支援這項功能的版本:Enterprise Plus 和 Education Standard 和 Education Plus。 版本比較
以下是 Google Workspace 用戶端加密 (CSE) 功能的常見問題解答。
關於加密功能
哪裡可以找到 Google 預設加密機制的相關資訊?
如要進一步瞭解 Google 的預設加密機制,請前往 Google Cloud 網站。
如要進一步瞭解 Gmail 的標準加密機制,請參閱 Gmail 說明中心的「在傳輸過程中加密」一文。
CSE 與端對端 (e2e) 加密有何不同?
端對端加密 (e2e) 一律會在來源和目標裝置上進行加密和解密 (例如在手機上進行即時通訊時)。由於加密金鑰是在用戶端產生,因此管理員對用戶端上的金鑰沒有控制權,也無法控管哪些人能使用這些金鑰。此外,管理員也沒辦法查看使用者加密了哪些內容。
使用用戶端加密 (CSE) 時,系統一樣是在來源和目標裝置 (這裡是指用戶端的瀏覽器) 上進行加密和解密作業,不過,由於用戶端所使用的加密金鑰是由雲端式的金鑰管理服務產生及儲存,所以您可以控管金鑰和金鑰存取權的擁有者。舉例來說,您可以撤銷某位使用者的金鑰存取權,即使是由該使用者產生金鑰也一樣。此外,有了 CSE,您就可以監控使用者的加密檔案。
瞭解 CSE 使用者體驗
使用者如何使用 CSE 加密資料?
使用者可以在支援的服務中選擇開啟 CSE。如要進一步瞭解使用者如何在網頁版和行動應用程式中開啟 CSE,請參閱「用戶端加密使用者體驗總覽」。
使用者是否有任何 CSE 使用限制?
有,開啟 CSE 後,Google 服務的部分功能將無法使用。詳情請參閱「用戶端加密使用者體驗總覽」。
設定 CSE
什麼是加密金鑰?該如何取得?
加密金鑰是用來將資料轉換為無法讀取的格式,以隨機方式顯示。這樣一來,就能避免未經核准的任何人或應用程式讀取資料。如要讀取加密資料,個人或應用程式需有金鑰,才能將資料轉換回原本的格式。
如要使用加密金鑰為貴機構的 Google Workspace 資料多添一層加密機制,您必須使用與 Google 合作的金鑰管理服務,或是使用 Google 的 CSE API 自行建立金鑰服務。或者,您也可以只針對 Gmail 使用硬體金鑰加密功能,使用者的加密金鑰會存放在智慧型卡片中。
哪些合作夥伴金鑰管理服務可以與 CSE 搭配使用?
Google 已與一些金鑰管理服務合作,這些服務都可與 CSE 搭配使用。如需服務清單,請參閱「為用戶端加密功能設定金鑰服務」。
可以使用 Google 做為我的金鑰管理服務嗎?
不可以。您必須使用外部金鑰管理服務來設定 Google Workspace 用戶端加密功能。有了用戶端加密功能,您就可以自行控管加密金鑰,Google 無法存取這些金鑰來解密您的資料。
我可以使用多個金鑰服務嗎?
可以。您可以使用多個金鑰服務,並為機構單位或群組選擇要使用的服務。您也可以隨時在金鑰服務之間遷移加密內容。
注意:您可以在管理控制台中為 Gmail 用戶端加密功能設定單一金鑰服務。如要瞭解其他管理金鑰的方法,請造訪 Google Workspace Client-side Encryption API。
我可以將智慧型卡片與 CSE 搭配使用嗎?
可以。如果貴機構使用智慧型卡片存取設施和系統,您可以為 Gmail CSE 設定硬體金鑰加密功能。Requires having the Assured Controls add-on. 使用者可以使用含有私人加密金鑰的智慧型卡片加密電子郵件。詳情請參閱「僅限 Gmail:為用戶端加密功能設定及管理硬體金鑰」。
我可以為 Gmail 同時使用金鑰服務和硬體加密金鑰嗎?
可以。您可以為 Gmail CSE 同時設定金鑰服務和硬體加密金鑰。Requires having the Assured Controls add-on. 您也可以一併將金鑰服務和硬體金鑰加密功能指派給相同的使用者。不過,使用者只能對 Gmail 使用一種加密方式,這取決於您為 Gmail 設定私人加密金鑰的方式。詳情請參閱「僅限 Gmail:為用戶端加密功能上傳加密金鑰」。
我可以改用其他金鑰服務嗎?
可以。如要改用其他金鑰服務,最佳做法是將目前金鑰服務的加密內容遷移至新服務。詳情請參閱「如要改用新金鑰服務」。
如何限制哪些使用者或群組可以存取我的外部金鑰服務?
透過外部金鑰服務,您可以管理加密金鑰的金鑰存取控制清單 (KACL)。KACL 必須包含所有需要加密或解密 (查看或編輯) 內容的使用者。如要瞭解詳情,請與加密服務供應商聯絡。
此外,您必須為所有需要將資料加密的使用者開啟 CSE。詳情請參閱「為使用者開啟或關閉用戶端加密」。
我可以讓特定使用者強制使用 CSE 嗎?
您可以在 Gmail、Google 雲端硬碟和 Google 日曆中調整設定,讓特定機構單位預設開啟 CSE。Requires having the Assured Controls add-on.
如果您指定預設開啟 CSE,使用者仍可視需要關閉 CSE。
詳情請參閱「為使用者開啟或關閉用戶端加密」。
如何為共用雲端硬碟設定 CSE?
您不需要特地為共用雲端硬碟設定 CSE。您在管理控制台設定的外部金鑰服務,可同時支援「我的雲端硬碟」和共用雲端硬碟中的檔案。
如果在設定 CSE 時收到快訊,該怎麼辦?
如果您在設定 CSE 時遇到問題,請參閱「查看快訊詳細資料」瞭解詳情。
我可以匯入現有電子郵件並使用 CSE 加密嗎?
可以,請參閱「以用戶端加密電子郵件的形式將郵件遷移至 Gmail」。
可以讓外部使用者存取機構的用戶端加密內容嗎?
可以,請參閱「開放外部人士存取用戶端加密內容」。
處理用戶端加密內容
我可以使用其他加密金鑰重新加密現有檔案嗎?
您可以將用戶端加密檔案遷移至新的金鑰服務。詳情請參閱「如要改用新金鑰服務」。
我可以將檔案的加密機制改成 Google 預設的加密機制嗎?
可以。您可以移除 Google 文件、試算表或簡報的用戶端加密功能。詳情請參閱「移除文件的加密功能」。
我可以在 Google 保管箱中保留、搜尋及匯出加密的檔案和電子郵件嗎?
可以,如果您的 Google Workspace 版本有 Google 保管箱,您就可以在保管箱中保留、搜尋及匯出用戶端加密的雲端硬碟檔案和 Gmail 電子郵件。
您可以依中繼資料 (例如標題和擁有者) 搜尋用戶端加密檔案。不過,您無法搜尋相關內容、依檔案類型進搜尋、預覽內容,或透過預覽檢視畫面下載這些內容。
詳情請造訪 Google 保管箱說明中心。
掃描用戶端加密檔案和電子郵件
雲端硬碟與 Gmail 是否會自動掃描用戶端加密內容,藉此防範安全性威脅?
Google 伺服器無法存取用戶端加密檔案和電子郵件的內容,因此掃描這些檔案是否涉及網路釣魚及含有惡意軟體。
我可以針對用戶端加密檔案或電子郵件中的內容執行資料遺失防護掃描嗎?
資料遺失防護 (DLP) 掃描功能無法存取檔案或電子郵件中的用戶端加密內容。但您可以建立資料遺失防護規則執行下列操作:
- 掃描雲端硬碟檔案的未加密中繼資料 (例如檔案標題和雲端硬碟標籤),防止機密資料外洩。
- 選擇規則條件「檔案加密狀態」>「是」>「用戶端加密」或「用戶端未加密」,即可掃描雲端硬碟檔案,判斷檔案是否經用戶端加密。
如要進一步瞭解如何建立雲端硬碟資料遺失防護規則,請參閱「建立雲端硬碟資料遺失防護規則和自訂內容偵測工具」。
改用不支援 CSE 的 Google Workspace 版本
如果使用者的授權不再支援 CSE,加密內容會有什麼影響?
如果您將使用者轉換至不含 CSE 的 Google Workspace 授權,他們依然可以存取及編輯任何用戶端加密項目,例如檔案和電子郵件。不過,使用者無法建立任何新的用戶端加密項目。
