Các phiên bản hỗ trợ tính năng này: Frontline Plus; Enterprise Plus; Education Standard và Education Plus. So sánh phiên bản của bạn
Trước khi bắt đầu thiết lập tính năng mã hoá phía máy khách (CSE) của Google Workspace, hãy xem các yêu cầu, lựa chọn về khoá mã hoá và thông tin tổng quan về quy trình thiết lập.
Yêu cầu đối với CSE
Đặc quyền của quản trị viên đối với CSE
Bạn cần có đặc quyền quản trị viên cấp cao đối với Google Workspace để quản lý CSE cho tổ chức của mình, bao gồm cả:
- Thêm và quản lý dịch vụ khoá
- Chỉ định dịch vụ mã khoá cho các đơn vị tổ chức và nhóm
- Bật hoặc tắt CSE cho người dùng
Yêu cầu đối với người dùng nội bộ khi sử dụng CSE
Yêu cầu về giấy phép người dùng
- Người dùng cần có giấy phép Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard hoặc Google Workspace for Education Plus để sử dụng CSE cho:
- Tạo hoặc tải nội dung được mã hoá phía máy khách lên
- Tổ chức cuộc họp được mã hoá
- Gửi hoặc nhận email đã mã hoá
- Người dùng có thể có bất kỳ loại giấy phép Google Workspace hoặc Cloud Identity nào để:
- Xem, chỉnh sửa hoặc tải nội dung được mã hoá phía máy khách xuống
- Tham gia cuộc họp có tính năng Mã hoá phía máy khách (CSE) bằng máy tính, thiết bị di động hoặc thiết bị Google Meet
- Người dùng có Tài khoản Google cho người dùng cá nhân (chẳng hạn như người dùng Gmail) không thể truy cập vào nội dung được mã hoá phía máy khách, gửi email được mã hoá hoặc tham gia cuộc họp được mã hoá phía máy khách.
Yêu cầu về trình duyệt
Để xem hoặc chỉnh sửa nội dung được mã hoá phía máy khách, người dùng phải sử dụng trình duyệt Google Chrome hoặc Microsoft Edge (Chromium).
Yêu cầu đối với người dùng bên ngoài khi sử dụng CSE
Bạn có thể cho phép người dùng bên ngoài truy cập vào nội dung được mã hoá phía máy khách. Để truy cập vào thư Gmail được mã hoá của người dùng, người dùng bên ngoài chỉ cần sử dụng S/MIME. Đối với nội dung khác, các yêu cầu sẽ khác nhau, tuỳ thuộc vào phương thức bạn sử dụng để cấp quyền truy cập bên ngoài. Để biết thông tin chi tiết, hãy xem bài viết Cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách.
Tìm hiểu các lựa chọn về khoá mã hoá
Dịch vụ khoá bên ngoài
Để sử dụng tính năng mã hoá phía máy khách, tổ chức của bạn cần sử dụng khoá mã hoá riêng. Bạn có 2 lựa chọn để tạo khoá mã hoá:
- Sử dụng dịch vụ mã khoá bên ngoài có hợp tác với Google. Dịch vụ mã khoá sẽ hướng dẫn bạn thiết lập dịch vụ cho Google Workspace. Để biết thông tin chi tiết, hãy xem bài viết Chọn dịch vụ mã khoá cho tính năng mã hoá phía máy khách.
- Xây dựng dịch vụ mã khoá của riêng bạn bằng API CSE của Google Workspace.
Khoá phần cứng cho Gmail
Nếu người dùng trong tổ chức của bạn sử dụng thẻ thông minh để truy cập vào các cơ sở và hệ thống, thì bạn có thể thiết lập tính năng mã hoá bằng khoá vật lý cho tính năng Mã hoá phía máy khách (CSE) của Gmail thay vì dịch vụ mã khoá. Người dùng có thể sử dụng khoá vật lý để ký và mã hoá email. Để biết thông tin chi tiết, hãy xem bài viết Chỉ Gmail: Thiết lập và quản lý khoá mã hoá phần cứng.
Tổng quan về cách thiết lập CSE
Dưới đây là thông tin tổng quan về các bước bạn cần thực hiện để thiết lập tính năng mã hoá phía máy khách của Google Workspace. Cách thiết lập CSE phụ thuộc vào loại khoá mã hoá mà bạn muốn sử dụng.
Nếu bạn đang sử dụng dịch vụ mã khoá bên ngoài
Hãy làm theo các bước sau để thiết lập tính năng mã hoá cho Google Drive, Lịch Google và Google Meet. Bạn cũng sẽ làm theo các bước này cho Gmail, trừ phi bạn chỉ muốn dùng khoá mã hoá phần cứng cho Gmail.
| Bước | Mô tả | Cách hoàn tất bước này |
|---|---|---|
| Bước 1: Chọn dịch vụ mã khoá bên ngoài |
Đăng ký với một trong các đối tác dịch vụ khoá mã hoá của Google hoặc tự xây dựng dịch vụ bằng API CSE của Google Workspace. Dịch vụ mã khoá của bạn kiểm soát các khoá mã hoá cấp cao nhất để bảo vệ dữ liệu của bạn. |
Chọn dịch vụ mã khoá cho tính năng mã hoá phía máy khách |
| Bước 2: Kết nối Google Workspace với nhà cung cấp dịch vụ danh tính |
Kết nối với một nhà cung cấp danh tính bên thứ ba hoặc danh tính Google, bằng cách sử dụng Bảng điều khiển dành cho quản trị viên hoặc tệp .well-known được lưu trữ trên máy chủ của bạn. IdP của bạn xác minh danh tính của người dùng trước khi cho phép họ mã hoá nội dung hoặc truy cập vào nội dung được mã hoá. |
Kết nối với nhà cung cấp dịch vụ danh tính của bạn để dùng tính năng mã hoá phía máy khách |
| Bước 3: Thiết lập dịch vụ mã khoá bên ngoài |
Làm việc với đối tác dịch vụ khoá để thiết lập dịch vụ cho tính năng mã hoá phía máy khách của Google Workspace. Lưu ý: Khi sử dụng tính năng CSE với thiết bị Meet, máy chủ của dịch vụ khoá bên ngoài dùng để quản lý khoá phải hỗ trợ lệnh gọi uỷ quyền. Lệnh gọi này được dùng để cho phép một phòng tham gia cuộc họp thay mặt cho người dùng đã xác thực. Để biết thông tin chi tiết, hãy liên hệ với dịch vụ mã khoá của bạn. |
Thiết lập dịch vụ mã khoá cho tính năng mã hoá phía máy khách |
| Bước 4: Thêm thông tin về dịch vụ mã khoá vào Bảng điều khiển dành cho quản trị viên |
Thêm URL của dịch vụ khoá bên ngoài vào Bảng điều khiển dành cho quản trị viên để kết nối dịch vụ đó với Google Workspace. Bạn có thể thêm nhiều dịch vụ khoá để chỉ định các dịch vụ khoá khác nhau cho các đơn vị tổ chức hoặc nhóm cụ thể. |
Thêm và quản lý dịch vụ khoá để dùng tính năng mã hoá phía máy khách |
| Bước 5: Chỉ định dịch vụ mã khoá cho người dùng | Chỉ định dịch vụ mã khoá (hoặc nhiều dịch vụ) cho các đơn vị tổ chức và nhóm. Bạn cần chỉ định một dịch vụ mã khoá làm dịch vụ mặc định cho tổ chức của mình. | Chỉ định tính năng mã hoá phía máy khách cho người dùng |
| Bước 6: (Chỉ dành cho thư S/MIME của Gmail) Tải khoá mã hoá của người dùng lên |
Tạo một dự án Google Cloud Platform (GCP) và bật Gmail API. Sau đó, hãy cấp quyền truy cập API cho toàn bộ tổ chức của bạn, bật CSE cho người dùng Gmail và tải khoá mã hoá riêng tư và công khai lên Gmail. Lưu ý: Bước này đòi hỏi bạn phải có kinh nghiệm sử dụng API và tập lệnh Python. |
Chỉ Gmail: Định cấu hình chứng chỉ S/MIME để sử dụng tính năng mã hoá phía máy khách |
| Bước 7: Bật tính năng CSE cho người dùng |
Bật tính năng mã hoá phía máy khách cho mọi đơn vị tổ chức hoặc nhóm trong tổ chức của bạn có người dùng cần tạo nội dung được mã hoá phía máy khách. Bạn có thể bật tính năng mã hoá phía máy khách cho tất cả các dịch vụ được hỗ trợ hoặc chỉ một số dịch vụ cụ thể (Gmail, Meet, Drive và Lịch). Gmail CSE: Nếu có tiện ích bổ sung Quyền kiểm soát có đảm bảo và không sử dụng tính năng mã hoá bằng khoá vật lý cho Gmail, bạn có thể chọn chế độ Mã hoá bằng tài khoản khách trong bước này để tự động bật tính năng mã hoá hai đầu của Gmail mà không cần định cấu hình chứng chỉ S/MIME. |
Bật hoặc tắt CSE cho người dùng |
| Bước 8: (Không bắt buộc) Thiết lập quyền truy cập bên ngoài | Bạn có thể cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách bằng cách định cấu hình một nhà cung cấp dịch vụ danh tính (IdP) khách cho những tổ chức không sử dụng tính năng CSE của Google Workspace. | Cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách |
| Bước 9: (Không bắt buộc) Nhập thư vào Gmail dưới dạng thư S/MIME được mã hoá phía máy khách | Nếu tổ chức của bạn có thư trong một dịch vụ khác hoặc ở một định dạng mã hoá khác, bạn có thể di chuyển những thư đó sang Gmail dưới dạng thư được mã hoá phía máy khách ở định dạng S/MIME. | Di chuyển thư sang Gmail dưới dạng email được mã hoá phía máy khách |
Nếu bạn đang sử dụng khoá mã hoá phần cứng cho Gmail
Bạn phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Assured Controls Plus.Hãy làm theo các bước sau nếu bạn muốn thiết lập khoá mã hoá phần cứng cho tất cả hoặc một số người dùng Gmail, thay vì sử dụng dịch vụ khoá bên ngoài.
| Bước | Mô tả | Cách hoàn tất bước này |
|---|---|---|
| Bước 1: Kết nối Google Workspace với nhà cung cấp dịch vụ danh tính | Kết nối với một nhà cung cấp danh tính bên thứ ba hoặc danh tính Google, bằng cách sử dụng Bảng điều khiển dành cho quản trị viên hoặc tệp .well-known được lưu trữ trên máy chủ của bạn. IdP của bạn xác minh danh tính của người dùng trước khi cho phép họ mã hoá nội dung hoặc truy cập vào nội dung được mã hoá. | Kết nối với nhà cung cấp dịch vụ danh tính của bạn để dùng tính năng mã hoá phía máy khách |
| Bước 2: Thiết lập khoá mã hoá phần cứng |
Cài đặt ứng dụng Khoá bảo mật Google Workspace trên thiết bị Windows của người dùng. Lưu ý: Bước này đòi hỏi bạn phải có kinh nghiệm làm việc với tập lệnh PowerShell. |
Chỉ Gmail: Thiết lập và quản lý khoá mã hoá phần cứng |
| Bước 3: Thêm thông tin mã hoá phần cứng vào Bảng điều khiển dành cho quản trị viên | Nhập số cổng mà Google Workspace sẽ dùng để giao tiếp với máy đọc thẻ thông minh trên thiết bị Windows của người dùng. | Chỉ Gmail: Thiết lập và quản lý khoá mã hoá phần cứng |
| Bước 4: Chỉ định chế độ mã hoá phần cứng cho người dùng | Chỉ định chế độ mã hoá bằng khoá vật lý cho các đơn vị tổ chức và nhóm. | Chỉ định tính năng mã hoá phía máy khách cho người dùng |
| Bước 5: Tải khoá mã hoá công khai của người dùng lên |
Tạo một dự án Google Cloud Platform (CGP) và bật Gmail API. Sau đó, cấp quyền truy cập API cho toàn bộ tổ chức của bạn, bật CSE cho người dùng Gmail và tải khoá mã hoá công khai lên Gmail. Lưu ý: Bước này đòi hỏi bạn phải có kinh nghiệm sử dụng API và tập lệnh Python. |
Chỉ Gmail: Định cấu hình chứng chỉ S/MIME để sử dụng tính năng mã hoá phía máy khách |
| Bước 6: (Không bắt buộc) Nhập thư vào Gmail dưới dạng email được mã hoá phía máy khách | Nếu tổ chức của bạn có thư trong một dịch vụ khác hoặc ở một định dạng mã hoá khác, thì với tư cách là quản trị viên, bạn có thể di chuyển những thư đó sang Gmail dưới dạng thư được mã hoá phía máy khách ở định dạng S/MIME. | Di chuyển thư sang Gmail dưới dạng email được mã hoá phía máy khách |
Tính năng mã hoá phía máy khách cho thiết bị Meet
Theo mặc định, Meet mã hoá tất cả nội dung nghe nhìn trong cuộc gọi, cả khi truyền tải và khi lưu trữ. Chỉ người tham gia cuộc họp và dịch vụ trung tâm dữ liệu của Google mới có thể giải mã thông tin này.
CSE cung cấp thêm một lớp bảo mật bằng cách mã hoá nội dung nghe nhìn của cuộc gọi ngay trong trình duyệt của mỗi người tham gia, bằng cách sử dụng các khoá mà chỉ họ mới có thể truy cập. Chỉ người tham gia mới có thể giải mã thông tin cuộc họp mà trình duyệt của họ đã mã hoá bằng khoá của họ.
Để người dùng có thể tận dụng tính năng CSE, quản trị viên phải kết nối Workspace với một nhà cung cấp danh tính bên ngoài và dịch vụ khoá mã hoá (IdP và dịch vụ khoá). Để biết thông tin chi tiết về cách thiết lập dịch vụ IdP + khoá, hãy xem phần Tổng quan về cách thiết lập CSE trên trang này.
Google, Google Workspace cũng như những nhãn hiệu và biểu trưng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.