รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Plus, Enterprise Plus, Education Standard และ Education Plus เปรียบเทียบรุ่นของคุณ
ก่อนเริ่มตั้งค่าการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace โปรดอ่านข้อกำหนด ตัวเลือกคีย์การเข้ารหัส และภาพรวมการตั้งค่า
ข้อกำหนดของ CSE
สิทธิ์ของผู้ดูแลระบบสำหรับ CSE
คุณต้องมีสิทธิ์ของผู้ดูแลระบบขั้นสูงสำหรับ Google Workspace จึงจะจัดการ CSE สำหรับองค์กรได้ ซึ่งประกอบไปด้วย
- การเพิ่มและจัดการบริการจัดการคีย์
- การมอบหมายบริการจัดการคีย์ให้กับหน่วยขององค์กรและกลุ่ม
- การเปิดหรือปิด CSE ให้กับผู้ใช้
ข้อกำหนดของผู้ใช้ภายในสำหรับ CSE
ข้อกำหนดใบอนุญาตของผู้ใช้
- ผู้ใช้ต้องมีใบอนุญาต Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard หรือ Google Workspace for Education Plus สำหรับใช้ CSE เพื่อดำเนินการต่อไปนี้
- สร้างหรืออัปโหลดเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
- จัดการประชุมที่เข้ารหัส
- ส่งหรือรับอีเมลที่เข้ารหัส
- ผู้ใช้อาจมีใบอนุญาต Google Workspace หรือ Cloud Identity ประเภทใดก็ได้ในการดำเนินการต่อไปนี้
- ดู แก้ไข หรือดาวน์โหลดเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
- เข้าร่วมการประชุม CSE จากคอมพิวเตอร์ มือถือ หรืออุปกรณ์ฮาร์ดแวร์ของ Google Meet
- ผู้ใช้ที่มีบัญชี Google สำหรับผู้ใช้ทั่วไป (เช่น ผู้ใช้ Gmail) จะไม่สามารถเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ ส่งอีเมลที่เข้ารหัส หรือเข้าร่วมการประชุมที่เข้ารหัสฝั่งไคลเอ็นต์ได้
ข้อกำหนดของเบราว์เซอร์
หากต้องการดูหรือแก้ไขเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ ผู้ใช้ต้องใช้เบราว์เซอร์ Google Chrome หรือ Microsoft Edge (Chromium)
ข้อกำหนดของผู้ใช้ภายนอกสำหรับ CSE
คุณสามารถอนุญาตให้ผู้ใช้ภายนอกเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ได้ โดยผู้ใช้ภายนอกต้องใช้ S/MIME เท่านั้นเพื่อเข้าถึงข้อความ Gmail ที่เข้ารหัสของผู้ใช้ของคุณ สำหรับเนื้อหาอื่นๆ ข้อกำหนดจะแตกต่างกันไปตามวิธีที่คุณใช้ในการให้สิทธิ์เข้าถึงจากภายนอก โปรดดูรายละเอียดที่หัวข้อให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
ทำความเข้าใจตัวเลือกคีย์การเข้ารหัส
บริการจัดการคีย์ภายนอก
หากต้องการใช้การเข้ารหัสฝั่งไคลเอ็นต์ องค์กรของคุณต้องใช้คีย์การเข้ารหัสของตัวเอง โดยคุณจะสร้างคีย์การเข้ารหัสได้ 2 วิธี ได้แก่
- ใช้บริการจัดการคีย์การเข้ารหัสภายนอกที่เป็นพาร์ทเนอร์กับ Google บริการจัดการคีย์จะแนะนำการตั้งค่าบริการสำหรับ Google Workspace ให้คุณ โปรดดูรายละเอียดที่หัวข้อเลือกบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์
- สร้างบริการจัดการคีย์ของคุณเองโดยใช้ Google Workspace CSE API
คีย์ฮาร์ดแวร์สำหรับ Gmail
หากผู้ใช้ในองค์กรใช้สมาร์ทการ์ดเพื่อเข้าถึงสถานที่และระบบ คุณสามารถตั้งค่าการเข้ารหัสคีย์ฮาร์ดแวร์สำหรับ CSE ของ Gmail แทนบริการจัดการคีย์ได้ แล้วผู้ใช้จะใช้คีย์ฮาร์ดแวร์เพื่อลงนามและเข้ารหัสอีเมลได้ โปรดดูรายละเอียดที่หัวข้อ Gmail เท่านั้น: ตั้งค่าและจัดการคีย์การเข้ารหัสฮาร์ดแวร์
ภาพรวมการตั้งค่า CSE
ภาพรวมขั้นตอนที่คุณต้องดำเนินการเพื่อตั้งค่าการเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace มีดังนี้ วิธีตั้งค่า CSE จะขึ้นอยู่กับประเภทคีย์การเข้ารหัสที่ต้องการใช้
หากคุณใช้บริการจัดการคีย์การเข้ารหัสภายนอก
โปรดทำตามขั้นตอนต่อไปนี้เพื่อตั้งค่าการเข้ารหัสสำหรับ Google ไดรฟ์, Google ปฏิทิน และ Google Meet นอกจากนี้ คุณจะต้องทำตามขั้นตอนเหล่านี้สำหรับ Gmail ด้วย เว้นแต่คุณต้องการใช้เฉพาะคีย์การเข้ารหัสฮาร์ดแวร์กับ Gmail
| ขั้นตอน | คำอธิบาย | วิธีทำขั้นตอนนี้ให้เสร็จสมบูรณ์ |
|---|---|---|
| ขั้นตอนที่ 1: เลือกบริการจัดการคีย์การเข้ารหัสภายนอก |
ลงชื่อสมัครใช้ด้วยพาร์ทเนอร์บริการจัดการคีย์การเข้ารหัสของ Google รายใดรายหนึ่ง หรือสร้างบริการของคุณเองโดยใช้ Google Workspace CSE API บริการจัดการคีย์ของคุณจะควบคุมคีย์การเข้ารหัสระดับบนสุดที่ปกป้องข้อมูลของคุณ |
เลือกบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 2: เชื่อมต่อ Google Workspace กับผู้ให้บริการข้อมูลประจำตัว |
เชื่อมต่อ IdP ของบุคคลที่สามหรือข้อมูลประจำตัวของ Google โดยใช้คอนโซลผู้ดูแลระบบหรือไฟล์ .well-known ที่โฮสต์บนเซิร์ฟเวอร์ของคุณ IdP ของคุณจะยืนยันตัวตนของผู้ใช้ก่อนอนุญาตให้เข้ารหัสเนื้อหาหรือเข้าถึงเนื้อหาที่เข้ารหัส |
เชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัวสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 3: ตั้งค่าบริการจัดการคีย์ภายนอก |
ใช้งานพาร์ทเนอร์บริการจัดการคีย์เพื่อตั้งค่าบริการสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace หมายเหตุ: เมื่อใช้ CSE กับฮาร์ดแวร์ของ Meet เซิร์ฟเวอร์ของบริการจัดการคีย์ภายนอกที่ใช้สำหรับการจัดการคีย์ต้องรองรับการโทรที่มอบสิทธิ์ ซึ่งใช้ในการให้สิทธิ์ห้องเพื่อเข้าร่วมการประชุมในนามของผู้ใช้ที่ตรวจสอบสิทธิ์แล้ว โปรดตรวจสอบรายละเอียดจากบริการจัดการคีย์ |
|
| ขั้นตอนที่ 4: เพิ่มข้อมูลบริการจัดการคีย์ไปยังคอนโซลผู้ดูแลระบบ |
เพิ่ม URL ของบริการจัดการคีย์ภายนอกในคอนโซลผู้ดูแลระบบเพื่อเชื่อมต่อบริการกับ Google Workspace คุณสามารถเพิ่มบริการจัดการคีย์หลายรายการเพื่อมอบหมายบริการจัดการคีย์ที่แตกต่างกันให้กับหน่วยขององค์กรหรือกลุ่มที่ต้องการได้ |
เพิ่มและจัดการบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 5: มอบหมายบริการจัดการคีย์ให้กับผู้ใช้ | มอบหมายบริการจัดการคีย์หรือบริการต่างๆ ให้กับหน่วยขององค์กรและกลุ่ม คุณจะต้องมอบหมายบริการจัดการคีย์เป็นค่าเริ่มต้นสำหรับองค์กร | มอบหมายการเข้ารหัสฝั่งไคลเอ็นต์ให้กับผู้ใช้ |
| ขั้นตอนที่ 6: (ไม่บังคับสำหรับข้อความ S/MIME ของ Gmail เท่านั้น) อัปโหลดคีย์การเข้ารหัสของผู้ใช้ |
สร้างโปรเจ็กต์ Google Cloud Platform (GCP) และเปิดใช้ Gmail API จากนั้นให้สิทธิ์ API ในการเข้าถึงทั้งองค์กร แล้วเปิด CSE ให้กับผู้ใช้ Gmail และอัปโหลดคีย์การเข้ารหัสส่วนตัวและคีย์การเข้ารหัสสาธารณะไปยัง Gmail หมายเหตุ: ขั้นตอนนี้อาศัยประสบการณ์ในการใช้ API และสคริปต์ Python |
Gmail เท่านั้น: กำหนดค่าใบรับรอง S/MIME สำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 7: เปิด CSE สำหรับผู้ใช้ |
เปิดใช้ CSE สำหรับหน่วยขององค์กรหรือกลุ่มใดก็ได้ในองค์กรที่มีผู้ใช้ที่ต้องการสร้างเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ คุณสามารถเปิดใช้ CSE สำหรับบริการที่รองรับทั้งหมดหรือเฉพาะบางบริการ (Gmail, Meet, ไดรฟ์ และปฏิทิน) ก็ได้ CSE ของ Gmail: หากมีส่วนเสริม Assured Controls และไม่ได้ใช้การเข้ารหัสคีย์ฮาร์ดแวร์สำหรับ Gmail คุณจะเลือกตัวเลือกการเข้ารหัสด้วยบัญชีผู้ใช้ชั่วคราว ในระหว่างขั้นตอนนี้เพื่อเปิดใช้ E2EE ของ Gmail โดยอัตโนมัติได้โดยไม่ต้องกำหนดค่าใบรับรอง S/MIME |
เปิดหรือปิด CSE ให้กับผู้ใช้ |
| ขั้นตอนที่ 8: (ไม่บังคับ) ตั้งค่าสิทธิ์เข้าถึงจากภายนอก | คุณสามารถให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ได้โดยกำหนดค่าผู้ให้บริการข้อมูลประจำตัว (IdP) ของผู้มาเยือนสำหรับองค์กรที่ไม่ได้ใช้ CSE ของ Google Workspace | ให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 9: (ไม่บังคับ) นำเข้าข้อความไปยัง Gmail เป็นข้อความ S/MIME ที่เข้ารหัสฝั่งไคลเอ็นต์ | หากองค์กรของคุณมีข้อความในบริการอื่นหรือในรูปแบบการเข้ารหัสอื่น คุณสามารถย้ายข้อความดังกล่าวไปยัง Gmail เป็นข้อความที่เข้ารหัสฝั่งไคลเอ็นต์ในรูปแบบ S/MIME ได้ | ย้ายข้อความไปยัง Gmail เป็นอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์ |
หากใช้คีย์การเข้ารหัสฮาร์ดแวร์สำหรับ Gmail
ต้องมีส่วนเสริม Assured Controls หรือ Assured Controls Plusทำตามขั้นตอนเหล่านี้หากต้องการตั้งค่าคีย์การเข้ารหัสฮาร์ดแวร์ให้กับผู้ใช้ Gmail ทั้งหมดหรือบางรายแทนบริการจัดการคีย์ภายนอก
| ขั้นตอน | คำอธิบาย | วิธีทำขั้นตอนนี้ให้เสร็จสมบูรณ์ |
|---|---|---|
| ขั้นตอนที่ 1: เชื่อมต่อ Google Workspace กับผู้ให้บริการข้อมูลประจำตัว | เชื่อมต่อ IdP ของบุคคลที่สามหรือข้อมูลประจำตัวของ Google โดยใช้คอนโซลผู้ดูแลระบบหรือไฟล์ .well-known ที่โฮสต์บนเซิร์ฟเวอร์ของคุณ IdP ของคุณจะยืนยันตัวตนของผู้ใช้ก่อนอนุญาตให้เข้ารหัสเนื้อหาหรือเข้าถึงเนื้อหาที่เข้ารหัส | เชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัวสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 2: ตั้งค่าคีย์การเข้ารหัสฮาร์ดแวร์ |
