支援這項功能的版本:Frontline Plus、Enterprise Plus、Education Standard 和 Education Plus。 版本比較
設定 Google Workspace 用戶端加密 (CSE) 功能前,請先詳閱相關規定、加密金鑰選項和設定總覽。
CSE 需求條件
CSE 管理員權限
您必須具備 Google Workspace 的超級管理員權限,才能為貴機構執行下列 CSE 管理動作:
- 新增及管理金鑰服務
- 為機構單位和群組指派金鑰服務
- 為使用者開啟或關閉 CSE
CSE 對內部使用者的需求條件
使用者授權規定
- 使用者必須擁有 Google Workspace Frontline Plus、Google Workspace Enterprise Plus、Google Workspace Education Standard 或 Google Workspace for Education Plus 授權,才能使用 CSE 執行下列操作:
- 建立或上傳用戶端加密內容
- 發起加密會議
- 收發加密電子郵件
- 使用者只要擁有任一類型的 Google Workspace 或 Cloud Identity 授權,就能執行下列操作:
- 查看、編輯或下載用戶端加密內容
- 透過電腦、行動裝置或 Google Meet 設備裝置加入 CSE 會議
- 擁有 Google 個人帳戶的使用者 (例如 Gmail 使用者) 無法存取用戶端加密內容、傳送加密電子郵件,也無法參與用戶端加密會議。
瀏覽器需求
使用者必須使用 Google Chrome 或 Microsoft Edge (Chromium) 瀏覽器,才能查看或編輯用戶端加密內容。
CSE 對外部使用者的需求條件
您可以允許外部使用者存取用戶端加密內容。外部使用者只要使用 S/MIME,就能存取使用者的加密 Gmail 郵件。其他內容的需求條件則有所不同,具體取決於您提供外部存取權的方式。詳情請參閱「開放外部人士存取用戶端加密內容」。
瞭解加密金鑰選項
外部金鑰服務
如要使用用戶端加密功能,貴機構必須使用自己的加密金鑰。您可以透過下列 2 種方式建立加密金鑰:
- 使用與 Google 合作的外部加密金鑰服務。該服務會引導您為 Google Workspace 設定外部加密金鑰服務。詳情請參閱「選擇金鑰服務以進行用戶端加密」。
- 使用 Google Workspace CSE API 自行建構金鑰服務。
Gmail 硬體金鑰
如果貴機構的使用者透過智慧型卡片存取設施和系統,您可以為 Gmail CSE 設定硬體金鑰加密功能,而非為金鑰服務設定這項功能。使用者可以使用自己的硬體金鑰簽署及加密電子郵件。詳情請參閱「僅限 Gmail:設定及管理硬體加密金鑰」。
CSE 設定總覽
以下簡要說明設定 Google Workspace 用戶端加密功能的必要步驟。CSE 的設定方式取決於您要使用的加密金鑰類型。
如果使用外部加密金鑰服務
請按照下列步驟為 Google 雲端硬碟、Google 日曆和 Google Meet 設定加密功能。除非您只想將硬體加密金鑰用於 Gmail,否則請按照下列步驟,一併設定 Gmail。
| 步驟 | 說明 | 如何完成這個步驟 |
|---|---|---|
| 步驟 1:選擇外部加密金鑰服務 |
向 Google 的加密金鑰服務合作夥伴註冊服務,或利用 Google Workspace CSE API 自行建構服務。金鑰服務可控管用於保護資料的頂層加密金鑰。 |
選擇金鑰服務以進行用戶端加密 |
| 步驟 2:將 Google Workspace 連線至識別資訊提供者 |
透過管理控制台或在伺服器上代管的 .well-known 檔案,連線至第三方 IdP 或 Google 身分。您的 IdP 會先驗證使用者身分,才能加密內容或存取已加密內容。 |
連線至識別資訊提供者以進行用戶端加密 |
| 步驟 3:設定外部金鑰服務 |
請與金鑰服務合作夥伴合作,為 Google Workspace 用戶端加密功能設定服務。 注意:將 CSE 與 Meet 設備搭配使用時,用於管理金鑰的外部金鑰服務伺服器必須支援委派呼叫,這項功能可授權會議室代表已驗證的使用者加入會議。詳情請洽詢金鑰服務供應商。 |
|
| 步驟 4:在管理控制台中新增金鑰服務資訊 |
在管理控制台中新增外部金鑰服務的網址,即可將服務連結至 Google Workspace。您可以新增多項金鑰服務,為特定機構單位或群組指派不同的金鑰服務。 |
新增及管理金鑰服務以進行用戶端加密 |
| 步驟 5:指派金鑰服務給使用者 | 為機構單位和群組指派金鑰服務或多項服務。您必須為貴機構指派一個預設金鑰服務。 | 為使用者指派用戶端加密設定 |
| 步驟 6:(僅限 Gmail S/MIME 郵件選用) 上傳使用者的加密金鑰 |
建立 Google Cloud Platform (GCP) 專案,並啟用 Gmail API。接著,將 API 存取權授予整個機構、為 Gmail 使用者開啟 CSE,並將私密和公開加密金鑰上傳至 Gmail。 注意:需有使用 API 和 Python 指令碼的經驗,才能執行這個步驟。 |
僅限 Gmail:設定用戶端加密功能的 S/MIME 憑證 |
| 步驟 7:為使用者開啟 CSE |
如果使用者需要建立用戶端加密內容,您可以為其所屬機構單位或群組開啟 CSE。您可以為所有支援服務開啟 CSE,也可以只為特定服務 (Gmail、Meet、雲端硬碟和日曆) 開啟。 Gmail CSE:如果您已加購安全控管功能,且未在 Gmail 中使用硬體金鑰加密,則可在這個步驟中選取「以訪客帳戶加密」選項,自動啟用 Gmail E2EE,不必設定 S/MIME 憑證。 |
為使用者開啟或關閉 CSE |
| 步驟 8:(選用) 設定外部存取權 | 如要開放外部人士存取用戶端加密內容,您可以為未使用 Google Workspace CSE 的機構設定訪客識別資訊提供者 (IdP)。 | 開放外部人士存取用戶端加密內容 |
| 步驟 9:(選用) 以用戶端加密 S/MIME 郵件的形式,將郵件匯入 Gmail | 如果貴機構擁有其他服務或其他加密格式的郵件,您可以將這些郵件轉換為 S/MIME 格式的用戶端加密郵件並遷移至 Gmail。 | 以用戶端加密電子郵件的形式將郵件遷移至 Gmail |
如果在 Gmail 中使用硬體加密金鑰
須加購「安全控管」或「安全控管 Plus」方案。如要為所有或部分使用者設定硬體加密金鑰 (而非外部金鑰服務),請按照下列步驟操作。
| 步驟 | 說明 | 如何完成這個步驟 |
|---|---|---|
| 步驟 1:將 Google Workspace 連線至識別資訊提供者 | 透過管理控制台或在伺服器上代管的 .well-known 檔案,連線至第三方 IdP 或 Google 身分。您的 IdP 會先驗證使用者身分,才能加密內容或存取已加密內容。 | 連線至識別資訊提供者以進行用戶端加密 |
| 步驟 2:設定硬體加密金鑰 |
在使用者 Windows 裝置上安裝 Google Workspace Hardware Key 應用程式。 注意:這個步驟需要具備使用 PowerShell 指令碼的經驗。 |
僅限 Gmail:設定及管理硬體金鑰加密功能 |
| 步驟 3:將硬體加密資訊新增至管理控制台 | 輸入 Google Workspace 要用來與使用者 Windows 裝置上的智慧型讀卡機通訊的通訊埠號碼。 | 僅限 Gmail:設定及管理硬體金鑰加密功能 |
| 步驟 4:為使用者指派硬體加密設定 | 為機構單位和群組指派硬體金鑰加密設定。 | 為使用者指派用戶端加密設定 |
| 步驟 5:上傳使用者的公開加密金鑰 |
建立 Google Cloud Platform (CGP) 專案並啟用 Gmail API。接著,將 API 存取權授予整個機構、為 Gmail 使用者開啟 CSE,並將公開加密金鑰上傳至 Gmail。 注意:需有使用 API 和 Python 指令碼的經驗,才能執行這個步驟。 |
僅限 Gmail:設定用戶端加密功能的 S/MIME 憑證 |
| 步驟 6:(選用) 將郵件以用戶端加密電子郵件的格式匯入 Gmail | 如果貴機構擁有其他服務或其他加密格式的郵件,管理員可以將這些郵件轉換為 S/MIME 格式的用戶端加密郵件,並遷移至 Gmail。 | 以用戶端加密電子郵件的形式將郵件遷移至 Gmail |
Meet 設備的 CSE
根據預設,Meet 會對傳輸中和靜態的所有通話媒體加密。只有會議參與者和 Google 的資料中心服務可以解密這些資訊。
CSE 會使用僅供參與者存取的金鑰,直接在每位參與者的瀏覽器中加密通話媒體,提供另一層隱私權防護。只有出席者才能解密瀏覽器使用其金鑰加密的會議資訊。
管理員必須將 Workspace 連結至外部識別資訊提供者和加密金鑰服務 (IdP 和金鑰服務),使用者才能充分運用 CSE。如要進一步瞭解如何設定這兩項服務,請參閱本頁的「CSE 設定總覽」一節。
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。