ให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Plus; Enterprise Plus; Education Standard และ Education Plus เปรียบเทียบรุ่นของคุณ

ในฐานะผู้ดูแลระบบ คุณสามารถอนุญาตให้ผู้ใช้ภายนอกเข้าถึงเนื้อหาที่เข้ารหัสด้วยการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ได้ โดยวิธีให้สิทธิ์เข้าถึงจากภายนอกทำได้ 2 วิธี ดังนี้

ตั้งค่าการเข้าถึงสําหรับองค์กรภายนอกที่ใช้ CSE เช่นกัน วิธีนี้จะช่วยให้คุณมอบสิทธิ์เข้าถึงเนื้อหาที่เข้ารหัสแก่องค์กรภายนอกได้หากองค์กรมีคุณสมบัติตรงตามข้อกําหนดของผู้ใช้และ CSE
กำหนดค่าผู้ให้บริการข้อมูลประจำตัว (IdP) ของผู้เข้าร่วมเพื่ออนุญาตการเข้าถึงสำหรับผู้ใช้ภายนอก วิธีนี้จะช่วยให้ผู้ใช้มอบสิทธิ์เข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์แก่ทั้งบัญชี Google และบัญชีที่ไม่ใช่ของ Google ได้ องค์กรภายนอกไม่จำเป็นต้องตั้งค่า CSE และผู้ใช้ขององค์กรภายนอกก็ไม่ต้องใช้ใบอนุญาต Google Workspace หรือ Cloud Identity
ขณะนี้การกำหนดค่า IdP ของผู้มาเยือนจะใช้ได้กับเว็บแอปพลิเคชัน Gmail, Google Meet, ไดรฟ์, เอกสาร, ชีต และสไลด์เท่านั้น ทั้งนี้การกำหนดค่า IdP ของผู้มาเยือนสำหรับแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ของบริการเหล่านี้จะพร้อมใช้งานในรุ่นที่กำลังจะเปิดตัว

เกี่ยวกับสิทธิ์เข้าถึงจากภายนอกสำหรับอีเมลที่เข้ารหัส

คุณให้สิทธิ์เข้าถึงจากภายนอกสำหรับข้อความอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์ได้ 2 วิธี ดังนี้

ตัวเลือกที่ 1: ใช้ E2EE ของ Gmail โดยไม่มี S/MIME

หากผู้ใช้จะแลกเปลี่ยนข้อความที่เข้ารหัสฝั่งไคลเอ็นต์กับผู้ใช้ภายนอกที่อาจไม่ได้ใช้ S/MIME คุณสามารถใช้ตัวเลือกการเข้ารหัสด้วยบัญชีผู้ใช้ชั่วคราวได้ ตัวเลือกนี้ใช้การเข้ารหัสจากต้นทางถึงปลายทาง (E2EE) ของ Gmail เพื่อจัดการการสื่อสารที่เข้ารหัสกับผู้ใช้ภายนอกโดยอัตโนมัติ โดยไม่ต้องมีการตั้งค่าหรือใบรับรอง S/MIME แบบดั้งเดิม เมื่อใช้ E2EE ของ Gmail ผู้ใช้จะส่งข้อความที่เข้ารหัสไปยังผู้ใช้ภายนอกรายใดก็ได้ ต้องมีส่วนเสริม Assured Controls หรือ Assured Controls Plus

วิธีให้สิทธิ์เข้าถึงจากภายนอกโดยใช้ E2EE ของ Gmail มีดังนี้

คุณต้องกำหนดค่า IdP ของผู้มาเยือนตามที่อธิบายไว้ต่อไปในหน้านี้
เมื่อผู้ใช้ส่งข้อความที่เข้ารหัสไปยังภายนอกองค์กร ระบบจะแจ้งให้ผู้รับภายนอกสร้างบัญชีผู้ใช้ชั่วคราวเพื่อเปิดข้อความ
คุณจัดการบัญชีผู้ใช้ชั่วคราวได้ในหน่วยขององค์กร ผู้เข้าร่วม Workspace ในคอนโซลผู้ดูแลระบบ ระบบจะสร้างหน่วยขององค์กรนี้โดยอัตโนมัติหลังจากที่คุณเปิดการเข้ารหัสด้วยบัญชีผู้ใช้ชั่วคราวและกำหนดค่า IdP ของผู้มาเยือน โปรดดูรายละเอียดที่หัวข้อผู้เข้าร่วม Workspace

โปรดดูรายละเอียดเกี่ยวกับการส่งและรับข้อความอีเมลที่เข้ารหัสฝั่งไคลเอ็นต์และการสร้างบัญชีผู้ใช้ชั่วคราวที่หัวข้อดูข้อมูลเกี่ยวกับการเข้ารหัสฝั่งไคลเอ็นต์ของ Gmail

ตัวเลือกที่ 2: ใช้ใบรับรอง S/MIME

หากผู้ใช้จะแลกเปลี่ยนข้อความที่เข้ารหัสฝั่งไคลเอ็นต์กับผู้ใช้ภายนอกที่ใช้ S/MIME เท่านั้น ก็ไม่จำเป็นต้องตั้งค่าเพิ่มเติม คุณไม่จำเป็นต้องใช้ IdP ของผู้มาเยือน และผู้ใช้ภายนอกก็ไม่ต้องใช้ใบอนุญาต Google Workspace หรือ Cloud Identity

ตั้งค่าการเข้าถึงภายนอกสำหรับองค์กรภายนอกที่ใช้ CSE

หากองค์กรภายนอกและองค์กรของคุณมีคุณสมบัติตรงตามข้อกำหนดต่อไปนี้ คุณสามารถให้สิทธิ์เข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ขององค์กรสำหรับไดรฟ์และเอกสาร ปฏิทิน และ Meet แก่บุคคลภายนอกได้

ข้อกำหนดของใบอนุญาตสำหรับผู้ใช้ภายนอก

ผู้ใช้ภายนอกต้องมีใบอนุญาต Google Workspace หรือ Cloud Identity จึงจะเข้าถึงข้อมูลที่เข้ารหัสด้วย CSE ได้

หมายเหตุ: วิธีการเข้าถึงจากภายนอกนี้จะช่วยให้ผู้ใช้ที่มีบัญชี Google สำหรับผู้ใช้ทั่วไป (ไม่มีการจัดการ) หรือบัญชีผู้เข้าชมเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ขององค์กรไม่ได้

ข้อกำหนดการตั้งค่าสำหรับองค์กรภายนอก

หากต้องการเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ขององค์กรคุณ องค์กรภายนอกต้องตั้งค่า CSE ด้วย

ข้อกำหนดการตั้งค่าสำหรับองค์กรของคุณ

เพิ่มบริการ IdP ขององค์กรภายนอกในรายการที่อนุญาตกับบริการจัดการคีย์การเข้ารหัส โดยปกติแล้ว คุณจะพบบริการ IdP ในไฟล์ .well-known แบบสาธารณะ ในกรณีที่มีการติดตั้งไว้ หรือติดต่อผู้ดูแลระบบ Google Workspace ขององค์กรภายนอกเพื่อขอรายละเอียดเกี่ยวกับ IdP
ตรวจสอบว่าผู้ดูแลระบบเข้าใจว่าผู้ใช้ขององค์กรนั้นต้องมอบโทเค็นการตรวจสอบสิทธิ์แก่บริการจัดการคีย์ของคุณเพื่อดูหรือแก้ไขเนื้อหาที่เข้ารหัสขององค์กร กระบวนการตรวจสอบสิทธิ์กำหนดให้ผู้ใช้ต้องแชร์ที่อยู่ IP และข้อมูลประจำตัวอื่นๆ โปรดดูรายละเอียดที่หัวข้อโทเค็นการตรวจสอบสิทธิ์ในคู่มืออ้างอิงสำหรับ API การเข้ารหัสฝั่งไคลเอ็นต์
นอกจากนี้ ผู้ดูแลระบบยังอาจต้องสร้างรหัสไคลเอ็นต์สำหรับเว็บและอุปกรณ์เคลื่อนที่แยกต่างหากสำหรับการเข้าถึงเนื้อหาที่เข้ารหัสขององค์กร ทั้งนี้ขึ้นอยู่กับนโยบายความปลอดภัยของคุณและองค์กรภายนอก คุณจะต้องมีรหัสไคลเอ็นต์ดังกล่าวอยู่ในรายการที่อนุญาตพร้อมกับบริการจัดการคีย์การเข้ารหัส

กำหนดค่า IdP ของผู้เข้าร่วมสำหรับผู้ใช้ภายนอก

หากต้องการให้องค์กรภายนอกเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ได้ คุณสามารถกำหนดค่า IdP ของผู้เข้าร่วมเพื่อตรวจสอบสิทธิ์ผู้ใช้ภายนอก โดยใช้ IdP เดียวกันกับที่คุณใช้หรือรายการอื่น เมื่อใช้ IdP ของผู้มาเยือน ผู้ใช้ของคุณจะแชร์เนื้อหาที่เข้ารหัสกับผู้อื่นในองค์กรภายนอกได้ ไม่ว่าองค์กรเหล่านั้นจะใช้ CSE ด้วยหรือไม่ก็ตาม

หมายเหตุ: หากคุณได้ตั้งค่าการเข้าถึงภายนอกสำหรับองค์กรที่ใช้ CSE เช่นเดียวกันไปแล้ว (ตามที่อธิบายไว้ก่อนหน้าในหน้านี้) ระบบจะไม่สนใจการตั้งค่าดังกล่าวเมื่อคุณกำหนดค่า IdP สำหรับผู้เข้าร่วม

กำหนดค่า IdP ของผู้มาเยือนในคอนโซลผู้ดูแลระบบ

ทำตามวิธีการเพื่อตั้งค่า IdP ในหัวข้อเชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัวสำหรับการเข้ารหัสฝั่งไคลเอ็นต์ ในระหว่างการตั้งค่า คุณจะดำเนินการดังนี้

เลือก IdP ที่เป็นไปตามข้อกำหนดของ OIDC - สำหรับ Gmail และ Google Meet คุณจะใช้ IdP ของบุคคลที่สามหรือข้อมูลประจำตัวของ Google ก็ได้ แต่สำหรับเครื่องมือแก้ไขเอกสารและ Google ไดรฟ์ คุณจะใช้ได้เฉพาะ IdP ของบุคคลที่สาม ข้อจำกัดนี้จะช่วยให้มั่นใจได้ว่าระบบจะรองรับบัญชีผู้เข้าชมสำหรับไดรฟ์และเอกสาร โดย IdP ของบุคคลที่สามอาจเป็น IdP เดียวกันกับที่คุณใช้สำหรับผู้ใช้หรือเป็นอย่างอื่นก็ได้
สร้างรหัสไคลเอ็นต์เพิ่มเติมสำหรับ Google Meet - ในระหว่างขั้นตอนการสร้างรหัสไคลเอ็นต์สำหรับเว็บเซอร์วิส คุณจะต้องสร้างรหัสไคลเอ็นต์เพิ่มเติมสำหรับ Google Meet
ระบบจะใช้รหัสไคลเอ็นต์หลักสำหรับเว็บเซอร์วิสสำหรับบริการเข้ารหัสคีย์และจะไม่แชร์กับระบบของ Google ระบบจะใช้รหัสไคลเอ็นต์เพิ่มเติมสำหรับ Meet เพื่อยืนยันว่าผู้เข้าร่วมที่ไม่ได้ลงชื่อเข้าใช้ Meet ได้รับเชิญให้เข้าร่วมการประชุม
ใช้คอนโซลผู้ดูแลระบบเพื่อกำหนดค่า IdP ของผู้มาเยือน - คุณต้องใช้คอนโซลผู้ดูแลระบบเพื่อกำหนดค่าการเชื่อมต่อ IdP ของผู้มาเยือน และเลือกตัวเลือกกำหนดค่า IdP ของผู้มาเยือน ทั้งนี้คุณจะกำหนดค่า IdP ของผู้เข้าร่วมโดยใช้ไฟล์ .well-known ไม่ได้

ตั้งค่าตัวเลือกการตรวจสอบสิทธิ์ IdP ของผู้เข้าร่วม

หลังจากกำหนดค่า IdP ในคอนโซลผู้ดูแลระบบเสร็จแล้ว คุณสามารถใช้เครื่องมือของ IdP เพื่อตั้งค่าวิธีตรวจสอบสิทธิ์ผู้ใช้ภายนอกได้ คุณอาจมีตัวเลือกต่อไปนี้ โดยขึ้นอยู่กับการใช้งาน IdP ของผู้มาเยือน

ตั้งค่าบัญชีแยกต่างหากสำหรับผู้เข้าร่วมและมอบรหัสผ่านของบัญชีให้ผู้เข้าร่วม
ส่งรหัสแบบใช้ครั้งเดียวให้ผู้มาเยือนเพื่อยืนยันอีเมล
อนุญาตให้ผู้เข้าร่วมใช้ IdP ที่กำหนดค่าล่วงหน้า เช่น Google, Apple หรือ Microsoft
หมายเหตุ: ผู้ใช้จะลงชื่อเข้าใช้ด้วยบัญชี Google ได้โดยใช้ข้อมูลประจำตัวของ Google หากผู้ใช้ยังไม่มีบัญชี ให้สร้างบัญชี

ไม่ว่าจะเป็นวิธีการตรวจสอบสิทธิ์ใดก็ตาม ผู้เข้าร่วมจะเห็นข้อความป๊อปอัปเพื่อขอให้ลงชื่อเข้าใช้ระบบผู้ให้บริการข้อมูลประจำตัวก่อนที่จะเข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ได้