Unterstützte Versionen für diese Funktion: Enterprise Plus; Education Standard und Education Plus. Versionen vergleichen
Als Administrator können Sie die clientseitige Verschlüsselung (Client-side Encryption, CSE) in Google Workspace für Nutzer aktivieren, die verschlüsselte Inhalte mit den folgenden Diensten erstellen müssen:
| Für diesen Dienst... | CSE aktivieren für... |
|---|---|
| Google Drive |
Nutzer, die clientseitig verschlüsselte Dokumente, Tabellen und Präsentationen erstellen oder clientseitig verschlüsselte Dateien in Drive hochladen müssen Für Nutzer, die lediglich für sie freigegebene Dateien ansehen und bearbeiten, ist die Funktion nicht erforderlich. |
| Gmail | Nutzer, die verschlüsselte Nachrichten senden oder empfangen müssen
Bevor Sie die clientseitige Verschlüsselung für Gmail aktivieren: Aktivieren Sie die Gmail API und laden Sie die Verschlüsselungsschlüssel der Nutzer hoch. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: Verschlüsselungsschlüssel für die clientseitige Verschlüsselung hochladen. |
| Google Kalender |
Nutzer, die clientseitig verschlüsselte Kalendertermine erstellen müssen. Außerdem müssen Sie die clientseitige Verschlüsselung für Google Drive und Google Meet für diese Nutzer aktivieren, wenn sie clientseitig verschlüsselte Dokumente anhängen und clientseitig verschlüsselte Videokonferenzen hosten sollen. Für Eingeladene ist die Funktion nicht erforderlich. |
| Google Meet |
Nutzer, die clientseitig verschlüsselte Onlinebesprechungen hosten müssen Für andere Besprechungsteilnehmer müssen Sie die clientseitige Verschlüsselung nicht aktivieren. |
Für Nutzer, die verschlüsselte Inhalte nur aufrufen oder bearbeiten, ist Folgendes zu beachten:
- Interne Nutzer wurden der Key Access Control List (KACL) hinzugefügt. Weitere Informationen finden Sie im Hilfeartikel Schlüsseldienst für clientseitige Verschlüsselung einrichten.
- Externe Nutzer haben Zugriff auf Ihre clientseitig verschlüsselten Inhalte. Weitere Informationen finden Sie im Hilfeartikel Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren.
Hinweis
Abschnitt öffnen | Alle minimieren
- Wählen Sie einen Schlüsseldienst aus.
- Stellen Sie eine Verbindung zu Ihrem Identitätsanbieter (Identity Provider, IdP) her.
- Richten Sie Ihren externen Schlüsseldienst oder die Verschlüsselung von Hardwareschlüsseln ein.
- Weisen Sie Organisationseinheiten oder Gruppen einen Schlüsseldienst oder die Verschlüsselung mit Hardwareschlüsseln zu.
Wenn Sie mehrere Schlüsseldienste verwenden, achten Sie darauf, dass sie den entsprechenden Organisationseinheiten oder Konfigurationsgruppen zugewiesen sind.
Sie müssen die Nutzer den Organisationseinheiten oder Gruppen zuordnen, für die Sie die clientseitige Verschlüsselung für alle oder bestimmte Dienste aktivieren möchten.
Erfordert das Add-on „Assured Controls“ oder „Assured Controls Plus“.
Wenn Sie die clientseitige Verschlüsselung für Organisationseinheiten aktivieren, können Sie die clientseitige Verschlüsselung als Standardeinstellung für die folgenden Dienste festlegen, einschließlich Web- und mobiler Apps:
- Gmail: Inhalte werden standardmäßig verschlüsselt, wenn Nutzer eine E-Mail schreiben, beantworten oder weiterleiten.
- Google Drive: Inhalte werden standardmäßig verschlüsselt, wenn Nutzer neue Dateien erstellen, z. B. Dokumente, Tabellen und Präsentationen.
- Google Kalender: Terminbeschreibungen werden standardmäßig verschlüsselt, wenn Nutzer einen Termin erstellen. Auch Videokonferenzen in Google Meet werden standardmäßig verschlüsselt.
