รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Plus; Enterprise Plus; Education Standard และ Education Plus เปรียบเทียบรุ่นของคุณ
ในฐานะผู้ดูแลระบบ คุณสามารถเปิดการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ให้กับผู้ใช้ที่ต้องการสร้างเนื้อหาที่เข้ารหัสด้วยบริการต่อไปนี้
| สำหรับบริการนี้... | เปิด CSE สำหรับ... |
|---|---|
| Google ไดรฟ์ |
ผู้ใช้ที่ต้องการสร้างเอกสาร สเปรดชีต และงานนำเสนอที่เข้ารหัสฝั่งไคลเอ็นต์ หรืออัปโหลดไฟล์ที่เข้ารหัสฝั่งไคลเอ็นต์ไปยังไดรฟ์ โดยคุณไม่จำเป็นต้องเปิด CSE ให้กับผู้ใช้ที่เพียงต้องการดูและแก้ไขไฟล์ที่แชร์กับตนเท่านั้น |
| Gmail |
ผู้ใช้ที่ต้องการรับส่งข้อความที่เข้ารหัส ก่อนเปิด CSE สำหรับ Gmail: ตรวจสอบตัวเลือกในการเปิดใช้การเข้ารหัสอีเมลสำหรับผู้ใช้ ซึ่งเป็นสิ่งที่ต้องทำนอกเหนือจากการเปิดใช้ CSE ของ Gmail โปรดดูรายละเอียดที่หัวข้อ CSE ของ Gmail: ตรวจสอบว่าได้เปิดใช้การเข้ารหัสสำหรับผู้ใช้แล้วต่อไปในหน้านี้ |
| Google ปฏิทิน |
ผู้ใช้ที่ต้องการสร้างกิจกรรมในปฏิทินที่เข้ารหัสฝั่งไคลเอ็นต์ รวมทั้งต้องเปิด CSE สำหรับไดรฟ์และ Meet ให้กับผู้ใช้เหล่านี้ด้วยในกรณีที่ต้องการให้ผู้ใช้แนบเอกสารที่เข้ารหัสฝั่งไคลเอ็นต์และจัดการประชุมที่เข้ารหัสฝั่งไคลเอ็นต์ แต่ไม่จำเป็นต้องเปิด CSE ให้กับผู้ได้รับเชิญให้เข้าร่วมกิจกรรม |
| Google Meet |
ผู้ใช้ที่ต้องการจัดการประชุมออนไลน์ที่เข้ารหัสฝั่งไคลเอ็นต์ โดยไม่จำเป็นต้องเปิด CSE ให้ผู้เข้าร่วมประชุมคนอื่นๆ ในการประชุม |
สำหรับผู้ใช้ที่ต้องการเพียงแค่ดูหรือแก้ไขเนื้อหาที่เข้ารหัส โปรดตรวจสอบว่าได้ดำเนินการดังนี้
- ผู้ใช้ภายในอยู่ในรายการควบคุมการเข้าถึงคีย์ (KACL) ของบริการจัดการคีย์ โปรดดูรายละเอียดที่หัวข้อตั้งค่าบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์
- ผู้ใช้ภายนอกมีสิทธิ์เข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ของคุณ โปรดดูรายละเอียดที่หัวข้อให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
ก่อนเริ่มต้น
ตรวจสอบว่าคุณได้ดำเนินการตามขั้นตอนเหล่านี้แล้ว
- เลือกบริการจัดการคีย์
- เชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัว (IdP)
- ตั้งค่าบริการจัดการคีย์ภายนอกหรือการเข้ารหัสคีย์ฮาร์ดแวร์
- มอบหมายบริการจัดการคีย์หรือการเข้ารหัสคีย์ฮาร์ดแวร์ให้กับหน่วยขององค์กรหรือกลุ่ม
หากใช้บริการจัดการคีย์หลายรายการ โปรดตรวจสอบว่าได้มอบหมายบริการเหล่านั้นให้กับหน่วยขององค์กรหรือกลุ่มการกำหนดค่าที่เหมาะสมแล้ว
ทำความเข้าใจข้อจำกัดในการใช้ CSE กับบริการที่รองรับ
ดูข้อมูลเพิ่มเติมเกี่ยวกับฟีเจอร์ที่ผู้ใช้จะใช้งานไม่ได้เมื่อเลือกใช้ CSE ที่หัวข้อประสบการณ์ของผู้ใช้ CSE
เพิ่มผู้ใช้ในหน่วยขององค์กรและกลุ่ม หากจำเป็น
ตรวจสอบว่าคุณได้นําผู้ใช้ไปไว้ในหน่วยขององค์กรหรือกลุ่มที่ต้องการเปิดใช้ CSE แล้วสําหรับบริการทั้งหมดหรือเฉพาะบางรายการ
- ดูรายละเอียดการสร้างหน่วยขององค์กรที่หัวข้อเพิ่มหน่วยขององค์กร
- โปรดดูรายละเอียดเกี่ยวกับการสร้างและการใช้กลุ่มการกำหนดค่าที่หัวข้อปรับแต่งการตั้งค่าบริการด้วยกลุ่มการกำหนดค่า
คุณสามารถกำหนดให้ CSE เป็นการตั้งค่าเริ่มต้นสำหรับแอปของผู้ใช้ได้
เมื่อเปิด CSE สำหรับหน่วยขององค์กร คุณสามารถกำหนดให้ CSE เป็นการตั้งค่าเริ่มต้นสำหรับบริการต่อไปนี้ ซึ่งรวมถึงเว็บและแอปบนอุปกรณ์เคลื่อนที่
- Gmail - เนื้อหาจะได้รับการเข้ารหัสโดยค่าเริ่มต้นเมื่อผู้ใช้เขียน ตอบ หรือส่งต่ออีเมล
- Google ไดรฟ์ - เนื้อหาจะได้รับการเข้ารหัสโดยค่าเริ่มต้นเมื่อผู้ใช้สร้างไฟล์ใหม่ เช่น เอกสาร สเปรดชีต และงานนำเสนอ
- Google ปฏิทิน - คำอธิบายกิจกรรมจะได้รับการเข้ารหัสโดยค่าเริ่มต้นเมื่อผู้ใช้สร้างกิจกรรม และการประชุม Google Meet จะได้รับการเข้ารหัสโดยค่าเริ่มต้นด้วย
หากเปิดใช้ CSE โดยค่าเริ่มต้น ผู้ใช้จะยังคงเลือกปิดการเข้ารหัสได้ หากจำเป็น คุณสามารถตรวจสอบการดำเนินการของผู้ใช้เพื่อปิด CSE สำหรับไดรฟ์และปฏิทินได้โดยใช้เครื่องมือตรวจสอบความปลอดภัย โปรดดูรายละเอียดที่หัวข้อดูบันทึกและรายงานสำหรับการเข้ารหัสฝั่งไคลเอ็นต์
หมายเหตุ: ขณะนี้การตั้งค่า CSE เป็นค่าเริ่มต้นสำหรับบริการจะใช้ได้กับหน่วยขององค์กรเท่านั้น แต่จะใช้กับกลุ่มการกำหนดค่าไม่ได้
CSE ของ Gmail: ตรวจสอบว่าได้เปิดใช้การเข้ารหัสอีเมลสำหรับผู้ใช้แล้ว
หากต้องการส่งและรับข้อความที่เข้ารหัส ผู้ใช้จะต้องเปิดใช้ทั้ง CSE ของ Gmail และการเข้ารหัสอีเมลในบัญชีของตน คุณสามารถเปิดใช้การเข้ารหัสได้โดยวิธีใดวิธีหนึ่งต่อไปนี้ ขึ้นอยู่กับการสมัครใช้บริการและความต้องการ
- กำหนดค่าและอัปโหลดใบรับรอง S/MIME สำหรับผู้ใช้ (ต้องมีประสบการณ์ในการทำงานกับ API และสคริปต์ Python) เมื่อใช้ตัวเลือกนี้ คุณต้องเปิดใช้ Gmail API ก่อนเปิด CSE สำหรับ Gmail โปรดดูรายละเอียดที่หัวข้อ Gmail เท่านั้น: กำหนดค่าใบรับรอง S/MIME สำหรับการเข้ารหัสฝั่งไคลเอ็นต์
- หากคุณมีส่วนเสริม Assured Controls และไม่ได้ใช้การเข้ารหัสคีย์ฮาร์ดแวร์สำหรับ Gmail ให้ใช้การเข้ารหัสจากต้นทางถึงปลายทาง (E2EE) ของ Gmail โดยเลือกตัวเลือกการเข้ารหัสด้วยบัญชีผู้ใช้ชั่วคราวเมื่อเปิด CSE ของ Gmail (ตามที่อธิบายต่อไปในหน้านี้) โดยเมื่อใช้ตัวเลือกนี้ คุณไม่จำเป็นต้องกำหนดค่าใบรับรอง S/MIME สําหรับผู้ใช้ หากต้องการใช้ E2EE ของ Gmail คุณต้องกำหนดค่าผู้ให้บริการข้อมูลประจำตัว (IdP) ของผู้เข้าร่วมก่อน โปรดดูรายละเอียดที่หัวข้อให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
สำคัญ: เมื่อใช้ตัวเลือกการเข้ารหัสด้วยบัญชีผู้ใช้ชั่วคราว คุณจะอนุญาตให้ผู้ใช้แลกเปลี่ยนข้อความที่เข้ารหัสฝั่งไคลเอ็นต์กับทุกคนที่อยู่นอกองค์กรได้ด้วย หากต้องการให้สิทธิ์เข้าถึงนี้ คุณต้องกำหนดค่าผู้ให้บริการข้อมูลประจำตัว (IdP) สำหรับผู้เข้าร่วม โปรดดูรายละเอียดที่หัวข้อให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์
เปิดหรือปิด CSE ให้กับผู้ใช้
หากต้องการเปิดใช้ CSE ให้กับผู้ใช้ คุณต้องเปิด CSE ให้กับหน่วยขององค์กรหรือกลุ่มการกำหนดค่าที่ผู้ใช้ดังกล่าวเป็นสมาชิกอยู่ เมื่อเปิดการเข้าถึงของผู้ใช้สำหรับ CSE ผู้ใช้จะเลือกได้ว่าจะเข้ารหัสเนื้อหาหรือไม่
เมื่อเปิด CSE ให้กับหน่วยขององค์กร คุณสามารถกำหนดให้ CSE เป็นค่าเริ่มต้นสำหรับ Gmail, Google ไดรฟ์ และ Google ปฏิทินสำหรับทั้งเว็บและแอปบนอุปกรณ์เคลื่อนที่ได้ ต้องมีส่วนเสริม Assured Controls หรือ Assured Controls Plus
หากต้องการป้องกันไม่ให้ผู้ใช้เข้ารหัสเนื้อหา ให้ปิด CSE ให้กับหน่วยขององค์กรหรือกลุ่มการกำหนดค่าที่ผู้ใช้ดังกล่าวเป็นสมาชิกอยู่ หากปิดใช้ CSE ให้กับผู้ใช้ เนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ที่มีอยู่จะยังคงมีการเข้ารหัสและเข้าถึงได้
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้-
ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู
ข้อมูลการปฏิบัติตามข้อกำหนดการเข้ารหัสฝั่งไคลเอ็นต์คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
คลิกชื่อบริการของ Google ที่ต้องการเปิดหรือปิด CSE ให้กับผู้ใช้ในส่วนแอป
คุณยังสามารถไปในส่วนการเข้ารหัสด้วยบริการจัดการคีย์ภายนอกหรือการเข้ารหัสด้วยคีย์ฮาร์ดแวร์ แล้วคลิกกำหนด จากนั้นในส่วนการเข้ารหัสตามแอป ให้เลือกบริการของ Google ที่ต้องการเปิด CSE
ในแผงด้านซ้าย ให้เลือกหน่วยขององค์กรหรือกลุ่มที่ต้องการเปิดหรือปิด CSE
ในส่วนสถานะการเข้ารหัสฝั่งไคลเอ็นต์ ให้เลือกเปิดหรือปิด
ยืนยันการเลือกในข้อความป๊อปอัป
(ไม่บังคับสำหรับ Gmail เท่านั้น) หากต้องการใช้การเข้ารหัสอีเมลแบบเปิดใช้โดยอัตโนมัติสำหรับบัญชีของผู้ใช้ ให้เลือกอนุญาตให้ผู้ใช้ส่งข้อความที่เข้ารหัสฝั่งไคลเอ็นต์ถึงผู้รับที่ไม่ได้ใช้ S/MIME ในส่วนการเข้ารหัสด้วยบัญชีผู้ใช้ชั่วคราว ต้องมีส่วนเสริม Assured Controls หรือ Assured Controls Plus
(ไม่บังคับสำหรับหน่วยขององค์กรเท่านั้น) หากต้องการเข้ารหัสเนื้อหา Gmail, ไดรฟ์ หรือปฏิทินด้วยบริการของ Google โดยค่าเริ่มต้น ให้เลือกช่องเปิดใช้การเข้ารหัสฝั่งไคลเอ็นต์โดยค่าเริ่มต้นในส่วนเปิดใช้โดยค่าเริ่มต้น โดยผู้ใช้จะยังคงเลือกปิดการเข้ารหัสได้
ต้องมีส่วนเสริม Assured Controls หรือ Assured Controls Plusคลิกลบล้าง เพื่อเก็บการตั้งค่าไว้หากมีการเปลี่ยนแปลงกับการตั้งค่า CSE สำหรับหน่วยขององค์กรระดับบนสุด
หากมีการตั้งค่าลบล้างให้กับหน่วยขององค์กรแล้ว ให้เลือกตัวเลือกต่อไปนี้
- รับค่า เปลี่ยนกลับไปใช้การตั้งค่า CSE เดียวกันกับองค์กรระดับบน
- บันทึก บันทึกการตั้งค่า CSE ใหม่ของคุณ (แม้ว่าการตั้งค่าสำหรับหน่วยขององค์กรหลักจะเปลี่ยนไป)
หากเปิด CSE สำหรับ Gmail
หากไม่สามารถใช้ตัวเลือกการเข้ารหัสด้วยบัญชีผู้ใช้ชั่วคราวหลังจากส่ง CSE สำหรับ Gmail แล้ว คุณต้องเตรียมและอัปโหลดใบรับรอง S/MIME และข้อมูลเมตาคีย์ส่วนตัวที่เข้ารหัสไปยัง Gmail สำหรับผู้ใช้แต่ละรายที่จะใช้ CSE ของ Gmail โปรดดูรายละเอียดที่หัวข้อตั้งค่า CSE ของ Gmail ให้กับผู้ใช้
หากผู้ใช้พบปัญหาในการใช้ CSE
ตรวจสอบศูนย์แจ้งเตือนหากผู้ใช้พบปัญหาในการใช้ CSE ของ Gmail โปรดดูข้อมูลเพิ่มเติมที่หัวข้อบริการการเข้ารหัสฝั่งไคลเอ็นต์ไม่พร้อมใช้งาน