Chỉ định tính năng mã hoá phía máy khách cho người dùng

Sau khi thêm một hoặc nhiều dịch vụ khoá bên ngoài vào Bảng điều khiển dành cho quản trị viên để sử dụng tính năng Mã hoá phía máy khách (CSE) của Google Workspace, bạn cần chỉ định các dịch vụ đó cho các đơn vị tổ chức hoặc nhóm cấu hình. Khi chỉ định một dịch vụ khoá, những người dùng mà bạn đã thêm vào danh sách kiểm soát quyền truy cập khoá của dịch vụ bên ngoài sẽ có thể mã hoá và giải mã nội dung.

Nếu đã thiết lập chế độ mã hoá bằng khoá vật lý cho tính năng Mã hoá phía máy khách (CSE) của Gmail, bạn cần chỉ định chế độ này cho các đơn vị tổ chức hoặc nhóm cấu hình. Bạn phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Assured Controls Plus.

Đối với những người dùng cần mã hoá nội dung, bạn cũng cần bật CSE. Để biết thông tin chi tiết, hãy xem bài viết Bật hoặc tắt tính năng mã hoá phía máy khách.

Trước khi bắt đầu

Đảm bảo rằng bạn chỉ định một dịch vụ mã khoá mặc định

Để đảm bảo các dịch vụ Mã hoá phía máy khách (CSE) hoạt động đúng cách trong toàn bộ tổ chức, bạn cần đặt một dịch vụ mã khoá bên ngoài làm dịch vụ mặc định cho toàn bộ tổ chức. Ví dụ: nếu Mã hoá phía máy khách (CSE) được bật cho một nhóm nhưng nhóm đó đang sử dụng bộ nhớ dùng chung trong một đơn vị tổ chức mà Mã hoá phía máy khách (CSE) bị tắt, thì dịch vụ mã khoá mặc định sẽ được dùng.
Khi thêm dịch vụ mã khoá đầu tiên vào Bảng điều khiển dành cho quản trị viên, bạn sẽ được nhắc chỉ định một dịch vụ mặc định ở đơn vị tổ chức cấp cao nhất. Nếu bạn chưa chỉ định giá trị mặc định, hãy nhớ thực hiện việc này trước khi bật CSE cho người dùng. Để xem hướng dẫn, hãy chuyển đến phần Chỉ định dịch vụ mã khoá mặc định cho tổ chức của bạn ở phần sau của trang này.

Nếu bạn muốn sử dụng nhiều dịch vụ khoá cho nhiều người dùng

Bạn có thể chỉ định một dịch vụ mã khoá khác với dịch vụ mặc định cho một đơn vị tổ chức hoặc nhóm. Ví dụ: bạn có thể muốn sử dụng các dịch vụ khoá khác nhau cho các vị trí khác nhau của tổ chức.
Nếu nội dung đã được mã hoá bằng dịch vụ mã khoá hiện tại, thì tốt nhất bạn nên di chuyển nội dung đã mã hoá sang dịch vụ mới. Chuyển đến phần Nếu bạn muốn chuyển sang một dịch vụ mã khoá mới ở phần sau của trang này.

Nếu bạn muốn chuyển sang một dịch vụ mã khoá mới

Nếu trước đây đã chỉ định một dịch vụ mã khoá cho một đơn vị tổ chức hoặc nhóm, bạn có thể chuyển sang một dịch vụ khác. Nếu nội dung đã được mã hoá bằng dịch vụ mã khoá hiện tại, thì bạn nên di chuyển nội dung sang dịch vụ mới. Để biết thông tin chi tiết, hãy chuyển đến phần Di chuyển nội dung được mã hoá sang một dịch vụ mã khoá mới ở phần sau trên trang này.
Nếu bạn chuyển sang một dịch vụ mã khoá mới nhưng không di chuyển nội dung: Mọi nội dung được mã hoá hiện có sẽ chỉ được mã hoá bằng dịch vụ hiện tại, chứ không phải bằng dịch vụ mới mà bạn đã thêm. Điều này có nghĩa là bạn sẽ cần tiếp tục sử dụng dịch vụ hiện tại để có thể truy cập vào nội dung đã mã hoá trước đó.

