Tổng quan về cách thiết lập tính năng mã hoá phía máy khách

Các phiên bản hỗ trợ tính năng này: Frontline Plus; Enterprise Plus; Education Standard và Education Plus. So sánh phiên bản của bạn

Trước khi bắt đầu thiết lập tính năng Mã hoá phía máy khách (CSE) của Google Workspace, hãy xem các yêu cầu, lựa chọn về khoá mã hoá và tổng quan về quy trình thiết lập.

Yêu cầu về tính năng CSE

Đặc quyền quản trị viên đối với tính năng CSE

Bạn cần có đặc quyền quản trị viên cấp cao đối với Google Workspace để quản lý tính năng CSE cho tổ chức của mình, bao gồm:

Thêm và quản lý dịch vụ khoá
Chỉ định dịch vụ khoá cho các đơn vị tổ chức và nhóm
Bật hoặc tắt tính năng CSE cho người dùng

Yêu cầu đối với người dùng nội bộ về tính năng CSE

Yêu cầu về giấy phép người dùng

Người dùng cần có giấy phép Google Workspace Frontline Plus, Google Workspace Enterprise Plus, Google Workspace Education Standard hoặc Google Workspace for Education Plus để sử dụng tính năng CSE nhằm:
- Tạo hoặc tải nội dung được mã hoá phía máy khách lên
- Tổ chức cuộc họp được mã hoá
- Gửi hoặc nhận email được mã hoá
Người dùng có thể có bất kỳ loại giấy phép Google Workspace hoặc Cloud Identity nào để:
- Xem, chỉnh sửa hoặc tải nội dung được mã hoá phía máy khách xuống
- Tham gia cuộc họp có tính năng CSE bằng máy tính, thiết bị di động hoặc thiết bị phần cứng Google Meet
Người dùng có Tài khoản Google thông thường (chẳng hạn như người dùng Gmail) không thể truy cập vào nội dung được mã hoá phía máy khách, gửi email được mã hoá hoặc tham gia cuộc họp được mã hoá phía máy khách.

Yêu cầu về trình duyệt

Để xem hoặc chỉnh sửa nội dung được mã hoá phía máy khách, người dùng phải sử dụng trình duyệt Google Chrome hoặc Microsoft Edge (Chromium).

Yêu cầu đối với người dùng bên ngoài về tính năng CSE

Bạn có thể cho phép người dùng bên ngoài truy cập vào nội dung được mã hoá phía máy khách. Để truy cập vào thư Gmail được mã hoá của người dùng, người dùng bên ngoài chỉ cần sử dụng S/MIME. Đối với nội dung khác, các yêu cầu sẽ khác nhau tuỳ thuộc vào phương thức bạn sử dụng để cấp quyền truy cập bên ngoài. Để biết thông tin chi tiết, hãy xem bài viết Cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách.

Tìm hiểu về các lựa chọn khoá mã hoá

Dịch vụ khoá bên ngoài

Để sử dụng tính năng mã hoá phía máy khách, tổ chức của bạn cần sử dụng khoá mã hoá riêng. Bạn có 2 lựa chọn để tạo khoá mã hoá:

Sử dụng dịch vụ khoá mã hoá bên ngoài có hợp tác với Google. Dịch vụ khoá sẽ hướng dẫn bạn thiết lập dịch vụ cho Google Workspace. Để biết thông tin chi tiết, hãy chuyển đến bài viết Chọn dịch vụ khoá cho tính năng mã hoá phía máy khách.
Xây dựng dịch vụ khoá của riêng bạn bằng cách sử dụng API CSE của Google Workspace.

Khoá phần cứng cho Gmail

Yêu cầu phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Quyền kiểm soát có đảm bảo Plus.

Nếu người dùng trong tổ chức của bạn sử dụng thẻ thông minh để truy cập vào các cơ sở và hệ thống, thì bạn có thể thiết lập tính năng mã hoá bằng khoá phần cứng cho tính năng CSE của Gmail thay vì dịch vụ khoá. Người dùng có thể sử dụng khoá phần cứng để ký và mã hoá email. Để biết thông tin chi tiết, hãy chuyển đến bài viết Chỉ dành cho Gmail: Thiết lập và quản lý khoá mã hoá phần cứng.

Tổng quan về cách thiết lập CSE

Dưới đây là tổng quan về các bước bạn cần thực hiện để thiết lập tính năng Mã hoá phía máy khách của Google Workspace. Cách bạn thiết lập tính năng CSE tuỳ thuộc vào loại khoá mã hoá mà bạn muốn sử dụng.

Nếu bạn đang sử dụng dịch vụ khoá mã hoá bên ngoài

Hãy làm theo các bước sau để thiết lập tính năng mã hoá cho Google Drive, Lịch Google và Google Meet. Bạn cũng sẽ làm theo các bước này cho Gmail, trừ phi bạn chỉ muốn sử dụng khoá mã hoá phần cứng cho Gmail.

Bước	Mô tả	Cách hoàn tất bước này
Bước 1: Chọn dịch vụ khoá mã hoá bên ngoài	Đăng ký với một trong các đối tác dịch vụ khoá mã hoá của Google hoặc xây dựng dịch vụ của riêng bạn bằng cách sử dụng API CSE của Google Workspace. Dịch vụ khoá của bạn kiểm soát các khoá mã hoá cấp cao nhất giúp bảo vệ dữ liệu của bạn.	Chọn dịch vụ khoá cho tính năng mã hoá phía máy khách
Bước 2: Kết nối Google Workspace với nhà cung cấp danh tính của bạn	Kết nối với nhà cung cấp danh tính bên thứ ba hoặc danh tính Google bằng Bảng điều khiển dành cho quản trị viên hoặc tệp .well-known được lưu trữ trên máy chủ của bạn. Nhà cung cấp danh tính của bạn xác minh danh tính của người dùng trước khi cho phép họ mã hoá nội dung hoặc truy cập vào nội dung được mã hoá.	Kết nối với nhà cung cấp danh tính của bạn để dùng tính năng mã hoá phía máy khách
Bước 3: Thiết lập dịch vụ khoá bên ngoài	Làm việc với đối tác dịch vụ khoá để thiết lập dịch vụ cho tính năng Mã hoá phía máy khách của Google Workspace. Lưu ý: Khi sử dụng tính năng CSE với thiết bị Meet, máy chủ của dịch vụ khoá bên ngoài dùng để quản lý khoá phải hỗ trợ lệnh gọi uỷ quyền. Lệnh gọi này được dùng để cho phép một phòng tham gia cuộc họp thay mặt cho người dùng đã xác thực. Để biết thông tin chi tiết, hãy kiểm tra với dịch vụ khoá của bạn.	Thiết lập dịch vụ khoá cho tính năng mã hoá phía máy khách Lệnh gọi uỷ quyền
Bước 4: Thêm thông tin dịch vụ khoá vào Bảng điều khiển dành cho quản trị viên	Thêm URL của dịch vụ khoá bên ngoài vào Bảng điều khiển dành cho quản trị viên để kết nối dịch vụ đó với Google Workspace. Bạn có thể thêm nhiều dịch vụ khoá để chỉ định các dịch vụ khoá khác nhau cho các đơn vị tổ chức hoặc nhóm cụ thể.	Thêm và quản lý dịch vụ khoá cho tính năng mã hoá phía máy khách
Bước 5: Chỉ định dịch vụ khoá cho người dùng	Chỉ định dịch vụ khoá hoặc nhiều dịch vụ cho các đơn vị tổ chức và nhóm của bạn. Bạn cần chỉ định một dịch vụ khoá làm dịch vụ mặc định cho tổ chức của mình.	Chỉ định tính năng mã hoá phía máy khách cho người dùng
Bước 6: (Chỉ dành cho thư S/MIME của Gmail) Tải khoá mã hoá của người dùng lên	Quan trọng: Nếu có tiện ích bổ sung Quyền kiểm soát có đảm bảo và không sử dụng tính năng mã hoá bằng khoá phần cứng, thì bạn có thể bỏ qua bước này và sử dụng tính năng mã hoá hai đầu (E2EE) của Gmail bằng cách bật tuỳ chọn Mã hoá bằng tài khoản khách thay thế. Tạo một dự án Google Cloud Platform (GCP) và bật API Gmail. Sau đó, cấp quyền truy cập API cho toàn bộ tổ chức, bật tính năng CSE cho người dùng Gmail và tải khoá mã hoá riêng tư và công khai lên Gmail. Lưu ý: Bước này yêu cầu bạn có kinh nghiệm sử dụng API và tập lệnh Python.	Chỉ dành cho Gmail: Định cấu hình chứng chỉ S/MIME cho tính năng mã hoá phía máy khách
Bước 7: Bật tính năng CSE cho người dùng	Bật tính năng CSE cho mọi đơn vị tổ chức hoặc nhóm trong tổ chức của bạn có người dùng cần tạo nội dung được mã hoá phía máy khách. Bạn có thể bật tính năng CSE cho tất cả các dịch vụ được hỗ trợ hoặc chỉ một số dịch vụ cụ thể (Gmail, Meet, Drive và Lịch). CSE của Gmail: Nếu có tiện ích bổ sung Quyền kiểm soát có đảm bảo và không sử dụng tính năng mã hoá bằng khoá phần cứng cho Gmail, thì bạn có thể chọn tuỳ chọn Mã hoá bằng tài khoản khách trong bước này để tự động bật tính năng E2EE của Gmail mà không cần định cấu hình chứng chỉ S/MIME.	Bật hoặc tắt tính năng CSE cho người dùng
Bước 8: (Không bắt buộc) Thiết lập quyền truy cập bên ngoài	Bạn có thể cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách bằng cách định cấu hình một nhà cung cấp danh tính khách (IdP) cho những tổ chức không sử dụng tính năng CSE của Google Workspace.	Cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách
Bước 9: (Không bắt buộc) Nhập thư vào Gmail dưới dạng thư S/MIME được mã hoá phía máy khách	Nếu tổ chức của bạn có thư trong một dịch vụ khác hoặc ở một định dạng mã hoá khác, thì bạn có thể di chuyển những thư đó sang Gmail dưới dạng thư được mã hoá phía máy khách ở định dạng S/MIME.	Di chuyển thư sang Gmail dưới dạng email được mã hoá phía máy khách

Nếu bạn đang sử dụng khoá mã hoá phần cứng cho Gmail

Yêu cầu phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Quyền kiểm soát có đảm bảo Plus.

Hãy làm theo các bước sau nếu bạn muốn thiết lập khoá mã hoá phần cứng cho tất cả hoặc một số người dùng Gmail thay vì dịch vụ khoá bên ngoài.

Bước	Mô tả	Cách hoàn tất bước này
Bước 1: Kết nối Google Workspace với nhà cung cấp danh tính của bạn	Kết nối với nhà cung cấp danh tính bên thứ ba hoặc danh tính Google bằng Bảng điều khiển dành cho quản trị viên hoặc tệp .well-known được lưu trữ trên máy chủ của bạn. Nhà cung cấp danh tính của bạn xác minh danh tính của người dùng trước khi cho phép họ mã hoá nội dung hoặc truy cập vào nội dung được mã hoá.	Kết nối với nhà cung cấp danh tính của bạn để dùng tính năng mã hoá phía máy khách
Bước 2: Thiết lập khoá mã hoá phần cứng	Cài đặt ứng dụng Khoá phần cứng của Google Workspace trên thiết bị Windows của người dùng. Lưu ý: Bước này yêu cầu bạn có kinh nghiệm làm việc với tập lệnh PowerShell.	Chỉ dành cho Gmail: Thiết lập và quản lý khoá mã hoá phần cứng
Bước 3: Thêm thông tin mã hoá phần cứng vào Bảng điều khiển dành cho quản trị viên	Nhập số cổng mà Google Workspace sẽ giao tiếp với đầu đọc thẻ thông minh trên thiết bị Windows của người dùng.	Chỉ dành cho Gmail: Thiết lập và quản lý khoá mã hoá phần cứng
Bước 4: Chỉ định tính năng mã hoá phần cứng cho người dùng	Chỉ định tính năng mã hoá bằng khoá phần cứng cho các đơn vị tổ chức và nhóm của bạn.	Chỉ định tính năng mã hoá phía máy khách cho người dùng
Bước 5: Tải khoá mã hoá công khai của người dùng lên	Tạo một dự án Google Cloud Platform (CGP) và bật API Gmail. Sau đó, cấp quyền truy cập API cho toàn bộ tổ chức, bật tính năng CSE cho người dùng Gmail và tải khoá mã hoá công khai lên Gmail. Lưu ý: Bước này yêu cầu bạn có kinh nghiệm sử dụng API và tập lệnh Python.	Chỉ dành cho Gmail: Định cấu hình chứng chỉ S/MIME cho tính năng mã hoá phía máy khách
Bước 6: (Không bắt buộc) Nhập thư vào Gmail dưới dạng email được mã hoá phía máy khách	Nếu tổ chức của bạn có thư trong một dịch vụ khác hoặc ở một định dạng mã hoá khác, thì với tư cách là quản trị viên, bạn có thể di chuyển những thư đó sang Gmail dưới dạng thư được mã hoá phía máy khách ở định dạng S/MIME.	Di chuyển thư sang Gmail dưới dạng email được mã hoá phía máy khách

Tính năng CSE cho thiết bị Meet

Theo mặc định, Meet mã hoá tất cả nội dung nghe nhìn trong cuộc gọi, cả khi truyền và khi lưu trữ. Chỉ người tham gia cuộc họp và dịch vụ trung tâm dữ liệu của Google mới có thể giải mã thông tin này.

Tính năng CSE cung cấp thêm một lớp bảo vệ quyền riêng tư bằng cách mã hoá nội dung nghe nhìn trong cuộc gọi trực tiếp trong trình duyệt của mỗi người tham gia, sử dụng các khoá chỉ có thể truy cập được đối với họ. Chỉ người tham gia mới có thể giải mã thông tin cuộc họp đã được trình duyệt của họ mã hoá bằng các khoá của họ.

Để cho phép người dùng tận dụng tính năng CSE, quản trị viên phải kết nối Workspace với một nhà cung cấp danh tính bên ngoài và dịch vụ khoá mã hoá (IdP + dịch vụ khoá). Để biết thông tin chi tiết về cách thiết lập IdP + dịch vụ khoá, hãy chuyển đến phần Tổng quan về cách thiết lập CSE trên trang này.

Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.