能的版本：Frontline Plus；企业 Plus 版；教育标准版和教育 Plus 版。比较您的版本

本文解答了有关 Google Workspace 客户端加密功能 (CSE) 的常见问题。

关于加密

如要详细了解 Google 默认的加密方式，请访问 Google Cloud 网站。

如要详细了解 Gmail 的标准加密方式，请前往 Gmail 帮助中心参阅传输过程中的加密一文。

使用端到端加密 (e2e) 时，加密和解密操作始终在源设备和目标设备上进行（例如在手机上加密和解密即时通讯数据）。加密密钥在客户端生成，因此作为管理员，您无法控制客户端上的密钥以及哪些人员可以使用密钥。此外，您也无法了解用户对哪些内容进行了加密。

使用客户端加密 (CSE) 时，加密和解密操作也始终在源设备和目标设备上进行，只是在这种情况下使用的设备是客户端浏览器。不过，在使用 CSE 时，客户端所使用的加密密钥由云端的密钥管理服务生成并存储在其中，因此您可以控制密钥以及哪些人员可以访问密钥。例如，您可以撤消用户对密钥的访问权限，即使该用户是密钥的生成者也不例外。此外，使用 CSE 时，您还可以监控用户加密的文件。

了解客户端加密功能的用户体验

用户如何使用客户端加密功能加密数据？

用户可以在受支持的服务中选择启用客户端加密功能。如需详细了解用户如何在 Web 应用和移动应用中启用客户端加密功能，请参阅客户端加密功能用户体验概览。

用户在使用客户端加密功能时是否受到任何限制？

是。启用客户端加密功能后，Google 服务的部分功能将无法使用。如需了解详情，请参阅客户端加密功能用户体验概览。

设置客户端加密功能

什么是加密密钥？如何获取加密密钥？

加密密钥用于将数据转换为无法读懂的格式，使其看起来像随机数据一样。这样，未获得批准的任何人或任何工具都无法读取这些数据。个人或应用需要使用密钥将经过加密的数据转换回原始格式，才能读取它们。

如要使用加密密钥为贵组织的 Google Workspace 数据增加一重加密屏障，您需要使用与 Google 合作的密钥管理服务，或使用 Google 的 CSE API 创建您自己的密钥服务。或者，您也可以使用硬件密钥进行加密，这种情况下用户的加密密钥存放在一张智能卡上；不过这仅适用于 Gmail。

哪些合作伙伴的密钥管理服务可与客户端加密功能搭配使用？

Google 已与一些密钥管理服务合作，这些服务都可与客户端加密功能搭配使用。如需查看服务列表，请参阅设置密钥服务以启用客户端加密功能。

可以使用 Google 作为我的密钥管理服务吗？

不可以，您需要使用外部密钥管理服务来设置 Google Workspace 客户端加密功能。使用 CSE 后，您可以控制自己的加密密钥，而 Google 无法访问这些密钥来解密数据。

可以使用多项密钥服务吗？

可以。您可以使用多项密钥服务，还可为组织部门或群组选择要使用的服务。或者，您也可以在各项服务之间迁移加密内容。

注意：在管理控制台中，您可以为 Gmail 客户端加密功能设置一项密钥服务。如需了解管理密钥的其他方法，请访问 Google Workspace Client-side Encryption API。

可以将智能卡与客户端加密功能搭配使用吗？

可以。如果贵组织使用智能卡访问设施和系统，您可以为 Gmail 客户端加密功能设置使用硬件密钥进行加密。需要拥有安全管控或安全管控 Plus 版加购项。用户可以使用包含私有加密密钥的智能卡来加密电子邮件。如需了解详情，请参阅仅限 Gmail：为客户端加密功能设置和管理硬件密钥加密。

可以为 Gmail 同时使用密钥服务和硬件加密密钥吗？

可以，您可以为 Gmail 客户端加密功能同时设置密钥服务和硬件加密密钥。需要拥有安全管控或安全管控 Plus 版加购项。您还可以将密钥服务和硬件密钥加密功能同时分配给相同的用户。不过，用户在 Gmail 中只能使用一种加密方式，具体取决于您如何为 Gmail 设置私有加密密钥。如需了解详情，请参阅仅限 Gmail：为客户端加密功能配置 S/MIME 证书。

可以改用其他密钥服务吗？

可以，您可以改用其他密钥服务。这种情况下，最好将通过当前密钥服务加密的内容迁移到新密钥服务。如需了解详情，请参阅如要改用新密钥服务。

如何限制哪些用户或群组可以访问我的外部密钥服务？

您需要通过外部密钥服务管理加密密钥的密钥访问控制列表 (KACL)，而 KACL 须包含所有需要加密或解密（查看或编辑）内容的用户。请与您的加密服务提供商联系以了解详情。

此外，您需要为所有需要加密数据的用户启用客户端加密功能。如需了解详情，请参阅为用户启用或停用客户端加密功能。

我可以强制要求特定用户使用客户端加密功能吗？

对于 Gmail、Google 云端硬盘和 Google 日历，您可以指定为特定组织部门默认启用客户端加密功能。需要拥有安全管控或安全管控 Plus 版加购项。

如果您指定默认启用客户端加密功能，用户仍然可以根据需要停用该功能。

如需了解详情，请参阅为用户启用或停用客户端加密功能。

如何为共享云端硬盘设置客户端加密功能？

您无需专门为共享云端硬盘设置客户端加密功能。您在管理控制台中设置的外部密钥服务适用于“我的云端硬盘”和共享云端硬盘中的文件。

如果我在设置客户端加密功能时收到提醒，该怎么办？

如果您在设置客户端加密功能时遇到问题，请参阅查看具体提醒的详细信息了解详情。

我可以导入现有电子邮件并使用客户端加密功能加密它们吗？

可以。请参阅将邮件作为客户端加密电子邮件迁移到 Gmail。

我可以允许外部用户访问我们组织的客户端加密内容吗？

可以。请参阅提供对客户端加密内容的外部访问权限。

处理客户端加密内容

我可以使用其他加密密钥重新加密现有文件吗？

您可以将客户端加密文件迁移到新的密钥服务。如需了解详情，请参阅如要改用新密钥服务。

我可以将文件的加密方式改为 Google 的默认加密方式吗？

可以，您可以从 Google 文档、电子表格或演示文稿中移除客户端加密。如需了解详情，请参阅移除文档加密。

如何解密导出的云端硬盘文件和电子邮件？

如要解密使用数据导出工具或 Google 保险柜导出的客户端加密文件，您可以使用解密工具（一款命令行实用程序）。如需了解详情，请参阅对导出的客户端加密文件进行解密。

可以在 Google 保险柜中保留、搜索和导出加密的文件和电子邮件吗？

可以。如果您的 Google Workspace 版本包含 Google 保险柜，您就可以在保险柜中保留、搜索和导出经过客户端加密的云端硬盘文件和 Gmail 电子邮件。

您可以按客户端加密文件的元数据（例如标题和所有者）搜索客户端加密文件。不过，您无法搜索文件内容、按文件类型搜索、预览内容或从预览视图中下载内容。

如需了解详情，请访问 Google 保险柜帮助中心。

我是否需要限制对客户端加密内容进行拼写检查？

对于 Google 文档和幻灯片中的客户端加密正文内容，设备端机器学习模型会提供拼写检查功能，用于确保文档数据的机密性。
对于 Gmail 和 Google 文档中的评论，浏览器会提供拼写检查功能。
如果组织使用 Google Chrome：请确保 CSE 用户不使用 Chrome 的增强型拼写检查（如果选择此选项，则系统会向 Google 发送数据）。客户端加密功能用户可以改用 Chrome 的基本拼写检查，该功能不会向 Google 发送数据。如需了解详情，请参阅开启或关闭 Chrome 拼写检查。如果您使用的是受管理的 Chrome 浏览器，则可以创建政策来为客户端加密功能用户停用拼写检查，这会关闭增强型拼写检查，但不会关闭基本拼写检查。如需了解详情，请参阅为用户或浏览器设置 Chrome 政策。

扫描客户端加密文件和电子邮件

云端硬盘和 Gmail 是否会自动扫描客户端加密内容以检测安全隐患？

云端硬盘和 Gmail 不会扫描经过客户端加密的文件和电子邮件以检测是否存在钓鱼式攻击和恶意软件的风险，因为 Google 的服务器无法访问这些内容。

我可以对经过客户端加密的文件或电子邮件中的内容运行数据泄露防护扫描吗？

数据泄露防护 (DLP) 扫描功能无法访问文件或电子邮件中的客户端加密内容。不过，您可以创建 DLP 规则来执行以下操作：

扫描云端硬盘文件的未加密元数据（例如文件标题和云端硬盘标签），以防止敏感数据泄露。
扫描云端硬盘文件，确定文件是否经过客户端加密，设置方法如下：选择规则条件文件加密状态 > 为 > 经过客户端加密或未经客户端加密。

如需详细了解如何创建云端硬盘 DLP 规则，请参阅创建云端硬盘 DLP 规则和自定义内容检测器。

改用不支持客户端加密功能的 Google Workspace 版本

如果用户的许可不再包含客户端加密功能，这对加密的内容有何影响？

如果您为用户改用不含客户端加密功能的 Google Workspace 许可，用户仍然可以访问和修改任何客户端加密内容（例如文件和电子邮件）。不过，用户无法创建任何新的客户端加密内容。

如果不想再使用客户端加密功能，可以为内容移除加密吗？

如果您想停止使用客户端加密功能并解密文件和电子邮件等内容，则首先需要使用数据导出工具导出这些内容，然后使用解密工具实用程序移除客户端加密。

该内容对您有帮助吗？

您有什么改进建议？