ติดตั้งแอปพลิเคชันคีย์ฮาร์ดแวร์ของ Google Workspace ในอุปกรณ์ Windows ของผู้ใช้ หมายเหตุ: ขั้นตอนนี้อาศัยประสบการณ์ในการใช้สคริปต์ PowerShell |
Gmail เท่านั้น: ตั้งค่าและจัดการคีย์การเข้ารหัสฮาร์ดแวร์ |
| ขั้นตอนที่ 3: เพิ่มข้อมูลการเข้ารหัสฮาร์ดแวร์ไปยังคอนโซลผู้ดูแลระบบ | ป้อนหมายเลขพอร์ตที่ Google Workspace จะใช้สื่อสารกับเครื่องอ่านสมาร์ทการ์ดในอุปกรณ์ Windows ของผู้ใช้ | Gmail เท่านั้น: ตั้งค่าและจัดการคีย์การเข้ารหัสฮาร์ดแวร์ |
| ขั้นตอนที่ 4: มอบหมายการเข้ารหัสฮาร์ดแวร์ให้กับผู้ใช้ | มอบหมายการเข้ารหัสคีย์ฮาร์ดแวร์ให้กับหน่วยขององค์กรและกลุ่ม | มอบหมายการเข้ารหัสฝั่งไคลเอ็นต์ให้กับผู้ใช้ |
| ขั้นตอนที่ 5: อัปโหลดคีย์การเข้ารหัสสาธารณะของผู้ใช้ |
สร้างโปรเจ็กต์ Google Cloud Platform (GCP) และเปิดใช้ Gmail API จากนั้นให้สิทธิ์ API ในการเข้าถึงทั้งองค์กร แล้วเปิด CSE ให้กับผู้ใช้ Gmail และอัปโหลดคีย์การเข้ารหัสสาธารณะไปยัง Gmail หมายเหตุ: ขั้นตอนนี้อาศัยประสบการณ์ในการใช้ API และสคริปต์ Python |
Gmail เท่านั้น: กำหนดค่าใบรับรอง S/MIME สำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 6: (ไม่บังคับ) นำเข้าข้อความไปยัง Gmail เป็นอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์ | หากองค์กรของคุณมีข้อความในบริการอื่นหรือในรูปแบบการเข้ารหัสอื่น ในฐานะผู้ดูแลระบบ คุณสามารถย้ายข้อความดังกล่าวไปยัง Gmail เป็นข้อความที่เข้ารหัสฝั่งไคลเอ็นต์ในรูปแบบ S/MIME ได้ | ย้ายข้อความไปยัง Gmail เป็นอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์ |
CSE สำหรับฮาร์ดแวร์ของ Meet
โดยค่าเริ่มต้น Meet จะเข้ารหัสสื่อการโทรทั้งหมดทั้งในระหว่างรับส่งและขณะจัดเก็บ ซึ่งมีเพียงผู้เข้าร่วมการประชุมและบริการศูนย์ข้อมูลของ Google เท่านั้นที่ถอดรหัสข้อมูลนี้ได้
CSE จะเพิ่มความเป็นส่วนตัวอีกชั้นด้วยการเข้ารหัสสื่อการโทรโดยตรงภายใน เบราว์เซอร์ของผู้เข้าร่วมแต่ละราย โดยใช้คีย์ที่มีเพียงผู้เข้าร่วมเท่านั้นที่เข้าถึงได้ เฉพาะผู้เข้าร่วมเท่านั้นที่จะสามารถถอดรหัสข้อมูลการประชุมที่เบราว์เซอร์เข้ารหัสโดยใช้คีย์ของผู้เข้าร่วมเอง
หากต้องการให้ผู้ใช้ใช้ประโยชน์จาก CSE ผู้ดูแลระบบต้องเชื่อมต่อ Workspace กับผู้ให้บริการข้อมูลประจำตัวภายนอกและบริการจัดการคีย์การเข้ารหัส (IdP+key service) โปรดดูรายละเอียดเกี่ยวกับการตั้งค่า IdP+key service ที่หัวข้อภาพรวมการตั้งค่า CSE ในหน้านี้
Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง