開放外部人士存取用戶端加密內容

支援這項功能的版本：Frontline Plus、Enterprise Plus、Education Standard 和 Education Plus。 版本比較

管理員可以允許外部使用者存取以 Google Workspace 用戶端加密 (CSE) 功能加密的內容。提供外部存取權的方法有 2 種：

為同樣使用 CSE 的外部機構設定存取權。透過這個方法，假設外部機構符合使用者和 CSE 需求條件，您就可以讓這些機構存取加密內容。
設定訪客識別資訊提供者 (IdP)，允許所有外部使用者存取。透過這個方法，使用者可以允許 Google 和非 Google 帳戶存取用戶端加密內容。外部機構不需設定 CSE，而他們的使用者也不需要 Google Workspace 或 Cloud Identity 授權。
訪客 IdP 設定目前僅適用於 Gmail、Google Meet、雲端硬碟、文件、試算表和簡報的網頁應用程式。我們將在日後推出的版本中，為這些服務的行動應用程式提供訪客 IdP 設定。

關於外部存取加密電子郵件

您可以透過下列 2 種方式，開放外部人士存取用戶端加密電子郵件訊息。

方法 1：使用 Gmail E2EE，不採用 S/MIME

如果與使用者互傳用戶端加密郵件的外部使用者不一定採用 S/MIME，您可以使用「以訪客帳戶加密」選項，利用 Gmail 端對端加密 (E2EE) 功能，自動處理與外部使用者的加密通訊，不需要傳統的 S/MIME 設定或憑證。透過 Gmail E2EE 功能，使用者可以向任何外部使用者傳送加密郵件。須加購「安全控管」或「安全控管 Plus」方案。

如要使用 Gmail E2EE 提供外部存取權，請按照下列步驟操作：

您需要設定訪客 IdP，具體說明請參閱本頁下方內容。
使用者傳送加密郵件到組織外時，外部收件者會收到提示，告知必須建立訪客帳戶才能開啟郵件。
您可以在管理控制台的「Workspace 訪客」組織單位中管理訪客帳戶。啟用「以訪客帳戶加密」並設定訪客 IdP 後，系統會自動建立這個組織單位。詳情請參閱「管理 Workspace 訪客」。

如要進一步瞭解如何收發用戶端加密電子郵件訊息，以及建立訪客帳戶的方法，請參閱「瞭解 Gmail 用戶端加密功能」。

方法 2：使用 S/MIME 憑證

如果使用者只會與採用 S/MIME 的外部使用者互傳用戶端加密郵件，則不需要額外設定。您不需要使用訪客 IdP，外部使用者也不需要擁有 Google Workspace 或 Cloud Identity 授權。

為使用 CSE 的外部機構設定外部存取權

如果外部機構和貴機構符合下列需求條件，您可以授權外部人士存取貴機構的用戶端加密內容，無論類型是雲端硬碟、文件、日曆還是 Meet 都沒問題。

外部使用者的授權需求條件

外部使用者必須擁有 Google Workspace 或 Cloud Identity 授權，才能存取由 CSE 加密的資料。

注意：透過這種外部存取方法，擁有非受管 Google 個人帳戶或訪客帳戶的使用者不能存取貴機構的用戶端加密內容。

外部機構的設定需求條件

外部機構也必須設定 CSE，才能存取貴機構的用戶端加密內容。

貴機構的設定需求條件

利用您的加密金鑰服務將外部機構的 IdP 服務加入許可清單。一般來說，您可以在相應的公開 .well-known 檔案中找到 IdP 服務 (如果已設定的話)。如果沒有，請與外部機構的 Google Workspace 管理員聯絡，瞭解對方的 IdP 詳細資料。
請確認管理員瞭解使用者需提供驗證權杖給金鑰服務，才能查看或編輯貴機構的加密檔案。在驗證程序中，使用者必須提供自己的 IP 位址和其他身分資訊。詳情請參閱用戶端加密 API 參考指南中的「驗證權杖」。
視貴機構和外部機構的安全性政策而定，外部機構可能還需建立不同的網路與行動用戶端 ID，才能存取貴機構的加密內容。請利用加密金鑰服務將這些用戶端 ID 加入許可清單。

為所有外部使用者設定訪客 IdP

如要授權外部機構存取您的用戶端加密內容，您可以設定訪客 IdP 來驗證外部使用者，這個 IdP 不一定要與您所用的 IdP 相同。訪客 IdP 可讓使用者與外部機構的其他對象共用加密內容，無論這些機構是否也使用 CSE 都沒問題。

注意：如果您已為使用 CSE 的機構設定外部存取權 (如本頁上方所述)，當您設定訪客 IdP 後，系統就會忽略這項設定。

在管理控制台中設定訪客 IdP

請按照「連線至識別資訊提供者以進行用戶端加密」一文說明設定 IdP。在設定過程中，您要執行下列操作：

選擇符合 OIDC 規定的 IdP：在 Gmail 和 Google Meet 中，您可以使用第三方 IdP 或 Google 識別資訊。不過，如果是 Google 雲端硬碟和文件編輯器，則只能使用第三方 IdP。這項限制可確保支援 Google 雲端硬碟和文件的訪客帳戶。第三方 IdP 可以是您為使用者設定所採用的 IdP，也可以是其他 IdP。
為 Google Meet 建立額外用戶端 ID：在為網路服務建立用戶端 ID 時，您需要為 Google Meet 建立額外的用戶端 ID。
網路服務的主要用戶端 ID 會用於金鑰加密服務，但不會提供給 Google 系統。Meet 的額外用戶端 ID 可用來確認未登入 Meet 的訪客是否已受邀加入會議。
使用管理控制台設定訪客 IdP：您必須使用管理控制台設定訪客 IdP 連線，然後選擇「設定訪客 IdP」選項。您無法使用 .well-known 檔案設定訪客 IdP。

設定訪客 IdP 驗證選項

在管理控制台中完成 IdP 設定後，您可以使用 IdP 工具設定如何驗證外部使用者。視訪客 IdP 的實作方式而定，系統可能會提供下列選項：

為訪客另設帳戶，並提供帳戶密碼。
向訪客傳送一次性驗證碼，驗證他們的電子郵件地址。
允許訪客使用預先設定的 IdP，例如 Google、Apple 或 Microsoft。
注意：使用者可以透過 Google 身分登入 Google 帳戶。如果使用者還沒有帳戶，可以建立帳戶。

不論採用何種驗證方式，訪客都會看到彈出式視窗訊息，要求他們透過識別資訊提供者登入帳戶，之後才能存取用戶端加密內容。