เปิดหรือปิดการเข้ารหัสฝั่งไคลเอ็นต์ให้กับผู้ใช้

ขอแจ้งให้ทราบว่า ขั้นตอนเหล่านี้เป็นขั้นตอนสำหรับผู้ดูแลระบบที่จัดการบัญชี Google ให้กับบริษัท โรงเรียน หรือกลุ่มอื่นๆ การเข้ารหัสฝั่งไคลเอ็นต์ไม่พร้อมใช้งานกับบัญชี gmail.com ส่วนบุคคล

รุ่นที่รองรับฟีเจอร์นี้ได้แก่ Frontline Plus; Enterprise Plus; Education Standard และ Education Plus เปรียบเทียบรุ่นของคุณ

ในฐานะผู้ดูแลระบบ คุณสามารถเปิดการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ให้กับผู้ใช้ที่ต้องการสร้างเนื้อหาที่เข้ารหัสด้วยบริการต่อไปนี้

สำหรับบริการนี้...	เปิด CSE สำหรับ...
Google ไดรฟ์	ผู้ใช้ที่ต้องการสร้างเอกสาร สเปรดชีต และงานนำเสนอที่เข้ารหัสฝั่งไคลเอ็นต์ หรืออัปโหลดไฟล์ที่เข้ารหัสฝั่งไคลเอ็นต์ไปยังไดรฟ์ โดยคุณไม่จำเป็นต้องเปิด CSE ให้กับผู้ใช้ที่เพียงต้องการดูและแก้ไขไฟล์ที่แชร์กับตนเท่านั้น
Gmail	ผู้ใช้ที่ต้องการรับส่งข้อความที่เข้ารหัส ก่อนเปิด CSE สำหรับ Gmail: ตรวจสอบตัวเลือกในการเปิดใช้การเข้ารหัสอีเมลสำหรับผู้ใช้ ซึ่งเป็นสิ่งที่ต้องทำนอกเหนือจากการเปิดใช้ CSE ของ Gmail โปรดดูรายละเอียดที่หัวข้อ CSE ของ Gmail: ตรวจสอบว่าได้เปิดใช้การเข้ารหัสสำหรับผู้ใช้แล้วต่อไปในหน้านี้
Google ปฏิทิน	ผู้ใช้ที่ต้องการสร้างกิจกรรมในปฏิทินที่เข้ารหัสฝั่งไคลเอ็นต์ รวมทั้งต้องเปิด CSE สำหรับไดรฟ์และ Meet ให้กับผู้ใช้เหล่านี้ด้วยในกรณีที่ต้องการให้ผู้ใช้แนบเอกสารที่เข้ารหัสฝั่งไคลเอ็นต์และจัดการประชุมที่เข้ารหัสฝั่งไคลเอ็นต์ แต่ไม่จำเป็นต้องเปิด CSE ให้กับผู้ได้รับเชิญให้เข้าร่วมกิจกรรม
Google Meet	ผู้ใช้ที่ต้องการจัดการประชุมออนไลน์ที่เข้ารหัสฝั่งไคลเอ็นต์ โดยไม่จำเป็นต้องเปิด CSE ให้ผู้เข้าร่วมประชุมคนอื่นๆ ในการประชุม

สำหรับผู้ใช้ที่ต้องการเพียงแค่ดูหรือแก้ไขเนื้อหาที่เข้ารหัส โปรดตรวจสอบว่าได้ดำเนินการดังนี้

ผู้ใช้ภายในอยู่ในรายการควบคุมการเข้าถึงคีย์ (KACL) ของบริการจัดการคีย์ โปรดดูรายละเอียดที่หัวข้อตั้งค่าบริการจัดการคีย์สำหรับการเข้ารหัสฝั่งไคลเอ็นต์
ผู้ใช้ภายนอกมีสิทธิ์เข้าถึงเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ของคุณ โปรดดูรายละเอียดที่หัวข้อให้สิทธิ์เข้าถึงจากภายนอกสำหรับเนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์

ข้อควรทราบก่อนที่จะเริ่มต้น

เปิดส่วน | ยุบทั้งหมด

ตรวจสอบว่าคุณได้ดำเนินการตามขั้นตอนเหล่านี้แล้ว

เลือกบริการจัดการคีย์
เชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัว (IdP)
ตั้งค่าบริการจัดการคีย์ภายนอกหรือการเข้ารหัสคีย์ฮาร์ดแวร์
มอบหมายบริการจัดการคีย์หรือการเข้ารหัสคีย์ฮาร์ดแวร์ให้กับหน่วยขององค์กรหรือกลุ่ม
หากใช้บริการจัดการคีย์หลายราย โปรดตรวจสอบว่าได้มอบหมายบริการเหล่านั้นให้กับหน่วยขององค์กรหรือกลุ่มการกำหนดค่าที่เหมาะสมแล้ว

ทำความเข้าใจข้อจำกัดในการใช้ CSE กับบริการที่รองรับ

ดูข้อมูลเพิ่มเติมเกี่ยวกับฟีเจอร์ที่ผู้ใช้จะใช้งานไม่ได้เมื่อเลือกใช้ CSE ที่หัวข้อประสบการณ์ของผู้ใช้ CSE

เพิ่มผู้ใช้ในหน่วยขององค์กรและกลุ่ม หากจำเป็น

ตรวจสอบว่าคุณได้นําผู้ใช้ไปไว้ในหน่วยขององค์กรหรือกลุ่มที่ต้องการเปิดใช้ CSE แล้วสําหรับบริการทั้งหมดหรือเฉพาะบางรายการ

โปรดดูรายละเอียดการสร้างหน่วยขององค์กรที่หัวข้อเพิ่มหน่วยขององค์กร
โปรดดูรายละเอียดเกี่ยวกับการสร้างและการใช้กลุ่มการกำหนดค่าที่หัวข้อปรับแต่งการตั้งค่าบริการด้วยกลุ่มการกำหนดค่า

คุณสามารถกำหนดให้ CSE เป็นการตั้งค่าเริ่มต้นสำหรับแอปของผู้ใช้ได้

ต้องมีส่วนเสริมของ Assured Controls หรือ Assured Controls Plus

เมื่อเปิด CSE สำหรับหน่วยขององค์กร คุณสามารถกำหนดให้ CSE เป็นการตั้งค่าเริ่มต้นสำหรับบริการต่อไปนี้ ซึ่งรวมถึงเว็บและแอปบนอุปกรณ์เคลื่อนที่

Gmail - เนื้อหาจะได้รับการเข้ารหัสโดยค่าเริ่มต้นเมื่อผู้ใช้เขียน ตอบ หรือส่งต่ออีเมล
Google ไดรฟ์ - เนื้อหาจะได้รับการเข้ารหัสโดยค่าเริ่มต้นเมื่อผู้ใช้สร้างไฟล์ใหม่ เช่น เอกสาร สเปรดชีต และงานนำเสนอ
Google ปฏิทิน - ระบบจะเข้ารหัสคำอธิบายกิจกรรมโดยค่าเริ่มต้นเมื่อผู้ใช้สร้างกิจกรรม และการประชุม Google Meet จะได้รับการเข้ารหัสโดยค่าเริ่มต้นด้วย

หากคุณเปิด CSE โดยค่าเริ่มต้น ผู้ใช้จะยังคงมีตัวเลือกในการปิดการเข้ารหัสได้หากจำเป็น คุณสามารถตรวจสอบการดำเนินการของผู้ใช้เพื่อปิด CSE สำหรับไดรฟ์และปฏิทินได้โดยใช้เครื่องมือตรวจสอบความปลอดภัย โปรดดูรายละเอียดที่หัวข้อดูบันทึกและรายงานสำหรับการเข้ารหัสฝั่งไคลเอ็นต์

หมายเหตุ: ขณะนี้การตั้งค่า CSE เป็นค่าเริ่มต้นสำหรับบริการจะใช้ได้กับหน่วยขององค์กรเท่านั้น แต่จะใช้กับกลุ่มการกำหนดค่าไม่ได้

CSE ของ Gmail: ตรวจสอบว่าได้เปิดใช้การเข้ารหัสสำหรับผู้ใช้แล้ว

หากต้องการส่งและรับข้อความที่เข้ารหัส ผู้ใช้จะต้องเปิดใช้ทั้ง CSE ของ Gmail และการเข้ารหัสอีเมลในบัญชีของตน คุณสามารถเปิดใช้การเข้ารหัสได้โดยวิธีใดวิธีหนึ่งต่อไปนี้ ขึ้นอยู่กับการสมัครใช้บริการและความต้องการ

กำหนดค่าและอัปโหลดใบรับรอง S/MIME ให้กับผู้ใช้ (ต้องมีประสบการณ์การทำงานกับ API และสคริปต์ Python) เมื่อใช้ตัวเลือกนี้ คุณต้องเปิดใช้ Gmail API ก่อนเปิด CSE สำหรับ Gmail โปรดดูรายละเอียดที่หัวข้อ Gmail เท่านั้น: กำหนดค่าใบรับรอง S/MIME สำหรับการเข้ารหัสฝั่งไคลเอ็นต์
หากคุณมีส่วนเสริม Assured Controls และไม่ได้ใช้การเข้ารหัสคีย์ฮาร์ดแวร์สำหรับ Gmail ให้เลือกตัวเลือกส่งให้ใครก็ได้ (เบต้า) เมื่อเปิด CSE ของ Gmail (ตามที่อธิบายต่อไปในหน้านี้) โดยเมื่อใช้ตัวเลือกนี้ คุณไม่จำเป็นต้องกำหนดค่าใบรับรอง S/MIME สําหรับผู้ใช้
หมายเหตุ: เมื่อใช้ตัวเลือกส่งให้ใครก็ได้ คุณจะอนุญาตให้ผู้ใช้แลกเปลี่ยนข้อความที่เข้ารหัสฝั่งไคลเอ็นต์กับทุกคนที่อยู่นอกองค์กรได้ด้วย อย่างไรก็ตาม ผู้รับภายนอกในรุ่นเบต้านี้ต้องใช้ Gmail โดยใช้บัญชี Google Workspace หรือบัญชี Gmail สำหรับผู้ใช้ทั่วไป โดยจะมีการรองรับโปรแกรมรับส่งอีเมลอื่นๆ ในรุ่นถัดไป

เปิดหรือปิด CSE ให้กับผู้ใช้

หากต้องการเปิดใช้ CSE ให้กับผู้ใช้ คุณต้องเปิด CSE ให้กับหน่วยขององค์กรหรือกลุ่มการกำหนดค่าที่ผู้ใช้ดังกล่าวเป็นสมาชิกอยู่ เมื่อเปิดการเข้าถึงของผู้ใช้สำหรับ CSE ผู้ใช้จะเลือกได้ว่าจะเข้ารหัสเนื้อหาหรือไม่

เมื่อเปิด CSE ให้กับหน่วยขององค์กร คุณสามารถกำหนดให้ CSE เป็นค่าเริ่มต้นสำหรับ Gmail, Google ไดรฟ์ และ Google ปฏิทินสำหรับทั้งเว็บและแอปบนอุปกรณ์เคลื่อนที่ได้ ต้องมีส่วนเสริมของ Assured Controls หรือ Assured Controls Plus

หากต้องการป้องกันไม่ให้ผู้ใช้เข้ารหัสเนื้อหา ให้ปิด CSE ให้กับหน่วยขององค์กรหรือกลุ่มการกำหนดค่าที่ผู้ใช้ดังกล่าวเป็นสมาชิกอยู่ หากปิดใช้ CSE ให้กับผู้ใช้ เนื้อหาที่เข้ารหัสฝั่งไคลเอ็นต์ที่มีอยู่จะยังคงมีการเข้ารหัสและเข้าถึงได้

คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบขั้นสูง
หากไม่ได้ใช้บัญชีผู้ดูแลระบบขั้นสูง คุณจะทำตามขั้นตอนเหล่านี้ไม่ได้
ไปที่เมนู ข้อมูล > การปฏิบัติตามข้อกำหนด > การเข้ารหัสฝั่งไคลเอ็นต์
คลิกชื่อบริการของ Google ที่ต้องการเปิดหรือปิด CSE ให้กับผู้ใช้ในส่วนแอป
คุณยังสามารถไปในส่วนการเข้ารหัสด้วยบริการจัดการคีย์ภายนอกหรือการเข้ารหัสด้วยคีย์ฮาร์ดแวร์ แล้วคลิกกำหนด จากนั้นในส่วนการเข้ารหัสตามแอป ให้เลือกบริการของ Google ที่ต้องการเปิด CSE
ในแผงด้านซ้าย ให้เลือกหน่วยขององค์กรหรือกลุ่มที่ต้องการเปิดหรือปิด CSE
ในส่วนสถานะการเข้ารหัสฝั่งไคลเอ็นต์ ให้เลือกเปิดหรือปิด
ยืนยันการเลือกในข้อความป๊อปอัป
(ไม่บังคับสำหรับ Gmail เท่านั้น) หากต้องการใช้การเข้ารหัสอีเมลแบบเปิดใช้โดยอัตโนมัติสำหรับบัญชีของผู้ใช้ ให้เลือกอนุญาตให้ผู้ใช้ส่งข้อความที่เข้ารหัสฝั่งไคลเอ็นต์ถึงผู้รับที่ไม่ได้ใช้ S/MIME ในส่วนส่งให้ใครก็ได้ ต้องมีส่วนเสริมของ Assured Controls หรือ Assured Controls Plus
(ไม่บังคับสำหรับหน่วยขององค์กรเท่านั้น) หากต้องการเข้ารหัสเนื้อหา Gmail, ไดรฟ์ หรือปฏิทินด้วยบริการของ Google โดยค่าเริ่มต้น ให้เลือกช่องเปิดใช้การเข้ารหัสฝั่งไคลเอ็นต์โดยค่าเริ่มต้นในส่วนเปิดโดยค่าเริ่มต้น โดยผู้ใช้จะยังคงเลือกปิดการเข้ารหัสได้
ต้องมีส่วนเสริมของ Assured Controls หรือ Assured Controls Plus
คลิกลบล้าง เพื่อเก็บการตั้งค่าไว้หากมีการเปลี่ยนแปลงกับการตั้งค่า CSE สำหรับหน่วยขององค์กรระดับบนสุด
หากมีการตั้งค่าลบล้างให้กับหน่วยขององค์กรแล้ว ให้เลือกตัวเลือกต่อไปนี้
- รับค่า เปลี่ยนกลับไปใช้การตั้งค่า CSE เดียวกันกับองค์กรระดับบน
- บันทึก บันทึกการตั้งค่า CSE ใหม่ของคุณ (แม้ว่าการตั้งค่าสำหรับหน่วยขององค์กรหลักจะเปลี่ยนไป)

การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม

หากเปิด CSE สำหรับ Gmail

หากไม่สามารถใช้ตัวเลือกส่งให้ใครก็ได้หลังจากส่ง CSE สำหรับ Gmail แล้ว คุณต้องเตรียมและอัปโหลดใบรับรอง S/MIME และข้อมูลเมตาคีย์ส่วนตัวที่เข้ารหัสไปยัง Gmail สำหรับผู้ใช้แต่ละรายที่จะใช้ CSE ของ Gmail โปรดดูรายละเอียดที่หัวข้อตั้งค่า CSE ของ Gmail ให้กับผู้ใช้

กรณีที่ผู้ใช้พบปัญหาในการใช้ CSE

ตรวจสอบศูนย์แจ้งเตือนหากผู้ใช้พบปัญหาในการใช้ CSE ของ Gmail โปรดดูข้อมูลเพิ่มเติมที่หัวข้อบริการการเข้ารหัสฝั่งไคลเอ็นต์ไม่พร้อมใช้งาน

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร