支援這項功能的版本:Frontline Plus;Enterprise Plus;Education Fundamentals、Education Standard 和 Education Plus。版本比較
您可以在 Google 管理控制台中,設定代管式「安全/多用途網際網路郵件延伸標準 (S/MIME)」,防止貴機構使用者受到網路釣魚、有害附件和其他電子郵件威脅。S/MIME 會為郵件加密並加入數位簽章,藉此提升電子郵件的安全性。郵件解密作業會結合使用公開金鑰和私密金鑰。如果 S/MIME 經過「代管」,使用 S/MIME 加密的機構會儲存私密金鑰。
您可以視需要要求外寄郵件或含有特定內容的郵件使用 S/MIME。詳情請參閱「要求外寄郵件需經過 S/MIME 加密」。
CSE 與 S/MIME 的比較
有了 Google Workspace 用戶端加密 (CSE) 功能,使用者也能收發加密的 S/MIME 郵件。但使用 CSE 時,私密金鑰會由外部金鑰服務管理,以加強保護隱私及資料。進一步瞭解 CSE。
步驟 1:在 Google 管理控制台開啟代管式 S/MIME
-
在 Google 管理控制台中,依序前往「選單」
「應用程式」「Google Workspace」「Gmail」「使用者設定」。必須具備 Gmail 設定管理員權限。
在左側的「機構」下方,選取要設定的網域或機構。
重要事項:如要使用進階 S/MIME 控制選項上傳及管理根憑證,您必須在頂層機構 (通常是您的網域) 中啟用 S/MIME。進一步瞭解 S/MIME 和根憑證。
捲動至 S/MIME 設定,然後勾選「允許在收發電子郵件時使用 S/MIME 加密功能」方塊。
(選用) 如要允許貴機構的使用者上傳憑證,請勾選「允許使用者自行上傳憑證」方塊。
(選用其他控制選項) 如要上傳及管理根憑證:
- 在「為特定網域接受這些額外根憑證」旁邊,按一下「新增」。
- 在「新增根憑證」視窗中,按一下「上傳根憑證」。
- 瀏覽並選取憑證檔案,然後按一下「開啟」。系統隨即會顯示該憑證的相關驗證訊息,其中包含主體名稱和到期日。
- 在「加密等級」之下,選取要與該憑證配合使用的加密等級。
- 在「位址清單」之下,輸入要在通訊時使用根憑證的網域 (至少一個)。請以半形逗號分隔每個網域。網域名稱可使用萬用字元。如要進一步瞭解如何在網域名稱中使用萬用字元,請參閱「RFC 6125」。
(選用) 如要允許含有憑證的 CSE 金鑰組,與使用者主要電子郵件地址以外的電子郵件地址建立關聯,請選取憑證不符選項 (針對這些網域,允許憑證的電子郵件地址與使用者目前的電子郵件地址不符)。
基於安全考量,建議您只在貴機構要求的情況下才這麼做。這項功能支援 CSE,而不支援代管式 S/MIME。如要進一步瞭解憑證不符的情況,請參閱「管理信任的 S/MIME 憑證」。
按一下 [完成]。
重複執行上述步驟,上傳更多憑證鏈結。
如果您的網域或機構必須使用安全雜湊演算法 1 (SHA-1),請勾選「允許全域使用 SHA-1 (不建議)」方塊。如要進一步瞭解如何使用 SHA-1,請參閱「管理 S/MIME 信任憑證」。
按一下 [儲存]。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情。在這段期間傳送的郵件不會加密。
步驟 2:請使用者重新載入 Gmail
在 Google 管理控制台啟用代管式 S/MIME 後,請通知貴機構使用者重新載入 Gmail。啟用代管式 S/SMIME 後,郵件主旨行會顯示鎖頭圖示。如果郵件經過代管式 S/MIME 加密,鎖頭就會變成綠色。
步驟 3:將 S/MIME 憑證新增至 Gmail
接著,請將 S/MIME 憑證新增至 Gmail,方法有 2 種:
- 管理員使用 Gmail S/MIME API 新增憑證
- 使用者在 Gmail 帳戶設定中新增憑證
(管理員) 使用 Gmail S/MIME API 新增憑證 (建議)
建議管理員使用 Gmail S/MIME API 上傳憑證。
(使用者) 在 Gmail 帳戶設定中新增憑證
您可以請貴機構使用者按照下列步驟,在「帳戶和匯入」或「帳戶」分頁的「選擇寄件地址」部分,將 S/MIME 憑證新增至 Gmail 設定。「選擇寄件地址」帳戶不會沿用主要 Gmail 帳戶的 S/MIME 憑證,因此您必須手動將 S/MIME 憑證新增至「選擇寄件地址」帳戶。如要進一步瞭解「選擇寄件地址」帳戶,請參閱「透過不同的地址或別名傳送電子郵件」。
重要事項:
- 使用者只能透過網頁版 Gmail,將 S/MIME 憑證新增至「選擇寄件地址」帳戶。Gmail 應用程式不支援本節所述的步驟。
- 使用者只能透過網頁版 Gmail,從「選擇寄件地址」帳戶傳送 S/MIME 郵件。
如何新增 S/MIME 憑證:
- 前往網頁版 Gmail。
- 依序選擇「設定」
「查看所有設定」。 - 選取「帳戶」分頁標籤。
在「以這個地址寄送郵件」旁邊,選取「編輯資訊」。
系統會顯示「編輯電子郵件地址和加密設定」視窗。如果沒看到此選項,請與管理員聯絡。
按一下「上傳個人憑證」。
選取憑證,然後按一下「開啟」。系統會提示您輸入憑證密碼。
輸入密碼,然後按一下「新增憑證」。
按一下 [儲存變更]。
憑證規定
與 Gmail 搭配使用的憑證必須符合最新的密碼編譯標準,並採用公開金鑰密碼編譯標準 (PKCS) #12 封存檔案格式。
Google 會維護這份信任憑證清單,支援 Gmail 的 S/MIME 功能。
步驟 4:請使用者交換金鑰
如要開始交換 S/MIME 郵件,使用者需以下列任一方式,與郵件收件者交換金鑰:
- 將經過 S/MIME 簽署的郵件寄給收件者。郵件會經過數位簽署,並納入使用者的公開金鑰。收件者可以用這個公開金鑰,將傳送給使用者的郵件加密。
- 請收件者傳送郵件給使用者。使用者收到的郵件會經過 S/MIME 簽署,系統也會自動儲存金鑰,供日後使用。往後,寄給收件者的郵件都會經過 S/MIME 加密。
覆寫子機構的 S/MIME 設定
根據預設,組織單位會沿用頂層組織單位的 S/MIME 設定,您可以視需要覆寫組織單位沿用的 S/MIME 設定。如果您要為機構單位停用或自訂 S/MIME 設定,這項功能就能派上用場。
如何覆寫 S/MIME 設定:
-
在 Google 管理控制台中,依序前往「選單」
「應用程式」「Google Workspace」「Gmail」「使用者設定」。必須具備 Gmail 設定管理員權限。
- 在左側的「機構」下方,選取要設定的機構單位。
捲動至 S/MIME 設定,然後按一下將其展開。
S/MIME 設定標籤下方的標籤會顯示「沿用來源:(機構或網域名稱)」或「已覆寫」。
按一下「覆寫」,即可對沿用 SMIME 設定的子組織儲存變更。
儲存子機構的設定後,S/MIME 設定標籤下方就會顯示「已覆寫」。在左側的機構單位結構樹中,系統也會在覆寫的子機構旁邊顯示「圓點」標記。
提示:如果您的子機構覆寫了上層機構的設定,您可以使用「沿用」按鈕來沿用該上層機構的設定。
疑難排解:子組織未沿用 S/MIME 設定
問題:子組織單位無法沿用根組織單位的 S/MIME 設定。
原因:這類問題最常見的原因,是一或多個組織單位使用覆寫功能新增 S/MIME 設定「之後」,整個組織的 S/MIME 設定就 (在根層級) 遭到關閉或修改。進一步瞭解 S/MIME 設定覆寫功能。
在子組織層級使用下列覆寫功能設定這些 S/MIME 選項時,也可能會發生此問題:「啟用 S/MIME」、「允許使用者自行上傳憑證」,或「允許全域使用 SHA-1」。這是因為這類變更會覆寫根層級的憑證設定。
解決方法:如要修正問題並將沿用的 S/MIME 套用至子組織單位,請按照下列步驟操作:
- 在「S/MIME」設定中,選取左側「S/MIME」設定標籤下方的子組織單位名稱。
- 按一下「沿用」,將根 S/MIME 設定套用至子組織單位。
- 重新套用子機構單位的設定:
- 不要取消選取左側「S/MIME」設定標籤下方的子機構單位。
- 更新子組織單位的相關 S/MIME 設定:「啟用 S/MIME」、「允許使用者自行上傳憑證」,或「允許全域使用 SHA-1」。
- 按一下「覆寫」。這麼做可儲存子項專屬設定,同時確保子項沿用根憑證或根層級 S/MIME 設定過往的所有變更。
分別對受影響的子機構單位重複以上步驟。
重要事項:每次新增或移除根憑證時,皆須對子機構單位重複這些步驟,才能套用上述變更。