Wenn Sie die clientseitige Verschlüsselung standardmäßig aktivieren, können Nutzer bei Bedarf weiterhin die Verschlüsselung deaktivieren. Mit dem Sicherheits-Prüftool können Sie Nutzeraktionen im Blick behalten, um die clientseitige Verschlüsselung für Google Drive und Google Kalender zu deaktivieren. Weitere Informationen finden Sie im Hilfeartikel Protokolle und Berichte zur clientseitigen Verschlüsselung ansehen.
Hinweis: Die clientseitige Verschlüsselung als Standard für einen Dienst ist derzeit nur für Organisationseinheiten und nicht für Konfigurationsgruppen verfügbar.
Clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren
Wenn Sie die clientseitige Verschlüsselung für Nutzer benötigen, aktivieren Sie sie für die Organisationseinheiten oder Konfigurationsgruppen, denen diese Nutzer angehören. Wenn Sie den Nutzerzugriff für die clientseitige Verschlüsselung aktivieren, können Nutzer auswählen, ob sie Inhalte verschlüsseln möchten.
Wenn Sie die clientseitige Verschlüsselung für eine Organisationseinheit aktivieren, können Sie die clientseitige Verschlüsselung als Standard für Gmail, Google Drive und Google Kalender für Web- und mobile Apps festlegen. Erfordert das Add-on „Assured Controls“ oder „Assured Controls Plus“.
Wenn Sie verhindern möchten, dass Nutzer Inhalte verschlüsseln, können Sie die clientseitige Verschlüsselung für die Organisationseinheiten oder Konfigurationsgruppen, zu denen sie gehören, deaktivieren. Wenn Sie die clientseitige Verschlüsselung für Nutzer deaktivieren, bleiben alle clientseitig verschlüsselten Inhalte verschlüsselt und zugänglich.
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
-
Melden Sie sich mit einem Super Admin-Konto in Google Admin-Konsole an.
Wenn Sie kein Super Admin-Konto verwenden, können Sie diese Schritte nicht ausführen.
- Klicken Sie auf das Dreistrich-Menü
Daten > Compliance > Clientseitige Verschlüsselung.
- Klicken Sie unter Apps auf den Namen des Google-Dienstes, für den Sie die CSE für Nutzer aktivieren oder deaktivieren möchten.
Alternativ können Sie unter Verschlüsselung mit externem Schlüsseldienst oder Verschlüsselung mit Hardwareschlüsseln auf Zuweisen klicken. Wählen Sie dann unter Verschlüsselung nach App den Google-Dienst aus, für den Sie die clientseitige Verschlüsselung aktivieren möchten.
- Wählen Sie links die entsprechende Organisationseinheit oder Gruppe aus.
- Klicken Sie unter Nutzerzugriff auf An oder Aus.
- Bestätigen Sie Ihre Auswahl im Pop-up-Fenster.
- Optional für nur Organisationseinheiten: Klicken Sie das Kästchen Clientseitige Verschlüsselung standardmäßig aktivieren an, um Inhalte aus Gmail, Drive oder Google Kalender standardmäßig mit dem Google-Dienst zu verschlüsseln. Nutzer haben weiterhin die Möglichkeit, die Verschlüsselung zu deaktivieren.
Erfordert das Add-on „Assured Controls“ oder „Assured Controls Plus“. - Klicken Sie auf Überschreiben, um Ihre Einstellung beizubehalten, wenn die CSE-Einstellungen für die übergeordnete Organisationseinheit geändert werden.
- Wenn für die Organisationseinheit bereits Überschrieben festgelegt ist, wählen Sie eine Option aus:
- Übernehmen: Die Einstellung der übergeordneten Organisationseinheit wird übernommen.
- Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
Wenn Sie die clientseitige Verschlüsselung für Gmail aktiviert haben
Für jeden Nutzer, der die clientseitige Verschlüsselung für Gmail verwendet, müssen Sie die S/MIME-Zertifikate und die verschlüsselten Metadaten des privaten Schlüssels in Gmail vorbereiten und hochladen. Weitere Informationen finden Sie im Hilfeartikel Gmail-CSE für Nutzer einrichten.
Wenn Nutzer Probleme bei der Verwendung der clientseitigen Verschlüsselung haben
Sehen Sie in der Benachrichtigungszentrale nach, falls Nutzer Probleme bei der Verwendung der clientseitigen Verschlüsselung haben. Weitere Informationen finden Sie unter Dienst für clientseitige Verschlüsselung ist nicht verfügbar.
