支持此功能的版本:一线员工 Plus 版;企业 Plus 版;教育标准版和教育 Plus 版。 版本对比
开始设置 Google Workspace 客户端加密功能 (CSE) 之前,请查看相关要求、加密密钥选项和设置概览。
CSE 要求
CSE 的管理员权限
您需要拥有 Google Workspace 的超级用户权限才能为组织管理 CSE,包括:
- 添加和管理密钥服务
- 将密钥服务分配给组织部门和群组
- 为用户启用或停用 CSE
CSE 的内部用户要求
用户许可要求
- 用户需要 Google Workspace 一线员工 Plus 版、Google Workspace 企业 Plus 版、Google Workspace 教育标准版或 Google Workspace 教育 Plus 版许可,才能使用 CSE 执行以下操作:
- 创建或上传客户端加密内容
- 举行加密会议
- 发送或接收加密电子邮件
- 只要有任何一种类型的 Google Workspace 或 Cloud Identity 许可,用户就可以执行以下操作:
- 查看、修改或下载客户端加密内容
- 通过计算机、移动设备或 Google Meet 设备加入 CSE 会议
- 使用个人 Google 账号的用户(例如 Gmail 用户)无法访问客户端加密内容、发送加密电子邮件,也无法参与客户端加密会议。
浏览器要求
如要查看或修改客户端加密内容,用户必须使用 Google Chrome 或 Microsoft Edge (Chromium) 浏览器。
CSE 的外部用户要求
您可以允许外部用户访问客户端加密内容。外部用户只需使用 S/MIME 即可访问您用户的已加密 Gmail 邮件。对于其他内容,要求不同,具体取决于您提供外部访问权限所用的方法。有关详情,请参阅提供对客户端加密内容的外部访问权限。
了解加密密钥选项
外部密钥服务
如要使用客户端加密功能,贵组织需要使用自己的加密密钥。您可以通过以下 2 种方式创建加密密钥:
- 使用与 Google 合作的外部加密密钥服务。您的密钥服务会引导您为 Google Workspace 设置服务。有关详情,请参阅选择密钥服务以启用客户端加密功能。
- 使用 Google Workspace CSE API 构建您自己的密钥服务。
Gmail 硬件密钥
如果贵组织中的用户使用智能卡访问设施和系统,您可以为 Gmail CSE 设置硬件密钥加密,而不是密钥服务。用户可以使用硬件密钥为电子邮件签名和加密。有关详情,请参阅“仅限 Gmail:设置和管理硬件加密密钥”。
CSE 设置概览
下面概述了设置 Google Workspace 客户端加密功能所需执行的步骤。如何设置 CSE 取决于您要使用的加密密钥类型。
如果您使用的是外部加密密钥服务
请按照以下步骤为 Google 云端硬盘、Google 日历和 Google Meet 设置加密功能。除非您只想将硬件加密密钥用于 Gmail,否则您也会为 Gmail 执行这些步骤。
| 步骤 | 说明 | 如何完成此步骤 |
|---|---|---|
| 第 1 步:选择外部加密密钥服务 |
向 Google 的任一加密密钥服务合作伙伴注册,或使用 Google Workspace CSE API 构建您自己的服务。您的密钥服务用于控制可保护数据的顶级加密密钥。 |
选择密钥服务以启用客户端加密功能 |
| 第 2 步:将 Google Workspace 连接到您的身份提供方 |
通过管理控制台或在您服务器上托管的 .well-known 文件连接到第三方 IdP 或 Google 身份提供方。您的 IdP 会先验证用户的身份,然后才会允许其加密内容或访问加密的内容。 |
连接到身份提供方以使用客户端加密功能 |
| 第 3 步:设置外部密钥服务 |
请与您的密钥服务合作伙伴合作,设置适用于 Google Workspace 客户端加密功能的服务。 注意:在 Meet 设备上使用 CSE 时,用于密钥管理的外部密钥服务的服务器必须支持委托调用,该调用用于授权会议室代表已经过身份验证的用户加入会议。如需了解详情,请咨询您的密钥服务提供商。 |
|
| 第 4 步:将密钥服务信息添加到管理控制台 |
将您的外部密钥服务的网址添加到管理控制台,以将该服务连接到 Google Workspace。您可以添加多项密钥服务,为特定组织部门或群组分配不同的密钥服务。 |
添加和管理密钥服务以启用客户端加密功能 |
| 第 5 步:将密钥服务分配给用户 | 将密钥服务或多项服务分配给组织部门和群组。您需要为组织分配一项密钥服务作为默认密钥服务。 | 为用户分配客户端加密功能 |
| 第 6 步:(仅限 Gmail S/MIME 邮件,可选)上传用户的加密密钥 |
创建 Google Cloud Platform (GCP) 项目并启用 Gmail API。然后向整个组织授予 API 访问权限,为 Gmail 用户启用 CSE,并将加密私钥和加密公钥上传到 Gmail。 注意:此步骤需要具有使用 API 和 Python 脚本的经验。 |
仅限 Gmail:为客户端加密功能配置 S/MIME 证书 |
| 第 7 步:为用户启用 CSE |
如果组织内的任何组织部门或群组中有用户需要创建客户端加密内容,则可以为这些部门或群组启用 CSE。您可以为所有受支持的服务或仅为特定服务(Gmail、Meet、云端硬盘和日历)启用 CSE。 Gmail CSE:如果您具有安全管控加购项,并且未为 Gmail 使用硬件密钥加密,则可以在此步骤中选择通过访客账号进行加密选项以自动启用 Gmail E2EE,而无需配置 S/MIME 证书。 |
为用户启用或停用 CSE |
| 第 8 步:(可选)设置外部访问权限 | 您可以为不使用 Google Workspace CSE 的组织配置访客身份提供方 (IdP),以提供对客户端加密内容的外部访问权限。 | 提供对客户端加密内容的外部访问权限 |
| 第 9 步:(可选)将邮件作为客户端加密的 S/MIME 邮件导入 Gmail | 如果贵组织中有邮件采用其他服务或其他加密格式,您可以使用 S/MIME 格式将这些邮件作为客户端加密邮件迁移到 Gmail。 | 将邮件作为客户端加密邮件迁移到 Gmail |
如果您对 Gmail 使用硬件加密密钥
需要拥有安全管控或安全管控 Plus 版加购项。如果您想为所有或部分 Gmail 用户设置硬件加密密钥(而不是外部密钥服务),请按以下步骤操作。
| 步骤 | 说明 | 如何完成此步骤 |
|---|---|---|
| 第 1 步:将 Google Workspace 连接到您的身份提供方 | 通过管理控制台或在您服务器上托管的 .well-known 文件连接到第三方 IdP 或 Google 身份提供方。您的 IdP 会先验证用户的身份,然后才会允许其加密内容或访问加密的内容。 | 连接到身份提供方以使用客户端加密功能 |
| 第 2 步:设置硬件加密密钥 |
在用户的 Windows 设备上安装 Google Workspace 硬件密钥应用。 注意:此步骤需要具有使用 PowerShell 脚本的经验。 |
仅限 Gmail:设置和管理硬件加密密钥 |
| 第 3 步:将硬件加密信息添加到管理控制台 | 输入 Google Workspace 与用户的 Windows 设备上的智能卡读卡器进行通信时将使用的端口号。 | 仅限 Gmail:设置和管理硬件加密密钥 |
| 第 4 步:向用户分配硬件加密 | 将硬件加密密钥分配给您的组织部门和群组。 | 为用户分配客户端加密功能 |
| 第 5 步:上传用户的加密公钥 |
创建 Google Cloud Platform (CGP) 项目并启用 Gmail API。然后,向整个组织授予 API 访问权限,为 Gmail 用户启用 CSE,并将加密公钥上传到 Gmail。 注意:此步骤需要具有使用 API 和 Python 脚本的经验。 |
仅限 Gmail:为客户端加密功能配置 S/MIME 证书 |
| 第 6 步:(可选)将邮件作为客户端加密电子邮件导入 Gmail | 如果贵组织中有邮件采用其他服务或其他加密格式,那么作为管理员,您可以使用 S/MIME 格式将这些邮件作为客户端加密邮件迁移到 Gmail。 | 将邮件作为客户端加密邮件迁移到 Gmail |
Meet 设备的 CSE
默认情况下,Meet 会对所有通话媒体内容进行加密,无论是传输中的还是静态存储的。只有会议参与者和 Google 的数据中心服务能够解密这些信息。
CSE 可直接在每位参与者的浏览器中对通话媒体内容进行加密,使用的密钥只有参与者本人可以访问,从而提供额外的隐私保护。只有参与者能够使用自己的密钥解密浏览器加密的会议信息。
如要让用户能够使用 CSE,管理员必须将 Workspace 连接到外部身份提供方和加密密钥服务(IdP+密钥服务)。如需详细了解如何设置 IdP+密钥服务,请参阅本页面上的 CSE 设置概览。
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。