Bật hoặc tắt tính năng mã hoá phía máy khách cho người dùng

Hãy đảm bảo bạn đang ở đúng nơi. Các bước này dành cho quản trị viên quản lý tài khoản Gmail cho một công ty, trường học hoặc nhóm khác. Tính năng mã hoá phía máy khách không dùng được với tài khoản gmail.com cá nhân của bạn.

Các phiên bản hỗ trợ tính năng này: Frontline Plus; Enterprise Plus; Education Standard và Education Plus. So sánh phiên bản của bạn

Khi làm quản trị viên, bạn có thể bật tính năng Mã hoá phía máy khách của Google Workspace (CSE) cho những người dùng cần tạo nội dung được mã hoá bằng các dịch vụ sau:

Đối với dịch vụ này...	Bật tính năng CSE cho...
Google Drive	Những người dùng cần tạo tài liệu, bảng tính và bản trình bày được mã hoá phía máy khách hoặc tải tệp được mã hoá phía máy khách lên Drive. Bạn không cần bật tính năng CSE cho những người dùng chỉ xem và chỉnh sửa các tệp được chia sẻ với họ.
Gmail	Những người dùng cần gửi hoặc nhận thư được mã hoá. Trước khi bật tính năng CSE cho Gmail: Hãy xem xét các lựa chọn để bật tính năng mã hoá email cho người dùng. Bạn phải thực hiện việc này ngoài việc bật tính năng CSE cho Gmail. Để biết thông tin chi tiết, hãy chuyển đến phần CSE cho Gmail: Đảm bảo tính năng mã hoá được bật cho người dùng ở phần sau trên trang này.
Lịch Google	Những người dùng cần tạo sự kiện trong lịch được mã hoá phía máy khách. Bạn cũng cần bật tính năng CSE cho Drive và Meet đối với những người dùng này nếu muốn họ đính kèm tài liệu được mã hoá phía máy khách và tổ chức cuộc họp được mã hoá phía máy khách. Bạn không cần bật tính năng CSE cho người được mời tham dự sự kiện.
Google Meet	Những người dùng cần tổ chức cuộc họp trực tuyến được mã hoá phía máy khách. Bạn không cần bật tính năng CSE cho những người tham gia cuộc họp khác.

Đối với những người dùng chỉ cần xem hoặc chỉnh sửa nội dung được mã hoá, hãy đảm bảo:

Người dùng nội bộ có trong danh sách kiểm soát quyền truy cập khoá (KACL) của dịch vụ mã khoá. Để biết thông tin chi tiết, hãy chuyển đến phần Thiết lập dịch vụ mã khoá cho tính năng mã hoá phía máy khách.
Người dùng bên ngoài có quyền truy cập vào nội dung được mã hoá phía máy khách. Để biết thông tin chi tiết, hãy chuyển đến phần Cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách.

Trước khi bắt đầu

Đảm bảo bạn đã hoàn tất các bước sau

Chọn một dịch vụ mã khoá.
Kết nối với nhà cung cấp dịch vụ danh tính (IdP).
Thiết lập dịch vụ mã khoá bên ngoài hoặc chế độ mã hoá bằng khoá vật lý.
Chỉ định dịch vụ mã khoá hoặc khoá vật lý cho các đơn vị tổ chức hoặc nhóm.
Nếu bạn đang sử dụng nhiều dịch vụ mã khoá, hãy đảm bảo rằng các dịch vụ đó được chỉ định cho các đơn vị tổ chức hoặc nhóm cấu hình thích hợp.

Tìm hiểu các giới hạn khi sử dụng tính năng CSE với các dịch vụ được hỗ trợ

Để biết thêm thông tin về những tính năng mà người dùng không dùng được khi chọn sử dụng tính năng CSE, hãy xem bài viết Trải nghiệm người dùng CSE.

Nếu cần, hãy thêm người dùng vào các đơn vị tổ chức và nhóm

Đảm bảo bạn đã đưa người dùng vào các đơn vị tổ chức hoặc nhóm mà bạn muốn bật tính năng CSE cho tất cả hoặc một số dịch vụ.

Để biết thông tin chi tiết về cách tạo đơn vị tổ chức, hãy chuyển đến phần Thêm một đơn vị tổ chức.
Để biết thông tin chi tiết về cách tạo và sử dụng nhóm cấu hình, hãy chuyển đến phần Tuỳ chỉnh chế độ cài đặt dịch vụ bằng nhóm cấu hình.

Bạn có thể đặt tính năng CSE làm chế độ cài đặt mặc định cho các ứng dụng của người dùng

Bạn phải có tiện ích bổ sung Assured Controls hoặc Assured Controls Plus.

Khi bật tính năng CSE cho các đơn vị tổ chức, bạn có thể đặt tính năng CSE làm chế độ cài đặt mặc định cho các dịch vụ sau, bao gồm cả ứng dụng web và ứng dụng di động:

Gmail – Nội dung được mã hoá theo mặc định khi người dùng soạn, trả lời hoặc chuyển tiếp email.
Google Drive – Nội dung được mã hoá theo mặc định khi người dùng tạo tệp mới, chẳng hạn như tài liệu, bảng tính và bản trình bày.
Lịch Google—Nội dung mô tả sự kiện được mã hoá theo mặc định khi người dùng tạo sự kiện. Các cuộc họp trên Google Meet cũng được mã hoá theo mặc định.

Nếu bạn bật tính năng CSE theo mặc định, người dùng vẫn có thể tắt tính năng mã hoá nếu cần. Bạn có thể giám sát hành động của người dùng để tắt tính năng CSE cho Drive và Lịch bằng công cụ điều tra bảo mật. Để biết thông tin chi tiết, hãy xem bài viết Xem nhật ký và báo cáo của tính năng mã hoá phía máy khách.

Lưu ý: Hiện tại, bạn chỉ có thể đặt tính năng CSE làm chế độ mặc định cho một dịch vụ đối với các đơn vị tổ chức, chứ không phải nhóm cấu hình.

CSE cho Gmail: Đảm bảo tính năng mã hoá email được bật cho người dùng

Để gửi và nhận thư được mã hoá, người dùng cần bật cả tính năng CSE cho Gmail và tính năng mã hoá email cho tài khoản của họ. Tuỳ thuộc vào gói thuê bao và nhu cầu, bạn có thể bật tính năng mã hoá theo một trong những cách sau:

Định cấu hình và tải chứng chỉ S/MIME lên cho người dùng (yêu cầu có kinh nghiệm làm việc với API và tập lệnh Python). Với lựa chọn này, bạn cần bật API Gmail trước khi bật tính năng CSE cho Gmail. Để biết thông tin chi tiết, hãy chuyển đến phần Chỉ dành cho Gmail: Định cấu hình chứng chỉ S/MIME cho tính năng mã hoá phía máy khách.
Nếu bạn có tiện ích bổ sung Quyền kiểm soát có đảm bảo và không sử dụng chế độ mã hoá bằng khoá vật lý cho Gmail, hãy sử dụng tính năng mã hoá hai đầu (E2EE) của Gmail bằng cách chọn lựa chọn Mã hoá bằng tài khoản khách khi bật tính năng Mã hoá phía máy khách (CSE) cho Gmail (như mô tả ở phần sau trên trang này). Với lựa chọn này, bạn không cần định cấu hình chứng chỉ S/MIME cho người dùng. Để sử dụng tính năng E2EE của Gmail, trước tiên, bạn cần định cấu hình một nhà cung cấp dịch vụ danh tính khách (IdP). Để biết thông tin chi tiết, hãy chuyển đến phần Cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách.
Quan trọng: Với lựa chọn Mã hoá bằng tài khoản khách, bạn cũng có thể cho phép người dùng trao đổi thư được mã hoá phía máy khách với bất kỳ ai bên ngoài tổ chức của bạn. Để cấp quyền truy cập này, bạn cần định cấu hình một nhà cung cấp dịch vụ danh tính khách (IdP). Để biết thông tin chi tiết, hãy chuyển đến phần Cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách.

Bật hoặc tắt tính năng CSE cho người dùng

Để bật tính năng CSE cho người dùng, bạn cần bật tính năng CSE cho các đơn vị tổ chức hoặc nhóm cấu hình mà người dùng thuộc về. Sau khi bạn bật quyền truy cập của người dùng cho tính năng CSE, người dùng có thể chọn có mã hoá nội dung hay không.

Khi bật tính năng CSE cho một đơn vị tổ chức, bạn có thể đặt tính năng CSE làm chế độ mặc định cho Gmail, Google Drive và Lịch Google – cho cả ứng dụng web và ứng dụng di động. Bạn phải có tiện ích bổ sung Assured Controls hoặc Assured Controls Plus.

Để ngăn người dùng mã hoá nội dung, bạn có thể tắt tính năng CSE cho các đơn vị tổ chức hoặc nhóm cấu hình mà họ thuộc về. Nếu bạn tắt tính năng CSE cho người dùng, thì mọi nội dung được mã hoá phía máy khách hiện có vẫn được mã hoá và có thể truy cập được.

Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn Dữ liệu Tuân thủ Tính năng mã hoá phía máy khách.

Chuyển đến phần Tính năng mã hoá phía máy khách

Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.
Trong phần Ứng dụng, hãy nhấp vào tên của dịch vụ Google mà bạn muốn bật hoặc tắt tính năng CSE cho người dùng.

Ngoài ra, trong phần Mã hoá bằng dịch vụ mã khoá bên ngoài hoặc Mã hoá bằng khoá phần cứng, hãy nhấp vào Chỉ định. Sau đó, trong phần Mã hoá theo ứng dụng, hãy chọn dịch vụ Google mà bạn muốn bật tính năng CSE.
Trong bảng điều khiển bên trái, hãy chọn một đơn vị tổ chức hoặc nhóm mà bạn muốn bật hoặc tắt tính năng CSE.
Trong phần Trạng thái tính năng mã hoá phía máy khách, hãy chọn Bật hoặc Tắt.
Trong thông báo bật lên, hãy xác nhận lựa chọn của bạn.
(Chỉ dành cho Gmail) Để tự động bật tính năng mã hoá email cho tài khoản của người dùng, trong phần Mã hoá bằng tài khoản khách, hãy chọn Cho phép người dùng gửi thư được mã hoá phía máy khách cho những người nhận không sử dụng S/MIME. Bạn phải có tiện ích bổ sung Assured Controls hoặc Assured Controls Plus.
(Chỉ dành cho đơn vị tổ chức) Để mã hoá nội dung trên Gmail, Drive hoặc Lịch bằng dịch vụ của Google theo mặc định, trong phần Bật theo mặc định, hãy đánh dấu vào hộp Bật tính năng mã hoá phía máy khách theo mặc định. Người dùng vẫn có thể tắt tính năng mã hoá.
Yêu cầu có tiện ích bổ sung Assured Controls hoặc Assured Controls Plus.
Nhấp vào Ghi đè để giữ nguyên chế độ cài đặt của bạn nếu chế độ cài đặt CSE của đơn vị tổ chức mẹ thay đổi.
Nếu tuỳ chọn Bị ghi đè đã được đặt cho đơn vị tổ chức, hãy chọn một tuỳ chọn:
- Kế thừa—Hủy bỏ để quay về chính chế độ cài đặt CSE của đơn vị tổ chức mẹ.
- Lưu—Lưu chế độ cài đặt CSE mới của bạn (ngay cả khi chế độ cài đặt của đơn vị tổ chức mẹ thay đổi).

Thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm

Nếu bạn đã bật tính năng CSE cho Gmail

Nếu bạn không thể sử dụng lựa chọn Mã hoá bằng tài khoản khách sau khi bật tính năng CSE cho Gmail: Đối với mỗi người dùng sẽ sử dụng tính năng CSE cho Gmail, bạn cần chuẩn bị và tải chứng chỉ S/MIME và siêu dữ liệu khoá riêng tư được mã hoá của họ lên Gmail. Để biết thông tin chi tiết, hãy chuyển đến phần Thiết lập tính năng CSE cho Gmail cho người dùng.

Nếu người dùng gặp vấn đề khi sử dụng tính năng CSE

Hãy kiểm tra Trung tâm thông báo nếu người dùng gặp vấn đề khi sử dụng tính năng CSE cho Gmail. Để biết thêm thông tin, hãy chuyển đến phần Tính năng mã hoá phía máy khách không dùng được.

Bật hoặc tắt tính năng mã hoá phía máy khách cho người dùng Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.