รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Plus; Enterprise Plus; Education Standard และ Education Plus เปรียบเทียบรุ่นของคุณ
ก่อนเริ่มตั้งค่าการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace โปรดอ่านข้อกำหนด ตัวเลือกคีย์การเข้ารหัส และภาพรวมการตั้งค่า
ข้อกำหนดของ CSE
สิทธิ์ของผู้ดูแลระบบสำหรับ CSE
คุณต้องมีสิทธิ์ของผู้ดูแลระบบขั้นสูงสำหรับ Google Workspace จึงจะจัดการ CSE สำหรับองค์กรได้ ซึ่งประกอบไปด้วย
- การเพิ่มและจัดการบริการจัดการคีย์
- การมอบหมายบริการจัดการคีย์ให้กับหน่วยขององค์กรและกลุ่ม
- การเปิดหรือปิด CSE ให้กับผู้ใช้
ข้อกำหนดของผู้ใช้ภายในสำหรับ CSE
ข้อกำหนดใบอนุญาตของผู้ใช้
- ผู้ใช้ต้องมีใบอนุญาต Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard หรือ Google Workspace for Education Plus สำหรับใช้ CSE เพื่อดำเนินการต่อไปนี้
- สร้างหรืออัปโหลดเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
- จัดการประชุมที่เข้ารหัส
- ส่งหรือรับอีเมลที่เข้ารหัส
- ผู้ใช้อาจมีใบอนุญาต Google Workspace หรือ Cloud Identity ประเภทใดก็ได้ในการดำเนินการต่อไปนี้
- ดู แก้ไข หรือดาวน์โหลดเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
- เข้าร่วมการประชุม CSE จากคอมพิวเตอร์ มือถือ หรืออุปกรณ์ฮาร์ดแวร์ของ Google Meet
- ผู้ใช้ที่มีบัญชี Google สำหรับผู้ใช้ทั่วไป (เช่น ผู้ใช้ Gmail) จะไม่สามารถเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ ส่งอีเมลที่เข้ารหัส หรือเข้าร่วมการประชุมที่เข้ารหัสฝั่งไคลเอ็นต์ได้
ข้อกำหนดของเบราว์เซอร์
หากต้องการดูหรือแก้ไขเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ ผู้ใช้ต้องใช้เบราว์เซอร์ Google Chrome หรือ Microsoft Edge (Chromium)
ข้อกำหนดของผู้ใช้ภายนอกสำหรับ CSE
คุณสามารถอนุญาตให้ผู้ใช้ภายนอกเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ได้ โดยผู้ใช้ภายนอกต้องใช้ S/MIME เท่านั้นเพื่อเข้าถึงข้อความ Gmail ที่เข้ารหัสของผู้ใช้ของคุณ สำหรับเนื้อหาอื่นๆ ข้อกำหนดจะแตกต่างกันไปตามวิธีที่คุณใช้ในการให้สิทธิ์เข้าถึงจากภายนอก โปรดดูรายละเอียดที่หัวข้อให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
ทำความเข้าใจตัวเลือกคีย์การเข้ารหัส
บริการจัดการคีย์ภายนอก
หากต้องการใช้การเข้ารหัสฝั่งไคลเอ็นต์ องค์กรของคุณต้องใช้คีย์การเข้ารหัสของตัวเอง โดยคุณจะสร้างคีย์การเข้ารหัสได้ 2 วิธี ได้แก่
- ใช้บริการจัดการคีย์การเข้ารหัสภายนอกที่เป็นพาร์ทเนอร์กับ Google บริการจัดการคีย์จะแนะนำการตั้งค่าบริการสำหรับ Google Workspace ให้คุณ โปรดดูรายละเอียดที่หัวข้อเลือกบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์
- สร้างบริการจัดการคีย์ของคุณเองโดยใช้ Google Workspace CSE API
คีย์ฮาร์ดแวร์สำหรับ Gmail
หากผู้ใช้ในองค์กรใช้สมาร์ทการ์ดเพื่อเข้าถึงสถานที่และระบบ คุณสามารถตั้งค่าการเข้ารหัสคีย์ฮาร์ดแวร์สำหรับ CSE ของ Gmail แทนบริการจัดการคีย์ได้ แล้วผู้ใช้จะใช้คีย์ฮาร์ดแวร์เพื่อลงนามและเข้ารหัสอีเมลได้ โปรดดูรายละเอียดที่หัวข้อ Gmail เท่านั้น: ตั้งค่าและจัดการคีย์การเข้ารหัสฮาร์ดแวร์
ภาพรวมการตั้งค่า CSE
ภาพรวมขั้นตอนที่คุณต้องดำเนินการเพื่อตั้งค่าการเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace มีดังนี้ วิธีตั้งค่า CSE จะขึ้นอยู่กับประเภทคีย์การเข้ารหัสที่ต้องการใช้
หากคุณใช้บริการจัดการคีย์การเข้ารหัสภายนอก
โปรดทำตามขั้นตอนต่อไปนี้เพื่อตั้งค่าการเข้ารหัสสำหรับ Google ไดรฟ์, Google ปฏิทิน และ Google Meet นอกจากนี้ คุณจะต้องทำตามขั้นตอนเหล่านี้สำหรับ Gmail ด้วย เว้นแต่คุณต้องการใช้เฉพาะคีย์การเข้ารหัสฮาร์ดแวร์กับ Gmail
| ขั้นตอน | คำอธิบาย | วิธีทำขั้นตอนนี้ให้เสร็จสมบูรณ์ |
|---|---|---|
| ขั้นตอนที่ 1: เลือกบริการจัดการคีย์การเข้ารหัสภายนอก |
ลงชื่อสมัครใช้ด้วยพาร์ทเนอร์บริการจัดการคีย์การเข้ารหัสของ Google รายใดรายหนึ่ง หรือสร้างบริการของคุณเองโดยใช้ Google Workspace CSE API บริการจัดการคีย์ของคุณจะควบคุมคีย์การเข้ารหัสระดับบนสุดที่ปกป้องข้อมูลของคุณ |
เลือกบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 2: เชื่อมต่อ Google Workspace กับผู้ให้บริการข้อมูลประจำตัว |
เชื่อมต่อ IdP ของบุคคลที่สามหรือข้อมูลประจำตัวของ Google โดยใช้คอนโซลผู้ดูแลระบบหรือไฟล์ .well-known ที่โฮสต์บนเซิร์ฟเวอร์ของคุณ IdP ของคุณจะยืนยันตัวตนของผู้ใช้ก่อนอนุญาตให้เข้ารหัสเนื้อหาหรือเข้าถึงเนื้อหาที่เข้ารหัส |
เชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัวสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 3: ตั้งค่าบริการจัดการคีย์ภายนอก |
ใช้งานพาร์ทเนอร์บริการจัดการคีย์เพื่อตั้งค่าบริการสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ของ Google Workspace หมายเหตุ: เมื่อใช้ CSE กับฮาร์ดแวร์ของ Meet เซิร์ฟเวอร์ของบริการจัดการคีย์ภายนอกที่ใช้สำหรับการจัดการคีย์ต้องรองรับการโทรที่มอบสิทธิ์ ซึ่งใช้ในการให้สิทธิ์ห้องเพื่อเข้าร่วมการประชุมในนามของผู้ใช้ที่ตรวจสอบสิทธิ์แล้ว โปรดตรวจสอบรายละเอียดจากบริการจัดการคีย์ |
|
| ขั้นตอนที่ 4: เพิ่มข้อมูลบริการจัดการคีย์ไปยังคอนโซลผู้ดูแลระบบ |
เพิ่ม URL ของบริการจัดการคีย์ภายนอกในคอนโซลผู้ดูแลระบบเพื่อเชื่อมต่อบริการกับ Google Workspace คุณสามารถเพิ่มบริการจัดการคีย์หลายรายการเพื่อมอบหมายบริการจัดการคีย์ที่แตกต่างกันให้กับหน่วยขององค์กรหรือกลุ่มที่ต้องการได้ |
เพิ่มและจัดการบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 5: มอบหมายบริการจัดการคีย์ให้กับผู้ใช้ | มอบหมายบริการจัดการคีย์หรือบริการต่างๆ ให้กับหน่วยขององค์กรและกลุ่ม คุณจะต้องมอบหมายบริการจัดการคีย์เป็นค่าเริ่มต้นสำหรับองค์กร | มอบหมายการเข้ารหัสฝั่งไคลเอ็นต์ให้กับผู้ใช้ |
| ขั้นตอนที่ 6: (ไม่บังคับสำหรับข้อความ S/MIME ของ Gmail เท่านั้น) อัปโหลดคีย์การเข้ารหัสของผู้ใช้ |
สร้างโปรเจ็กต์ Google Cloud Platform (GCP) และเปิดใช้ Gmail API จากนั้นให้สิทธิ์ API ในการเข้าถึงทั้งองค์กร แล้วเปิด CSE ให้กับผู้ใช้ Gmail และอัปโหลดคีย์การเข้ารหัสส่วนตัวและคีย์การเข้ารหัสสาธารณะไปยัง Gmail หมายเหตุ: ขั้นตอนนี้อาศัยประสบการณ์ในการใช้ API และสคริปต์ Python |
Gmail เท่านั้น: กำหนดค่าใบรับรอง S/MIME สำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 7: เปิด CSE สำหรับผู้ใช้ |
เปิดใช้ CSE สำหรับหน่วยขององค์กรหรือกลุ่มใดก็ได้ในองค์กรที่มีผู้ใช้ที่ต้องการสร้างเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ คุณสามารถเปิดใช้ CSE สำหรับบริการที่รองรับทั้งหมดหรือเฉพาะบางบริการ (Gmail, Meet, ไดรฟ์ และปฏิทิน) ก็ได้ CSE ของ Gmail: หากมีส่วนเสริม Assured Controls และไม่ได้ใช้การเข้ารหัสคีย์ฮาร์ดแวร์สำหรับ Gmail คุณจะเลือกตัวเลือกการเข้ารหัสด้วยบัญชีผู้ใช้ชั่วคราว ในระหว่างขั้นตอนนี้เพื่อเปิดใช้ E2EE ของ Gmail โดยอัตโนมัติได้โดยไม่ต้องกำหนดค่าใบรับรอง S/MIME |
เปิดหรือปิด CSE ให้กับผู้ใช้ |
| ขั้นตอนที่ 8: (ไม่บังคับ) ตั้งค่าสิทธิ์เข้าถึงจากภายนอก | คุณสามารถให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ได้โดยกำหนดค่าผู้ให้บริการข้อมูลประจำตัว (IdP) ของผู้มาเยือนสำหรับองค์กรที่ไม่ได้ใช้ CSE ของ Google Workspace | ให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 9: (ไม่บังคับ) นำเข้าข้อความไปยัง Gmail เป็นข้อความ S/MIME ที่เข้ารหัสฝั่งไคลเอ็นต์ | หากองค์กรของคุณมีข้อความในบริการอื่นหรือในรูปแบบการเข้ารหัสอื่น คุณสามารถย้ายข้อความดังกล่าวไปยัง Gmail เป็นข้อความที่เข้ารหัสฝั่งไคลเอ็นต์ในรูปแบบ S/MIME ได้ | ย้ายข้อความไปยัง Gmail เป็นอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์ |
หากใช้คีย์การเข้ารหัสฮาร์ดแวร์สำหรับ Gmail
ต้องมีส่วนเสริม Assured Controls หรือ Assured Controls Plusทำตามขั้นตอนเหล่านี้หากต้องการตั้งค่าคีย์การเข้ารหัสฮาร์ดแวร์ให้กับผู้ใช้ Gmail ทั้งหมดหรือบางรายแทนบริการจัดการคีย์ภายนอก
| ขั้นตอน | คำอธิบาย | วิธีทำขั้นตอนนี้ให้เสร็จสมบูรณ์ |
|---|---|---|
| ขั้นตอนที่ 1: เชื่อมต่อ Google Workspace กับผู้ให้บริการข้อมูลประจำตัว | เชื่อมต่อ IdP ของบุคคลที่สามหรือข้อมูลประจำตัวของ Google โดยใช้คอนโซลผู้ดูแลระบบหรือไฟล์ .well-known ที่โฮสต์บนเซิร์ฟเวอร์ของคุณ IdP ของคุณจะยืนยันตัวตนของผู้ใช้ก่อนอนุญาตให้เข้ารหัสเนื้อหาหรือเข้าถึงเนื้อหาที่เข้ารหัส | เชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัวสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 2: ตั้งค่าคีย์การเข้ารหัสฮาร์ดแวร์ |
ติดตั้งแอปพลิเคชันคีย์ฮาร์ดแวร์ของ Google Workspace ในอุปกรณ์ Windows ของผู้ใช้ หมายเหตุ: ขั้นตอนนี้อาศัยประสบการณ์ในการใช้สคริปต์ PowerShell |
Gmail เท่านั้น: ตั้งค่าและจัดการคีย์การเข้ารหัสฮาร์ดแวร์ |
| ขั้นตอนที่ 3: เพิ่มข้อมูลการเข้ารหัสฮาร์ดแวร์ไปยังคอนโซลผู้ดูแลระบบ | ป้อนหมายเลขพอร์ตที่ Google Workspace จะใช้สื่อสารกับเครื่องอ่านสมาร์ทการ์ดในอุปกรณ์ Windows ของผู้ใช้ | Gmail เท่านั้น: ตั้งค่าและจัดการคีย์การเข้ารหัสฮาร์ดแวร์ |
| ขั้นตอนที่ 4: มอบหมายการเข้ารหัสฮาร์ดแวร์ให้กับผู้ใช้ | มอบหมายการเข้ารหัสคีย์ฮาร์ดแวร์ให้กับหน่วยขององค์กรและกลุ่ม | มอบหมายการเข้ารหัสฝั่งไคลเอ็นต์ให้กับผู้ใช้ |
| ขั้นตอนที่ 5: อัปโหลดคีย์การเข้ารหัสสาธารณะของผู้ใช้ |
สร้างโปรเจ็กต์ Google Cloud Platform (GCP) และเปิดใช้ Gmail API จากนั้นให้สิทธิ์ API ในการเข้าถึงทั้งองค์กร แล้วเปิด CSE ให้กับผู้ใช้ Gmail และอัปโหลดคีย์การเข้ารหัสสาธารณะไปยัง Gmail หมายเหตุ: ขั้นตอนนี้อาศัยประสบการณ์ในการใช้ API และสคริปต์ Python |
Gmail เท่านั้น: กำหนดค่าใบรับรอง S/MIME สำหรับการเข้ารหัสฝั่งไคลเอ็นต์ |
| ขั้นตอนที่ 6: (ไม่บังคับ) นำเข้าข้อความไปยัง Gmail เป็นอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์ | หากองค์กรของคุณมีข้อความในบริการอื่นหรือในรูปแบบการเข้ารหัสอื่น ในฐานะผู้ดูแลระบบ คุณสามารถย้ายข้อความดังกล่าวไปยัง Gmail เป็นข้อความที่เข้ารหัสฝั่งไคลเอ็นต์ในรูปแบบ S/MIME ได้ | ย้ายข้อความไปยัง Gmail เป็นอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์ |
CSE สำหรับฮาร์ดแวร์ของ Meet
โดยค่าเริ่มต้น Meet จะเข้ารหัสสื่อการโทรทั้งหมดทั้งในระหว่างรับส่งและขณะจัดเก็บ ซึ่งมีเพียงผู้เข้าร่วมการประชุมและบริการศูนย์ข้อมูลของ Google เท่านั้นที่ถอดรหัสข้อมูลนี้ได้
CSE จะเพิ่มความเป็นส่วนตัวอีกชั้นด้วยการเข้ารหัสสื่อการโทรโดยตรงภายในเบราว์เซอร์ของผู้เข้าร่วมแต่ละราย โดยใช้คีย์ที่มีเพียงผู้เข้าร่วมเท่านั้นที่เข้าถึงได้ เฉพาะผู้เข้าร่วมเท่านั้นที่จะสามารถถอดรหัสข้อมูลการประชุมที่เบราว์เซอร์เข้ารหัสโดยใช้คีย์ของผู้เข้าร่วมเอง
หากต้องการให้ผู้ใช้ใช้ประโยชน์จาก CSE ผู้ดูแลระบบต้องเชื่อมต่อ Workspace กับผู้ให้บริการข้อมูลประจำตัวภายนอกและบริการจัดการคีย์การเข้ารหัส (IdP+key service) โปรดดูรายละเอียดเกี่ยวกับการตั้งค่า IdP+key service ที่หัวข้อภาพรวมการตั้งค่า CSE ในหน้านี้
Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง