Bật hoặc tắt tính năng mã hoá phía máy khách cho người dùng

Hãy đảm bảo bạn đang ở đúng nơi. Đây là các bước dành cho quản trị viên quản lý tài khoản Gmail cho một công ty, trường học hoặc nhóm khác. Bạn không thể sử dụng tính năng mã hoá phía máy khách bằng tài khoản gmail.com cá nhân.

Các phiên bản hỗ trợ tính năng này: Frontline Plus; Enterprise Plus; Education Standard và Education Plus. So sánh phiên bản của bạn

Là quản trị viên, bạn có thể bật tính năng Mã hoá phía máy khách (CSE) của Google Workspace cho những người dùng cần tạo nội dung được mã hoá bằng các dịch vụ sau:

Đối với dịch vụ này...	Bật tính năng CSE cho...
Google Drive	Những người dùng cần tạo tài liệu, bảng tính và bản trình bày được mã hoá phía máy khách hoặc tải tệp được mã hoá phía máy khách lên Drive. Bạn không cần bật CSE cho những người dùng chỉ xem và chỉnh sửa các tệp được chia sẻ với họ.
Gmail	Người dùng cần gửi hoặc nhận thư được mã hoá. Trước khi bật CSE cho Gmail: Xem xét các lựa chọn để bật tính năng mã hoá email cho người dùng. Đây là yêu cầu bắt buộc ngoài việc bật CSE cho Gmail. Để biết thông tin chi tiết, hãy xem phần CSE của Gmail: Đảm bảo người dùng đã bật tính năng mã hoá ở phần sau trên trang này.
Lịch Google	Những người dùng cần tạo sự kiện trên lịch được mã hoá phía máy khách. Bạn cũng cần bật CSE cho Drive và Meet đối với những người dùng này nếu muốn họ đính kèm tài liệu được mã hoá phía máy khách và tổ chức cuộc họp được mã hoá phía máy khách. Bạn không cần bật CSE cho người được mời tham dự sự kiện.
Google Meet	Người dùng cần tổ chức các cuộc họp trực tuyến được mã hoá phía máy khách. Bạn không cần bật CSE cho những người tham gia cuộc họp khác.

Đối với những người dùng chỉ cần xem hoặc chỉnh sửa nội dung đã mã hoá, hãy đảm bảo rằng:

Người dùng nội bộ có trong danh sách kiểm soát quyền truy cập khoá (KACL) của dịch vụ khoá. Để biết thông tin chi tiết, hãy xem bài viết Thiết lập dịch vụ khoá cho tính năng mã hoá phía máy khách.
Người dùng bên ngoài có quyền truy cập vào nội dung được mã hoá phía máy khách của bạn. Để biết thông tin chi tiết, hãy xem bài viết Cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách.

Trước khi bắt đầu

Đảm bảo bạn đã hoàn tất các bước này

Chọn một dịch vụ khoá.
Kết nối với nhà cung cấp danh tính (IdP).
Thiết lập dịch vụ khoá bên ngoài hoặc mã hoá bằng khoá phần cứng.
Chỉ định một dịch vụ mã khoá hoặc chế độ mã hoá bằng khoá phần cứng cho các đơn vị tổ chức hoặc nhóm.
Nếu bạn đang sử dụng nhiều dịch vụ khoá, hãy nhớ chỉ định các dịch vụ đó cho các đơn vị tổ chức hoặc nhóm cấu hình thích hợp.

Tìm hiểu các hạn chế khi sử dụng CSE với các dịch vụ được hỗ trợ

Để biết thêm thông tin về những tính năng không được cung cấp cho người dùng khi họ chọn sử dụng CSE, hãy xem bài viết Trải nghiệm người dùng CSE.

Nếu cần, hãy thêm người dùng vào các đơn vị tổ chức và nhóm

Đảm bảo bạn đã đưa người dùng vào các đơn vị tổ chức hoặc nhóm mà bạn muốn bật CSE cho tất cả hoặc một số dịch vụ cụ thể.

Để biết thông tin chi tiết về cách tạo đơn vị tổ chức, hãy xem bài viết Thêm một đơn vị tổ chức.
Để biết thông tin chi tiết về cách tạo và sử dụng nhóm cấu hình, hãy xem bài viết Tuỳ chỉnh các chế độ cài đặt dịch vụ thông qua nhóm cấu hình.

Bạn có thể đặt CSE làm chế độ cài đặt mặc định cho các ứng dụng của người dùng

Bạn phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Quyền kiểm soát có đảm bảo Plus.

Khi bật CSE cho các đơn vị tổ chức, bạn có thể đặt CSE làm chế độ cài đặt mặc định cho các dịch vụ sau, bao gồm cả ứng dụng web và ứng dụng di động:

Gmail – Theo mặc định, nội dung sẽ được mã hoá khi người dùng soạn, trả lời hoặc chuyển tiếp email.
Google Drive – Nội dung được mã hoá theo mặc định khi người dùng tạo tệp mới, chẳng hạn như tài liệu, bảng tính và bản trình bày.
Lịch Google – Theo mặc định, nội dung mô tả sự kiện sẽ được mã hoá khi người dùng tạo sự kiện. Các cuộc họp trên Google Meet cũng được mã hoá theo mặc định.

Nếu bạn bật CSE theo mặc định, người dùng vẫn có thể tắt tính năng mã hoá nếu cần. Bạn có thể giám sát hành động của người dùng để tắt tính năng CSE cho Drive và Lịch bằng công cụ điều tra bảo mật. Để biết thông tin chi tiết, hãy xem bài viết Xem nhật ký và báo cáo của tính năng mã hoá phía máy khách.

Lưu ý: Hiện tại, bạn chỉ có thể đặt CSE làm mặc định cho một dịch vụ đối với các đơn vị tổ chức, chứ không thể đặt cho các nhóm cấu hình.

CSE của Gmail: Đảm bảo người dùng đã bật tính năng mã hoá email

Để gửi và nhận thư được mã hoá, người dùng cần bật cả tính năng CSE của Gmail và tính năng mã hoá email cho tài khoản của họ. Tuỳ thuộc vào gói thuê bao và nhu cầu của bạn, bạn có thể bật tính năng mã hoá theo một trong những cách sau:

Thiết lập và tải chứng chỉ S/MIME lên cho người dùng (cần có kinh nghiệm làm việc với API và tập lệnh Python). Với lựa chọn này, bạn cần bật Gmail API trước khi bật CSE cho Gmail. Để biết thông tin chi tiết, hãy xem bài viết Chỉ Gmail: Định cấu hình chứng chỉ S/MIME cho tính năng mã hoá phía máy khách.
Nếu bạn có tiện ích bổ sung Quyền kiểm soát có đảm bảo và không sử dụng tính năng mã hoá bằng khoá bảo mật vật lý cho Gmail, hãy sử dụng tính năng mã hoá hai đầu (E2EE) của Gmail bằng cách chọn chế độ Mã hoá bằng tài khoản khách khi bật tính năng CSE của Gmail (như mô tả ở phần sau trên trang này). Với lựa chọn này, bạn không cần định cấu hình chứng chỉ S/MIME cho người dùng. Để sử dụng tính năng mã hoá hai đầu của Gmail, trước tiên, bạn cần định cấu hình một nhà cung cấp dịch vụ danh tính (IdP) khách. Để biết thông tin chi tiết, hãy xem bài viết Cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách.
Quan trọng: Với lựa chọn Mã hoá bằng tài khoản khách, bạn cũng có thể cho phép người dùng trao đổi thư được mã hoá phía máy khách với bất kỳ ai bên ngoài tổ chức của bạn. Để cấp quyền truy cập này, bạn cần định cấu hình một nhà cung cấp dịch vụ danh tính (IdP) khách. Để biết thông tin chi tiết, hãy xem bài viết Cấp quyền truy cập bên ngoài vào nội dung được mã hoá phía máy khách.

Bật hoặc tắt CSE cho người dùng

Để bật tính năng CSE cho người dùng, bạn cần bật tính năng này cho các đơn vị tổ chức hoặc nhóm cấu hình mà người dùng thuộc về. Sau khi bạn bật quyền truy cập của người dùng cho CSE, người dùng có thể chọn mã hoá nội dung hay không.

Khi bật tính năng CSE cho một đơn vị tổ chức, bạn có thể đặt CSE làm chế độ mặc định cho Gmail, Google Drive và Lịch Google (cả ứng dụng web và ứng dụng di động). Bạn phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Quyền kiểm soát có đảm bảo Plus.

Để ngăn người dùng mã hoá nội dung, bạn có thể tắt tính năng CSE cho các đơn vị tổ chức hoặc nhóm cấu hình mà họ thuộc về. Nếu bạn tắt tính năng mã hoá phía máy khách cho người dùng, thì mọi nội dung được mã hoá phía máy khách hiện có vẫn được mã hoá và có thể truy cập được.

Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn Dữ liệuTuân thủMã hoá phía máy khách.

Chuyển đến phần Mã hoá phía máy khách

Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.
Trong phần Ứng dụng, hãy nhấp vào tên của dịch vụ Google mà bạn muốn bật hoặc tắt CSE cho người dùng.

Ngoài ra, trong phần Mã hoá bằng dịch vụ khoá bên ngoài hoặc Mã hoá bằng khoá phần cứng, hãy nhấp vào Chỉ định. Sau đó, trong phần Mã hoá theo ứng dụng, hãy chọn dịch vụ của Google mà bạn muốn bật tính năng CSE.
Trong bảng điều khiển bên trái, hãy chọn một đơn vị tổ chức hoặc nhóm mà bạn muốn bật hoặc tắt CSE.
Trong mục Trạng thái mã hoá phía máy khách, hãy chọn Bật hoặc Tắt.
Trong thông báo bật lên, hãy xác nhận lựa chọn của bạn.
(Chỉ dành cho Gmail) Để tự động bật tính năng mã hoá email cho tài khoản của người dùng, trong phần Mã hoá bằng tài khoản khách, hãy chọn Cho phép người dùng gửi thư được mã hoá phía máy khách cho những người nhận không sử dụng S/MIME. Bạn phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Quyền kiểm soát có đảm bảo Plus.
(Chỉ dành cho đơn vị tổ chức) Để mã hoá nội dung trên Gmail, Drive hoặc Lịch bằng dịch vụ Google theo mặc định, trong phần Bật theo mặc định, hãy đánh dấu vào hộp Bật tính năng mã hoá phía máy khách theo mặc định. Người dùng vẫn có thể tắt tính năng mã hoá.
Bạn phải có tiện ích bổ sung Quyền kiểm soát có đảm bảo hoặc Quyền kiểm soát có đảm bảo Plus.
Nhấp vào Ghi đè để giữ nguyên chế độ cài đặt của bạn nếu chế độ cài đặt CSE cho đơn vị tổ chức mẹ thay đổi.
Nếu bạn đã đặt trạng thái Bị ghi đè cho đơn vị tổ chức, hãy chọn một trạng thái:
- Kế thừa – Quay về chế độ cài đặt CSE giống với chế độ cài đặt của đơn vị tổ chức chính.
- Lưu – Lưu chế độ cài đặt mới cho CSE (ngay cả khi chế độ cài đặt của đơn vị tổ chức mẹ thay đổi).

Các thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm

Nếu bạn đã bật tính năng CSE cho Gmail

Nếu không thể sử dụng lựa chọn Mã hoá bằng tài khoản khách sau khi bật CSE cho Gmail: Đối với mỗi người dùng sẽ sử dụng CSE cho Gmail, bạn cần chuẩn bị và tải chứng chỉ S/MIME cũng như siêu dữ liệu khoá riêng tư đã mã hoá của họ lên Gmail. Để biết thông tin chi tiết, hãy xem bài viết Thiết lập CSE của Gmail cho người dùng.

Nếu người dùng gặp vấn đề khi sử dụng CSE

Kiểm tra Trung tâm cảnh báo để biết người dùng có gặp vấn đề gì khi sử dụng CSE của Gmail hay không. Để biết thêm thông tin, hãy xem bài viết Dịch vụ mã hoá phía máy khách không hoạt động.

Bật hoặc tắt tính năng mã hoá phía máy khách cho người dùng Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.