Nadat u een of meer externe sleutelservices heeft toegevoegd aan de Beheerdersconsole voor versleuteling aan de clientzijde (VCZ) van Google Workspace, moet u ze toewijzen aan organisatie-eenheden of configuratiegroepen. Als u een sleutelservice toewijst, kunnen gebruikers die u op de toegangscontrolelijst voor sleutels (Key Access Control List, KACL) van uw externe service heeft gezet, content versleutelen en ontsleutelen.
Als u versleuteling via hardwaresleutels heeft ingesteld voor Gmail VCZ, moet u dat toewijzen aan organisatie-eenheden of configuratiegroepen. Requires having the Assured Controls or Assured Controls Plus add-on.
U moet ook VCZ aanzetten voor gebruikers die content moeten kunnen versleutelen. Ga naar Versleuteling aan de clientzijde aan- of uitzetten voor meer informatie.
Voordat u begint
Gedeelte openen | Alles samenvouwen
U moet van uw externe sleutelservice de standaardservice maken voor uw hele organisatie om te zorgen dat VCZ-services correct werken in uw hele organisatie. Als VCZ bijvoorbeeld aanstaat voor een groep, maar de leden van die groep een gedeelde Drive gebruiken in een organisatie-eenheid waarvoor VCZ uitstaat, wordt de standaard sleutelservice gebruikt.
Als u uw eerste sleutelservice toevoegt aan de Beheerdersconsole, wordt u gevraagd een standaardservice toe te wijzen aan de organisatie-eenheid op het hoogste niveau. Als u nog geen standaardservice heeft toegewezen, moet u dit doen voordat u VCZ aanzet voor gebruikers. Ga naar
De standaard sleutelservice toewijzen voor uw organisatie verderop op deze pagina voor instructies.
U kunt een andere dan de standaard sleutelservice toewijzen aan een organisatie-eenheid of groep. U kunt bijvoorbeeld verschillende sleutelservices gebruiken voor de verschillende locaties van uw organisatie.
Als u eerder een sleutelservice heeft toegewezen aan een organisatie-eenheid of groep, kunt u overstappen naar een andere service. Als content al is versleuteld door de huidige sleutelservice, raden we u aan
de content te migreren naar de nieuwe service. Ga naar
Versleutelde content migreren naar een nieuwe sleutelservice verderop voor meer informatie.
Als u overstapt naar een nieuwe sleutelservice maar geen content migreert: Bestaande versleutelde content blijft alleen versleuteld door de huidige service, niet door de nieuwe service die u heeft toegevoegd. Dit betekent dat u de huidige service moet blijven gebruiken om toegang te houden tot eerder versleutelde content.
Versleuteling toewijzen met een sleutelservice
De standaard sleutelservice toewijzen voor uw organisatie
U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.
-
Log in met een
hoofdbeheerdersaccount op de Google Beheerdersconsole.
Als u geen hoofdbeheerdersaccount gebruikt, kunt u deze stappen niet uitvoeren.
- Ga naar Menu


Gegevens > Compliance > Versleuteling aan de clientzijde.
- Klik onder Versleuteling met externe sleutelservice op Toewijzen.
- Selecteer in het linkerdeelvenster de optie Alle gebruikers in dit account of de organisatie-eenheid op het hoogste niveau.
- Klik op Sleutelservice en selecteer de sleutelservice in het dropdownmenu.
- Klik op Opslaan.
Een andere sleutelservice toewijzen aan specifieke gebruikers
Als u meerdere sleutelservices heeft toegevoegd aan de Beheerdersconsole, kunt u een andere sleutelservice selecteren dan de huidige service die is toegewezen aan een organisatie-eenheid of groep.
Belangrijk: Als content al is versleuteld met de huidige sleutelservice, raden we u aan deze content te migreren naar de nieuwe service om te zorgen dat u toegang houdt tot bestaande content die is versleuteld aan de clientzijde. Ga naar Versleutelde content migreren naar een nieuwe sleutelservice verderop voor meer informatie.
U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.
-
Log in met een
hoofdbeheerdersaccount op de Google Beheerdersconsole.
Als u geen hoofdbeheerdersaccount gebruikt, kunt u deze stappen niet uitvoeren.
- Ga naar Menu


Gegevens > Compliance > Versleuteling aan de clientzijde.
- Klik onder Versleuteling met externe sleutelservice op Toewijzen.
- Selecteer in het linkerdeelvenster een organisatie-eenheid of groep waarvoor u een andere sleutelservice wilt gebruiken.
- Klik op Sleutelservice en selecteer de nieuwe sleutelservice in het dropdownmenu.
- Klik op Overschrijven om de instelling te bewaren als de VCZ-instellingen worden gewijzigd voor de bovenliggende organisatie-eenheid.
- Als Overschreven al is ingesteld voor de organisatie-eenheid, kiest u een optie:
- Overnemen: De CSE-instelling wordt teruggezet op dezelfde instelling als in de bovenliggende organisatie-eenheid.
- Opslaan: De nieuwe VCZ-instelling wordt opgeslagen (zelfs als de instelling wordt gewijzigd in de bovenliggende organisatie-eenheid).
Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatie
Versleutelde content migreren naar een nieuwe sleutelservice
Als u uw bestaande sleutelservice niet meer wilt gebruiken om content te versleutelen voor een organisatie-eenheid of groep, kunt u een nieuwe service toevoegen, de back-upservice selecteren en de versleutelde content migreren naar de nieuwe service.
Gedeelte openen | Alles samenvouwen
Welke services worden ondersteund?
Op dit moment kunt u versleutelde content migreren voor de volgende services:
- Google Drive en Google Documenten
- Google Agenda
Als u wilt overschakelen naar een andere sleutelservice voor Gmail VCZ: U moet de Gmail API gebruiken om voor elke gebruiker een nieuw S/MIME-certificaat te uploaden met sleutels die zijn verpakt door de nieuwe sleutelservice. Ga naar Alleen Gmail: versleutelingssleutels uploaden voor versleuteling aan de clientzijde voor meer informatie.
Google ontsleutelt geen content
Tijdens de migratie ontsleutelt Google nooit content. De nieuwe service vervangt de versleutelingslaag van de vorige service door een nieuwe versleutelingslaag.
Er zijn geen gevolgen voor gebruikers
Tijdens de migratie kunnen gebruikers content zonder onderbreking blijven versleutelen en versleutelde content blijven bekijken.
De migratiestatus is niet beschikbaar
U kunt de status van de voortgang niet zien en u krijgt geen meldingen van problemen.
De migratie eerst testen met een klein aantal gebruikers
We raden u aan de migratie eerst uit te proberen met een klein aantal gebruikers voordat u een volledige migratie uitvoert voor de content van alle gebruikers. Wijs de nieuwe sleutel toe aan één organisatie-eenheid of groep en start de migratie voor die gebruikers om te zien of er problemen zijn.
Na de testmigratie kunt u proberen nieuwe content te versleutelen met de nieuwe sleutelservice en checken of u eerder versleutelde content nog steeds kunt openen en bewerken.
Migratietijd beperken
Voer de volledige migratie in een rustige periode in uw organisatie uit om het aantal nieuwe items te beperken dat nog met de huidige sleutelservice wordt versleuteld.
- Als u op dit moment één sleutelservice gebruikt: Voeg de nieuwe sleutelservice toe en kies de huidige service als back-up. Ga naar Een externe sleutelservice toevoegen voor meer informatie.
- Als de sleutelservice die u momenteel gebruikt al een back-upservice heeft: Verwijder de back-up van de sleutelservice. Ga naar De back-up van een sleutelservice verwijderen voor meer informatie. Voeg dan de nieuwe sleutelservice toe en selecteer de huidige service als back-up.
Belangrijk: Als u momenteel content migreert vanuit de back-up die u wilt verwijderen, wacht u tot de migratie is afgerond. Als u de back-up verwijdert, wordt de migratie namelijk meteen gestopt. Ga naar Stap 4: Controleer of de migratie is afgerond verderop voor meer informatie.
Als er services zijn met eerder versleutelde content die kan worden gemigreerd, kunt u de migratie starten nadat u de nieuwe sleutelservice voor een organisatie-eenheid of groep heeft geselecteerd.
De migratietijd hangt af van de hoeveelheid content die is versleuteld met de huidige sleutelservice en de verwerkingstijd van de nieuwe sleutelservice. Het kan een paar uur tot een paar dagen duren voordat u vooruitgang opmerkt in de contentmigratie.
U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.
-
Log in met een
hoofdbeheerdersaccount op de Google Beheerdersconsole.
Als u geen hoofdbeheerdersaccount gebruikt, kunt u deze stappen niet uitvoeren.
- Ga naar Menu


Gegevens > Compliance > Versleuteling aan de clientzijde.
- Klik onder Versleuteling met externe sleutelservice op Toewijzen.
- Selecteer in het linkerdeelvenster de organisatie-eenheid of groep waarvan u de content wilt migreren naar een nieuwe sleutelservice.
- Klik onder Migratie op Aan.
Opmerking: Deze optie is alleen beschikbaar als er onder Migratie services met eerder versleutelde content staan.
- Vink in het bevestigingsbericht het vakje aan om te bevestigen dat u begrijpt dat de migratie niet ongedaan kan worden gemaakt nadat deze is gestart. Klik dan op Opslaan.
Het migratieproces wordt gestart.
U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.
-
Log in met een
hoofdbeheerdersaccount op de Google Beheerdersconsole.
Als u geen hoofdbeheerdersaccount gebruikt, kunt u deze stappen niet uitvoeren.
- Ga naar Menu


Gegevens > Compliance > Versleuteling aan de clientzijde.
- Klik onder Versleuteling met externe sleutelservice op Toewijzen.
- Selecteer in het linkerdeelvenster de organisatie-eenheid of groep waarvoor u versleutelde content wilt migreren naar een nieuwe sleutelservice.
- Onder Migratie ziet u het aantal items dat is versleuteld met de vorige service (nu de back-upservice).
Als er geen versleutelde items zijn, is de migratie afgerond.
Versleuteling toewijzen met hardwaresleutels (alleen Gmail)
Als u versleuteling via hardwaresleutels heeft ingesteld voor alle of sommige gebruikers in uw organisatie om Gmail te versleutelen, moet u deze toewijzen aan die gebruikers.
Als u ook een versleutelingssleutelservice gebruikt voor Gmail, kunt u versleuteling via hardwaresleutels toewijzen aan dezelfde gebruikers als de sleutelservice. Deze gebruikers versleutelen Gmail echter met de sleutelservice of een hardwaresleutel, afhankelijk van hoe u de versleutelingssleutels instelt voor Gmail. Ga voor meer informatie naar Alleen Gmail: de Gmail API instellen voor versleuteling aan de clientzijde.
U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.
-
Log in met een
hoofdbeheerdersaccount op de Google Beheerdersconsole.
Als u geen hoofdbeheerdersaccount gebruikt, kunt u deze stappen niet uitvoeren.
- Ga naar Menu


Gegevens > Compliance > Versleuteling aan de clientzijde.
- Klik onder Versleuteling met hardwaresleutels op Toewijzen.
- Selecteer in het linkerdeelvenster een organisatie-eenheid of groep waarvoor u een andere sleutelservice wilt gebruiken.
- Klik op Versleuteling via hardwaresleutels en vink het vakje aan.
- Als u een onderliggende organisatie-eenheid heeft geselecteerd, klikt u op Overschrijven om de instelling te behouden als de VCZ-instellingen voor de bovenliggende organisatie-eenheid worden gewijzigd.
- Als Overschreven al is ingesteld voor de organisatie-eenheid, kiest u een optie:
- Overnemen: De CSE-instelling wordt teruggezet op dezelfde instelling als in de bovenliggende organisatie-eenheid.
- Opslaan: De nieuwe VCZ-instelling wordt opgeslagen (zelfs als de instelling wordt gewijzigd in de bovenliggende organisatie-eenheid).
Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatie