คำถามที่พบบ่อยเกี่ยวกับการเข้ารหัสฝั่งไคลเอ็นต์

โปรดดูรายละเอียดเกี่ยวกับการเข้ารหัสเริ่มต้นของ Google ที่เว็บไซต์ Google Cloud

โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการเข้ารหัสแบบมาตรฐานสำหรับ Gmail ที่หัวข้อการเข้ารหัสระหว่างการรับส่งข้อมูลในศูนย์ช่วยเหลือของ Gmail

เมื่อใช้การเข้ารหัสจากต้นทางถึงปลายทาง (E2EE) การเข้ารหัสและการถอดรหัสจะเกิดขึ้นในอุปกรณ์ต้นทางและปลายทางเสมอ (เช่น ในโทรศัพท์มือถือสำหรับรับส่งข้อความโต้ตอบแบบทันที) โดยคีย์การเข้ารหัสจะสร้างขึ้นบนไคลเอ็นต์ ดังนั้นในฐานะผู้ดูแลระบบ คุณจึงไม่สามารถควบคุมคีย์ในไคลเอ็นต์และผู้ที่มีสิทธิ์ใช้งานได้ นอกจากนี้ คุณจะไม่เห็นเนื้อหาที่ผู้ใช้เข้ารหัสไว้อีกด้วย

เมื่อใช้การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) การเข้ารหัสและการถอดรหัสจะเกิดขึ้นในอุปกรณ์ต้นทางและปลายทางเสมอเช่นเดียวกัน ซึ่งในกรณีนี้คือเบราว์เซอร์ของไคลเอ็นต์ แต่เมื่อใช้ CSE ไคลเอ็นต์จะใช้คีย์การเข้ารหัสที่สร้างและจัดเก็บไว้ในบริการการจัดการคีย์ในระบบคลาวด์ เพื่อให้คุณสามารถควบคุมคีย์และผู้ที่มีสิทธิ์เข้าถึงคีย์เหล่านั้นได้ เช่น คุณสามารถเพิกถอนสิทธิ์เข้าถึงคีย์ของผู้ใช้ได้ แม้ว่าผู้ใช้จะเป็นผู้สร้างคีย์ก็ตาม นอกจากนี้ คุณสามารถตรวจสอบไฟล์ที่เข้ารหัสของผู้ใช้ได้ด้วย CSE

ผู้ใช้สามารถเลือกตัวเลือกในบริการที่รองรับเพื่อเปิดใช้ CSE ได้ โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ผู้ใช้สามารถเปิด CSE ในเว็บและแอปบนอุปกรณ์เคลื่อนที่ได้ที่หัวข้อภาพรวมประสบการณ์ของผู้ใช้ในการเข้ารหัสฝั่งไคลเอ็นต์

มี ฟีเจอร์บางอย่างในบริการของ Google จะใช้งานไม่ได้เมื่อเปิดใช้ CSE โปรดดูข้อมูลเพิ่มเติมที่หัวข้อภาพรวมประสบการณ์ของผู้ใช้ในการเข้ารหัสฝั่งไคลเอ็นต์

ระบบจะใช้คีย์การเข้ารหัสเพื่อแปลงข้อมูลเป็นรูปแบบที่อ่านไม่ได้เพื่อให้ปรากฏเป็นแบบสุ่ม การทำเช่นนี้จะช่วยรักษาข้อมูลให้เป็นส่วนตัวจากผู้อื่นหรือผู้ใดก็ตามที่ไม่ได้รับอนุมัติให้อ่าน หากต้องการอ่านข้อมูลที่เข้ารหัส บุคคลหรือแอปพลิเคชันจะต้องมีคีย์เพื่อแปลงข้อมูลกลับไปเป็นรูปแบบเดิม

หากต้องการใช้คีย์การเข้ารหัสเพื่อเพิ่มการเข้ารหัสอีกชั้นให้กับข้อมูล Google Workspace ขององค์กร คุณต้องใช้บริการการจัดการคีย์ที่เป็นพาร์ทเนอร์กับ Google หรือสร้างบริการจัดการคีย์ของคุณเองโดยใช้ CSE API ของ Google หรืออีกวิธีที่ใช้ได้เฉพาะสำหรับ Gmail คือคุณสามารถใช้การเข้ารหัสคีย์ฮาร์ดแวร์ ซึ่งมีคีย์การเข้ารหัสของผู้ใช้อยู่ในสมาร์ทการ์ด

Google ได้ร่วมมือกับบริการการจัดการคีย์หลายรายที่ใช้ร่วมกับ CSE ได้ โปรดดูรายชื่อบริการที่หัวข้อตั้งค่าบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์

ไม่ได้ คุณต้องใช้บริการการจัดการคีย์ภายนอกเพื่อตั้งค่าการเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace หากใช้ CSE คุณจะควบคุมคีย์การเข้ารหัสของตนเองได้ และ Google จะเข้าถึงคีย์ดังกล่าวเพื่อถอดรหัสข้อมูลของคุณไม่ได้

ได้ คุณสามารถใช้บริการจัดการคีย์ได้มากกว่า 1 รายการและเลือกบริการที่จะใช้สําหรับหน่วยขององค์กรหรือกลุ่มได้ หรือจะย้ายข้อมูลเนื้อหาที่เข้ารหัสจากบริการหนึ่งไปยังอีกบริการหนึ่งก็ได้

หมายเหตุ: คุณสามารถตั้งค่าบริการจัดการคีย์เดียวสําหรับการเข้ารหัสฝั่งไคลเอ็นต์ของ Gmail ได้ในคอนโซลผู้ดูแลระบบ ดูข้อมูลเกี่ยวกับตัวเลือกอื่นๆ สำหรับการจัดการคีย์ที่ Google Workspace Client-side Encryption API

ได้ หากองค์กรของคุณใช้สมาร์ทการ์ดเพื่อเข้าถึงสิ่งอำนวยความสะดวกและระบบ คุณสามารถตั้งค่าการเข้ารหัสคีย์ฮาร์ดแวร์สำหรับ CSE ของ Gmail ต้องมีส่วนเสริม Assured Controls หรือ Assured Controls Plus ผู้ใช้สามารถใช้สมาร์ทการ์ดซึ่งมีคีย์การเข้ารหัสส่วนตัวเพื่อเข้ารหัสข้อความอีเมลได้ โปรดดูรายละเอียดที่หัวข้อ Gmail เท่านั้น: ตั้งค่าและจัดการการเข้ารหัสคีย์ฮาร์ดแวร์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์

ได้ คุณสามารถตั้งค่าทั้งบริการจัดการคีย์และคีย์การเข้ารหัสฮาร์ดแวร์สำหรับ CSE ของ Gmail ได้ ต้องมีส่วนเสริม Assured Controls หรือ Assured Controls Plus นอกจากนี้ คุณยังมอบหมายทั้งบริการจัดการคีย์และการเข้ารหัสคีย์ฮาร์ดแวร์ให้กับผู้ใช้รายเดียวกันได้ด้วย แต่ผู้ใช้จะเลือกใช้การเข้ารหัสสำหรับ Gmail ได้เพียงประเภทเดียวเท่านั้น โดยจะขึ้นอยู่กับวิธีตั้งค่าคีย์การเข้ารหัสส่วนตัวสำหรับ Gmail โปรดดูรายละเอียดที่หัวข้อ Gmail เท่านั้น: กำหนดค่าใบรับรอง S/MIME สำหรับการเข้ารหัสฝั่งไคลเอ็นต์

ได้ คุณสามารถเปลี่ยนไปใช้บริการจัดการคีย์อื่นๆ ได้ หากทำเช่นนี้ แนวทางปฏิบัติแนะนำคือการย้ายข้อมูลเนื้อหาที่เข้ารหัสด้วยบริการจัดการคีย์ปัจจุบันไปยังบริการใหม่ โปรดดูรายละเอียดที่หัวข้อหากต้องการเปลี่ยนไปใช้บริการจัดการคีย์ใหม่

คุณจะจัดการรายการควบคุมการเข้าถึงคีย์ (ACL) สำหรับคีย์การเข้ารหัสได้ผ่านบริการจัดการคีย์ภายนอก ซึ่ง ACL จะต้องรวมผู้ใช้ทุกคนที่ต้องการเข้ารหัสหรือถอดรหัส (ดูหรือแก้ไข) เนื้อหา โปรดติดต่อผู้ให้บริการเข้ารหัสสำหรับข้อมูลเพิ่มเติม

นอกจากนี้ คุณจะต้องเปิด CSE ให้กับผู้ใช้ที่ต้องการเข้ารหัสข้อมูล โปรดดูรายละเอียดที่หัวข้อเปิดหรือปิดการเข้ารหัสฝั่งไคลเอ็นต์ให้กับผู้ใช้

สำหรับ Gmail, Google ไดรฟ์ และ Google ปฏิทิน คุณสามารถระบุให้เปิดใช้ CSE โดยค่าเริ่มต้นสำหรับหน่วยขององค์กรที่เฉพาะเจาะจงได้ ต้องมีส่วนเสริม Assured Controls หรือ Assured Controls Plus

หากคุณระบุให้เปิดใช้ CSE โดยค่าเริ่มต้น ผู้ใช้ยังคงปิด CSE ได้หากจำเป็น

โปรดดูรายละเอียดที่หัวข้อเปิดหรือปิดการเข้ารหัสฝั่งไคลเอ็นต์ให้กับผู้ใช้

คุณไม่จําเป็นต้องตั้งค่า CSE สําหรับไดรฟ์ที่แชร์โดยเฉพาะ บริการจัดการคีย์ภายนอกที่ตั้งค่าในคอนโซลผู้ดูแลระบบจะใช้งานได้กับทั้งไฟล์ในไดรฟ์ของฉันและไดรฟ์ที่แชร์

หากพบปัญหาในการตั้งค่า CSE โปรดดูข้อมูลเพิ่มเติมที่หัวข้อดูรายละเอียดการแจ้งเตือน

ได้ ไปที่หัวข้อย้ายข้อความไปยัง Gmail เป็นอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์

ได้ โปรดไปที่หัวข้อให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์

คุณสามารถย้ายข้อมูลไฟล์ที่เข้ารหัสฝั่งไคลเอ็นต์ไปยังบริการจัดการคีย์ใหม่ได้ โปรดดูรายละเอียดที่หัวข้อหากต้องการเปลี่ยนไปใช้บริการจัดการคีย์ใหม่

ได้ คุณสามารถนำการเข้ารหัสฝั่งไคลเอ็นต์ออกจากเอกสาร สเปรดชีต หรืองานนำเสนอของ Google ได้ โปรดดูรายละเอียดที่หัวข้อนำการเข้ารหัสออกจากเอกสาร

หากต้องการถอดรหัสไฟล์ CSE ที่ส่งออกโดยใช้เครื่องมือส่งออกข้อมูลหรือ Google ห้องนิรภัย คุณสามารถใช้สคริปต์ถอดรหัสซึ่งเป็นยูทิลิตีบรรทัดคำสั่งได้ โปรดดูรายละเอียดที่หัวข้อถอดรหัสไฟล์ที่ส่งออกซึ่งมีการเข้ารหัสฝั่งไคลเอ็นต์

ได้ หาก Google Workspace รุ่นที่คุณใช้มี Google ห้องนิรภัย คุณก็เก็บรักษา ค้นหา และส่งออกไฟล์ในไดรฟ์และอีเมล Gmail ที่เข้ารหัสฝั่งไคลเอ็นต์ในห้องนิรภัยได้

โปรดดูรายละเอียดที่ศูนย์ช่วยเหลือของ Google ห้องนิรภัย

• สำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ใน Google เอกสารและสไลด์ โมเดลแมชชีนเลิร์นนิงในอุปกรณ์จะมีฟังก์ชันตรวจตัวสะกด ซึ่งจะรักษาข้อมูลเอกสารไว้เป็นความลับ
• สำหรับ Gmail และความคิดเห็นใน Google เอกสาร เบราว์เซอร์จะมีฟังก์ชันตรวจตัวสะกดให้

  หากองค์กรใช้ Google Chrome: ตรวจสอบว่าผู้ใช้ CSE ไม่ได้ใช้การตรวจตัวสะกดที่ได้รับการปรับปรุงของ Chrome เนื่องจากตัวเลือกนี้จะส่งข้อมูลไปยัง Google ผู้ใช้ CSE จะใช้การตรวจตัวสะกดพื้นฐานของ Chrome แทนได้ ซึ่งจะไม่ส่งข้อมูลไปยัง Google โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเปิดหรือปิดการตรวจตัวสะกดของ Chrome หากใช้เบราว์เซอร์ Chrome ที่มีการจัดการ คุณสามารถสร้างนโยบายเพื่อปิดใช้การตรวจตัวสะกดสำหรับผู้ใช้ CSE ซึ่งจะปิดการตรวจตัวสะกดที่มีประสิทธิภาพมากขึ้น แต่จะไม่ปิดการตรวจตัวสะกดพื้นฐาน โปรดดูรายละเอียดที่หัวข้อตั้งค่านโยบาย Chrome สําหรับผู้ใช้หรือเบราว์เซอร์

ได้ คุณสามารถแปลงไฟล์ Google ชีตที่ส่งออกและถอดรหัสแล้วเป็นไฟล์ Microsoft Excel ได้ โปรดดูรายละเอียดที่หัวข้อแปลงไฟล์ Google ที่ส่งออกและถอดรหัสแล้วเป็นไฟล์ Microsoft Office

ระบบจะไม่สแกนไฟล์และอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์เพื่อหาฟิชชิงและมัลแวร์ เนื่องจากเซิร์ฟเวอร์ของ Google ไม่มีสิทธิ์เข้าถึงเนื้อหา

การสแกนการป้องกันข้อมูลรั่วไหล (DLP) จะเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ในไฟล์หรืออีเมลไม่ได้ อย่างไรก็ตาม คุณจะสร้างกฎ DLP เพื่อดำเนินการต่อไปนี้ได้

• สแกนข้อมูลเมตาที่ไม่ได้เข้ารหัสของไฟล์ในไดรฟ์ เช่น ชื่อไฟล์และป้ายกำกับไดรฟ์ วิธีนี้ช่วยป้องกันการรั่วไหลของข้อมูลที่ละเอียดอ่อนได้
• สแกนไฟล์ในไดรฟ์เพื่อระบุว่ามีการเข้ารหัสฝั่งไคลเอ็นต์หรือไม่ โดยเลือกเงื่อนไขของกฎเป็นสถานะการเข้ารหัสไฟล์ > คือ > เข้ารหัสฝั่งไคลเอ็นต์หรือไม่ได้เข้ารหัสฝั่งไคลเอ็นต์

โปรดดูรายละเอียดเกี่ยวกับการสร้างกฎ DLP สำหรับไดรฟ์ที่หัวข้อสร้างกฎ DLP สำหรับไดรฟ์และตัวตรวจจับเนื้อหาที่กำหนดเอง

หากคุณเปลี่ยนผู้ใช้ให้ไปใช้ใบอนุญาต Google Workspace ที่ไม่มี CSE ผู้ใช้จะยังเข้าถึงและแก้ไขรายการที่เข้ารหัสฝั่งไคลเอ็นต์ เช่น ไฟล์และอีเมล ได้ แต่จะสร้างรายการใหม่ที่เข้ารหัสฝั่งไคลเอ็นต์ไม่ได้

หากต้องการหยุดใช้ CSE และถอดรหัสรายการต่างๆ เช่น ไฟล์และอีเมล คุณจะต้องส่งออกรายการดังกล่าวก่อนโดยใช้เครื่องมือส่งออกข้อมูล จากนั้นจึงใช้ยูทิลิตีสคริปต์ถอดรหัสเพื่อนำ CSE ออก