Chỉ định phương thức mã hoá bằng dịch vụ mã khoá

Chỉ định dịch vụ mã khoá mặc định cho tổ chức của bạn

Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Dữ liệu sau đó Tuân thủ sau đó Mã hoá phía máy khách.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Trong phần Mã hoá bằng dịch vụ mã khoá bên ngoài, hãy nhấp vào Chỉ định.
  3. Trong bảng điều khiển bên trái, hãy chọn Tất cả người dùng trong tài khoản này hoặc đơn vị tổ chức cấp cao nhất.
  4. Nhấp vào Dịch vụ mã khoá rồi chọn dịch vụ mã khoá của bạn trong danh sách thả xuống.
  5. Nhấp vào Lưu.

Chỉ định một dịch vụ mã khoá khác cho một số người dùng cụ thể

Nếu đã thêm nhiều dịch vụ khoá vào Bảng điều khiển dành cho quản trị viên, bạn có thể chọn một dịch vụ khoá khác với dịch vụ hiện được chỉ định cho một đơn vị tổ chức hoặc nhóm.

Lưu ý quan trọng: Nếu nội dung đã được mã hoá bằng dịch vụ mã khoá hiện tại, thì tốt nhất bạn nên di chuyển nội dung đã mã hoá sang dịch vụ mới để đảm bảo nội dung đã mã hoá phía máy khách hiện có vẫn có thể truy cập được. Để biết thông tin chi tiết, hãy chuyển đến phần Di chuyển nội dung đã mã hoá sang một dịch vụ mã khoá mới ở phần sau của trang này.

Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Dữ liệu sau đó Tuân thủ sau đó Mã hoá phía máy khách.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Trong phần Mã hoá bằng dịch vụ mã khoá bên ngoài, hãy nhấp vào Chỉ định.
  3. Trong bảng điều khiển bên trái, hãy chọn một đơn vị tổ chức hoặc nhóm mà bạn muốn sử dụng một dịch vụ khoá khác.
  4. Nhấp vào Dịch vụ mã khoá rồi chọn dịch vụ mã khoá mới trong danh sách thả xuống.
  5. Nhấp vào Ghi đè để giữ nguyên chế độ cài đặt của bạn nếu chế độ cài đặt CSE cho đơn vị tổ chức mẹ thay đổi.
  6. Nếu Bị ghi đè đã được đặt cho đơn vị tổ chức, hãy chọn một tuỳ chọn:
    • Kế thừa – Quay về chế độ cài đặt CSE giống với chế độ cài đặt của đơn vị tổ chức chính.
    • Lưu – Lưu chế độ cài đặt mới cho CSE (ngay cả khi chế độ cài đặt của đơn vị tổ chức mẹ thay đổi).
Các thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm

Di chuyển nội dung đã mã hoá sang một dịch vụ mã khoá mới

Nếu không muốn sử dụng dịch vụ mã khoá hiện có để mã hoá nội dung cho một đơn vị tổ chức hoặc nhóm nữa, bạn có thể thêm một dịch vụ mới, chọn dịch vụ dự phòng và di chuyển nội dung đã mã hoá sang dịch vụ mới.

Trước khi bạn bắt đầu di chuyển

Những dịch vụ nào được hỗ trợ

Hiện tại, bạn có thể di chuyển nội dung được mã hoá cho các dịch vụ sau:

  • Google Drive và Tài liệu
  • Lịch Google

Cách chuyển sang một dịch vụ mã khoá khác cho tính năng Mã hoá phía máy khách (CSE) của Gmail: Bạn cần sử dụng API Gmail để tải một chứng chỉ S/MIME mới có các khoá được gói bằng dịch vụ mã khoá mới cho từng người dùng. Để biết thông tin chi tiết, hãy xem bài viết Chỉ Gmail: Định cấu hình chứng chỉ S/MIME cho tính năng mã hoá phía máy khách.

Google không giải mã nội dung

Trong quá trình di chuyển, Google không bao giờ giải mã nội dung. Dịch vụ mới sẽ giải mã lớp mã hoá của dịch vụ trước đó và thay thế bằng một lớp mã hoá mới.

Không ảnh hưởng đến người dùng

Trong quá trình di chuyển, người dùng có thể tiếp tục mã hoá hoặc xem nội dung đã mã hoá mà không bị gián đoạn.

Không có trạng thái di chuyển

Không có thông tin về tiến trình và thông báo về mọi vấn đề.

Trước tiên, hãy kiểm thử quy trình di chuyển trên một số ít người dùng

Bạn nên thử di chuyển trên một số ít người dùng trước khi chạy quy trình di chuyển đầy đủ cho nội dung của tất cả người dùng. Chỉ định khoá mới cho một đơn vị tổ chức hoặc nhóm và bật tính năng di chuyển cho những người dùng đó để xác định xem có vấn đề nào về việc di chuyển hay không.

Sau khi di chuyển thử nghiệm, hãy thử mã hoá nội dung mới bằng dịch vụ mã khoá mới và kiểm tra xem bạn có thể truy cập và chỉnh sửa nội dung đã mã hoá trước đó hay không.

Giảm thời gian di chuyển

Để giảm thiểu số lượng mục mới được mã hoá bằng dịch vụ mã khoá hiện tại, hãy bắt đầu di chuyển toàn bộ dữ liệu trong thời gian thấp điểm.

Bước 1: Thêm dịch vụ mã khoá mới vào Bảng điều khiển dành cho quản trị viên

  • Nếu bạn hiện chỉ sử dụng một dịch vụ mã khoá: Thêm dịch vụ mã khoá mới làm dịch vụ chính và chọn dịch vụ hiện tại làm dịch vụ dự phòng. Để biết thông tin chi tiết, hãy xem bài viết Thêm dịch vụ mã khoá bên ngoài. Để duy trì quyền truy cập vào dữ liệu đã mã hoá hiện có, hãy đảm bảo rằng dịch vụ sao lưu được định cấu hình để chấp nhận Mã thông báo web JSON (JWT) từ dịch vụ chính mới.
  • Nếu bất kỳ dịch vụ mã khoá nào mà bạn hiện đang sử dụng đã có dịch vụ dự phòng: Xoá dịch vụ dự phòng khỏi dịch vụ mã khoá đó. Để biết thông tin chi tiết, hãy xem bài viết Xoá bản sao lưu khỏi một dịch vụ mã khoá. Sau đó, hãy thêm dịch vụ mã khoá mới và chọn các dịch vụ hiện tại làm khoá dự phòng.

    Lưu ý quan trọng: Nếu bạn đang di chuyển nội dung từ bản sao lưu mà bạn cần xoá, hãy đợi cho đến khi quá trình di chuyển hoàn tất. Sau khi bạn xoá bản sao lưu, mọi quá trình di chuyển sẽ ngừng ngay lập tức. Để biết thông tin chi tiết, hãy chuyển đến phần Bước 4: Kiểm tra xem quá trình di chuyển đã hoàn tất hay chưa ở phần sau của trang này.

Bước 2: Thay thế dịch vụ mã khoá hiện tại bằng dịch vụ mã khoá mới

Sau khi thêm dịch vụ mã khoá mới, hãy chỉ định dịch vụ mã khoá mới cho các đơn vị tổ chức hoặc nhóm. Để biết thông tin chi tiết, hãy xem phần Chỉ định dịch vụ mã khoá cho tính năng mã hoá phía máy khách ở trên.

Bước 3: Bật tính năng di chuyển

Sau khi chọn dịch vụ mã khoá mới cho một đơn vị tổ chức hoặc nhóm, bạn có thể bật tính năng di chuyển nếu có dịch vụ nào có nội dung đã mã hoá trước đó có thể di chuyển.

Thời gian di chuyển sẽ khác nhau tuỳ thuộc vào lượng nội dung được mã hoá bằng dịch vụ mã khoá hiện tại và tốc độ xử lý của dịch vụ mã khoá mới. Quá trình di chuyển nội dung có thể mất từ vài giờ đến vài ngày.

Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Dữ liệu sau đó Tuân thủ sau đó Mã hoá phía máy khách.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Trong phần Mã hoá bằng dịch vụ mã khoá bên ngoài, hãy nhấp vào Chỉ định.
  3. Trong bảng điều khiển bên trái, hãy chọn đơn vị tổ chức hoặc nhóm mà bạn muốn di chuyển nội dung sang một dịch vụ mã khoá mới.
  4. Trong mục Di chuyển, hãy nhấp vào Bật.

    Lưu ý: Bạn chỉ có thể sử dụng lựa chọn này nếu có các dịch vụ có nội dung đã mã hoá trước đó được liệt kê trong phần Di chuyển.

  5. Trong thông báo xác nhận, hãy đánh dấu vào hộp để cho biết bạn hiểu rằng không thể huỷ quy trình di chuyển sau khi bắt đầu. Sau đó, nhấp vào Lưu.

Quá trình di chuyển bắt đầu.

Bước 4: Kiểm tra xem quá trình di chuyển đã hoàn tất hay chưa

Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Dữ liệu sau đó Tuân thủ sau đó Mã hoá phía máy khách.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Trong phần Mã hoá bằng dịch vụ mã khoá bên ngoài, hãy nhấp vào Chỉ định.
  3. Trong bảng điều khiển bên trái, hãy chọn đơn vị tổ chức hoặc nhóm mà bạn muốn di chuyển nội dung đã mã hoá sang một dịch vụ mã khoá mới.
  4. Trong phần Di chuyển, hãy kiểm tra số lượng mục được mã hoá bằng dịch vụ trước đó (hiện là dịch vụ sao lưu).

    Nếu không có mục nào được mã hoá, thì quá trình di chuyển đã hoàn tất.

Bước 5: (Không bắt buộc) Xoá dịch vụ mã khoá dự phòng

Nếu đã hoàn tất quá trình di chuyển nội dung và không muốn sử dụng dịch vụ dự phòng nữa, bạn có thể xoá dịch vụ này khỏi dịch vụ mã khoá mới. Để biết thông tin chi tiết, hãy xem bài viết Xoá bản sao lưu khỏi một dịch vụ mã khoá.

Chỉ định chế độ mã hoá bằng khoá phần cứng (chỉ dành cho Gmail)

Nếu thiết lập chế độ mã hoá bằng khoá phần cứng cho tất cả hoặc một số người dùng trong tổ chức để mã hoá Gmail, bạn cần chỉ định chế độ này cho những người dùng đó.

Nếu bạn cũng đang sử dụng một dịch vụ khoá mã hoá cho Gmail: Bạn có thể chỉ định tính năng mã hoá bằng khoá phần cứng cho những người dùng giống như dịch vụ khoá; tuy nhiên, những người dùng đó sẽ mã hoá Gmail bằng một trong hai dịch vụ khoá hoặc khoá phần cứng, tuỳ thuộc vào cách bạn thiết lập khoá mã hoá cho họ trong Gmail. Để biết thông tin chi tiết, hãy xem bài viết Chỉ Gmail: Định cấu hình chứng chỉ S/MIME cho tính năng mã hoá phía máy khách.

Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Dữ liệu sau đó Tuân thủ sau đó Mã hoá phía máy khách.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Trong mục Mã hoá bằng khoá phần cứng, hãy nhấp vào Chỉ định.
  3. Trong bảng điều khiển bên trái, hãy chọn một đơn vị tổ chức hoặc nhóm mà bạn muốn sử dụng một dịch vụ khoá khác.
  4. Nhấp vào Mã hoá bằng khoá vật lý rồi đánh dấu vào hộp.
  5. Nếu bạn chọn một đơn vị tổ chức con, hãy nhấp vào Ghi đè để giữ nguyên chế độ cài đặt của bạn nếu chế độ cài đặt CSE cho đơn vị tổ chức mẹ thay đổi.
  6. Nếu Bị ghi đè đã được đặt cho đơn vị tổ chức, hãy chọn một tuỳ chọn:
    • Kế thừa – Quay về chế độ cài đặt CSE giống với chế độ cài đặt của đơn vị tổ chức chính.
    • Lưu – Lưu chế độ cài đặt mới cho CSE (ngay cả khi chế độ cài đặt của đơn vị tổ chức mẹ thay đổi).
Các thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm