支持此功能的版本:一线员工 Plus 版;企业 Plus 版;教育标准版和教育 Plus 版。 版本对比
作为管理员,您可以为需要使用以下服务创建加密内容的用户启用 Google Workspace 客户端加密功能 (CSE):
| 对于此服务… | 为以下情况启用 CSE... |
|---|---|
| Google 云端硬盘 |
需要创建客户端加密文档、电子表格和演示文稿的用户,或需要将客户端加密文件上传到云端硬盘的用户。 如果用户只需要查看和编辑共享给自己的文件,则您无需为这类用户启用 CSE。 |
| Gmail |
需要发送或接收加密邮件的用户。 在启用 Gmail CSE 之前:查看为用户启用邮件加密的选项。除了启用 Gmail CSE 之外,您还必须执行此操作。如需了解详情,请参阅本页面下文中的 Gmail CSE:确保为用户启用加密功能。 |
| Google 日历 |
需要创建客户端加密日历活动的用户。如果您想让这些用户附加客户端加密文档并主持客户端加密会议,则还需要为他们启用云端硬盘和 Meet 的 CSE。 您无需为活动邀请对象启用 CSE。 |
| Google Meet |
需要主持客户端加密在线会议的用户。 无需为其他会议参与者启用 CSE。 |
对于只需查看或编辑加密内容的用户,请确保:
- 将内部用户列入您的密钥服务的密钥访问控制列表 (KACL)。有关详情,请参阅设置密钥服务以启用客户端加密功能。
- 外部用户有权访问您的客户端加密内容。有关详情,请参阅提供对客户端加密内容的外部访问权限。
准备工作
确保您已完成以下步骤
- 选择密钥服务。
- 连接到您的身份提供方 (IdP)。
- 设置外部密钥服务或硬件密钥加密。
- 向组织部门或群组分配密钥服务或硬件密钥加密。
如果您要使用多项密钥服务,请确保已将这些服务分配给相应的组织部门或配置群组。
了解针对受支持的服务使用 CSE 时存在的限制
如需详细了解用户在选择使用 CSE 后无法使用的功能,请参阅 CSE 用户体验。
如有需要,请向组织部门和群组添加用户
请确保您已将用户添加到要为所有或特定服务启用 CSE 的组织部门或群组。
- 如需详细了解如何创建组织部门,请参阅添加组织部门。
- 如需详细了解如何创建和使用配置群组,请参阅通过配置群组来自定义服务设置。
您可以将 CSE 设为用户应用的默认设置
为组织部门启用 CSE 时,您可以将 CSE 设为以下服务的默认设置(包括 Web 应用和移动应用):
- Gmail - 当用户撰写、回复或转发电子邮件时,内容在默认情况下会进行加密。
- Google 云端硬盘 - 当用户创建新文件(例如文档、电子表格和演示文稿)时,内容在默认情况下会进行加密。
- Google 日历 - 当用户创建活动时,系统会默认对活动说明进行加密。默认情况下,Google Meet 会议也会加密。
如果您默认启用 CSE,用户仍然可以在需要时选择停用加密功能。您可以使用安全调查工具监控用户为云端硬盘和日历停用 CSE 的操作。有关详情,请参阅查看客户端加密功能的日志和报告。
注意:目前,将 CSE 设为服务的默认设置仅适用于组织部门,不适用于配置群组。
Gmail CSE:确保为用户启用电子邮件加密功能
如需发送和接收加密邮件,用户需要为其账号同时启用 Gmail CSE 和邮件加密功能。您可以通过以下任一方式启用加密功能,具体取决于您的订阅和需求:
- 为用户配置和上传 S/MIME 证书(需要具有使用 API 和 Python 脚本的经验)。选择此选项后,您需要先启用 Gmail API,然后启用 Gmail CSE。如需了解详情,请参阅仅限 Gmail:为客户端加密功能配置 S/MIME 证书。
- 如果您具有安全管控加购项,并且未为 Gmail 使用硬件密钥加密,则在启用 Gmail CSE 时,请选择通过访客账号进行加密选项,以使用 Gmail 端到端加密 (E2EE) 功能(如本页面下文中所述)。使用此选项时,您无需为用户配置 S/MIME 证书。如需使用 Gmail E2EE,您需要先配置访客身份提供方 (IdP)。有关详情,请参阅提供对客户端加密内容的外部访问权限。
重要提示:借助通过访客账号进行加密选项,您还可以允许用户与组织外部的任何人有客户端加密邮件往来。如需提供此访问权限,您需要配置访客身份提供方 (IdP)。有关详情,请参阅提供对客户端加密内容的外部访问权限。
为用户启用或停用 CSE
若要为用户启用 CSE,您需要开启用户所属组织部门或配置群组的 CSE。您启用针对 CSE 的用户访问权限后,用户便可以选择是否加密内容。
为组织部门启用 CSE 时,您可以将 CSE 设为 Gmail、Google 云端硬盘和 Google 日历的默认设置(针对 Web 应用和移动应用)。 需要拥有安全管控或安全管控 Plus 版加购项。
若要禁止用户加密内容,您可以为用户所属的组织部门或配置群组停用 CSE。如果您为用户停用了 CSE,所有现有的客户端加密内容都将保持加密状态,并可供访问。
您必须以超级用户身份登录,才能执行此任务。-
在 Google 管理控制台中,依次点击“菜单”图标
数据法规遵从客户端加密。您必须以超级用户身份登录,才能执行此任务。
在应用下方,找到您要为用户的哪些 Google 服务启用或停用 CSE,然后点击相应服务的名称。
或者,在使用外部密钥服务进行加密或使用硬件密钥进行加密下方,点击分配。然后,在按应用加密下方,选择要为其启用 CSE 的 Google 服务。
在左侧面板中,选择您要为哪些组织部门或群组启用或停用 CSE。
在客户端加密状态下,选择开启或关闭。
在弹出的消息窗口中,确认您的选择。
(仅限 Gmail,可选)如需为用户的账号自动启用电子邮件加密功能,请在通过访客账号进行加密下方,选择允许用户向不使用 S/MIME 的收件人发送客户端加密的邮件。 需要拥有安全管控或安全管控 Plus 版加购项。
(仅限组织部门,可选)如需默认使用 Google 服务加密 Gmail、云端硬盘或日历内容,请在默认开启下方,勾选默认启用客户端加密功能复选框。用户仍然可以选择停用加密功能。
需要拥有安全管控或安全管控 Plus 版加购项。点击覆盖,以便在上级组织部门的 CSE 设置发生变化时保持您的当前设置不变。
如果为组织部门设置了已覆盖,请根据需要选择操作步骤:
- 继承:恢复为与上级组织部门相同的 CSE 设置。
- 保存:保存新的 CSE 设置(即使上级组织部门的设置发生变化也应用新设置)。
如果您为 Gmail 启用了 CSE
如果您在启用 Gmail CSE 后无法使用通过访客账号进行加密选项:对于要使用 Gmail CSE 的每位用户,您都需要准备其 S/MIME 证书和加密的私钥元数据,并将其上传到 Gmail。如需了解详情,请参阅为用户设置 Gmail CSE。
如果用户在使用 CSE 时遇到问题
如果用户在使用 Gmail CSE 时遇到任何问题,请查看提醒中心。如需了解详情,请参阅客户端加密服务不可用。