Nutzern die clientseitige Verschlüsselung zuweisen

Nachdem Sie in der Admin-Konsole einen oder mehrere externe Schlüsseldienste für die clientseitige Verschlüsselung (Client-side Encryption, CSE) in Google Workspace hinzugefügt haben, müssen Sie sie Organisationseinheiten oder Konfigurationsgruppen zuweisen. Wenn Sie einen Schlüsseldienst zuweisen, können Nutzer, die Sie der KACL (Key Access Control List) Ihres externen Dienstes hinzugefügt haben, Inhalte verschlüsseln und entschlüsseln.

Wenn Sie die Verschlüsselung mit Hardwareschlüsseln für die clientseitige Verschlüsselung in Gmail eingerichtet haben, müssen Sie sie Organisationseinheiten oder Konfigurationsgruppen zuweisen. Erfordert das Add-on „Assured Controls“ oder „Assured Controls Plus“.

Aktivieren Sie außerdem die clientseitige Verschlüsselung für Nutzer, die Inhalte verschlüsseln müssen. Weitere Informationen finden Sie im Hilfeartikel Clientseitige Verschlüsselung aktivieren oder deaktivieren.

Hinweise

Abschnitt öffnen  |  Alle minimieren

So bereiten Sie sich vor
Weisen Sie einen standardmäßigen Schlüsseldienst zu.
Damit die CSE organisationsweit richtig funktioniert, müssen Sie einen externen Schlüsseldienst als Standarddienst für die gesamte Organisation festlegen. Beispiel: Wenn die clientseitige Verschlüsselung für eine Gruppe aktiviert ist, die jedoch eine geteilte Ablage in einer Organisationseinheit verwendet, für die die Funktion deaktiviert ist, wird der Standardschlüsseldienst verwendet. 
Wenn Sie Ihren ersten Schlüsseldienst in der Admin-Konsole hinzufügen, werden Sie aufgefordert, einen Standarddienst für die oberste Organisationseinheit zuzuweisen. Wenn Sie noch keinen Standarddienst zugewiesen haben, sollten Sie das unbedingt tun, bevor Sie die clientseitige Verschlüsselung für Nutzer aktivieren. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite im Abschnitt Standardschlüsseldienst für Ihre Organisation zuweisen.
Mehrere Schlüsseldienste für verschiedene Nutzer verwenden
Sie können einen anderen Schlüsseldienst als den Standarddienst für eine Organisationseinheit oder Gruppe festlegen. Sie können beispielsweise verschiedene Schlüsseldienste für verschiedene Standorte Ihrer Organisation verwenden.
Wichtig: Wenn Inhalte bereits mit dem aktuellen Schlüsseldienst verschlüsselt sind, empfiehlt es sich, verschlüsselte Inhalte zum neuen Dienst zu migrieren. Weitere Informationen finden Sie weiter unten im Abschnitt Zu einem neuen Schlüsseldienst wechseln.
Zu einem neuen Schlüsseldienst wechseln
Wenn Sie zuvor einen Schlüsseldienst für eine Organisationseinheit oder Gruppe zugewiesen haben, können Sie zu einem anderen Dienst wechseln. Wenn Inhalte bereits durch den aktuellen Schlüsseldienst verschlüsselt sind, empfiehlt es sich, die Inhalte zum neuen Dienst zu migrieren. Weitere Informationen finden Sie weiter unten im Abschnitt Verschlüsselte Inhalte zu einem neuen Schlüsseldienst migrieren.
Wenn Sie zu einem neuen Schlüsseldienst wechseln, aber keine Inhalte migrieren: Vorhandene verschlüsselte Inhalte bleiben nur vom aktuellen Dienst verschlüsselt, nicht von dem neuen Dienst, den Sie hinzugefügt haben. Sie müssen also weiterhin den aktuellen Dienst verwenden, um auf zuvor verschlüsselte Inhalte zugreifen zu können. 

Verschlüsselung mit einem Schlüsseldienst zuweisen

Standardschlüsseldienst für Ihre Organisation zuweisen

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Melden Sie sich mit einem Super Admin-Konto in Admin-Konsole an.

    Wenn Sie kein Super Admin-Konto verwenden, können Sie diese Schritte nicht ausführen.

  2. Klicken Sie auf das Dreistrich-Menü und dann Daten > Compliance > Clientseitige Verschlüsselung.
  3. Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
  4. Wählen Sie im linken Bereich entweder Alle Nutzer in diesem Konto oder die oberste Organisationseinheit aus.
  5. Klicken Sie auf Schlüsseldienst und wählen Sie Ihren Schlüsseldienst in der Drop-down-Liste aus.
  6. Klicken Sie auf Speichern.

Bestimmten Nutzern unterschiedliche Schlüsseldienste zuweisen

Wenn Sie in der Admin-Konsole mehrere Schlüsseldienste hinzugefügt haben, können Sie einen anderen Schlüsseldienst als den aktuellen Dienst auswählen, der einer Organisationseinheit oder Gruppe zugewiesen ist.

Wichtig: Wenn Inhalte bereits mit dem aktuellen Schlüsseldienst verschlüsselt sind, empfiehlt es sich, verschlüsselte Inhalte zum neuen Dienst zu migrieren. So stellen Sie sicher, dass Sie weiterhin auf clientseitig verschlüsselte Inhalte zugreifen können. Weitere Informationen finden Sie weiter unten im Abschnitt Verschlüsselte Inhalte zu einem neuen Schlüsseldienst migrieren.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Melden Sie sich mit einem Super Admin-Konto in Admin-Konsole an.

    Wenn Sie kein Super Admin-Konto verwenden, können Sie diese Schritte nicht ausführen.

  2. Klicken Sie auf das Dreistrich-Menü und dann Daten > Compliance > Clientseitige Verschlüsselung.
  3. Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
  4. Wählen Sie im linken Bereich eine Organisationseinheit oder Gruppe aus, für die Sie einen anderen Schlüsseldienst verwenden möchten.
  5. Klicken Sie auf Schlüsseldienst und wählen Sie den neuen Schlüsseldienst in der Drop-down-Liste aus.
  6. Klicken Sie auf Überschreiben, um Ihre Einstellung beizubehalten, wenn die CSE-Einstellungen für die übergeordnete Organisationseinheit geändert werden.
  7. Wenn für die Organisationseinheit bereits Überschrieben festgelegt ist, wählen Sie eine Option aus:
    • Übernehmen: Die Einstellung der übergeordneten Organisationseinheit wird übernommen.
    • Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Verschlüsselte Inhalte zu einem neuen Schlüsseldienst migrieren

Wenn Sie Ihren vorhandenen Schlüsseldienst nicht mehr zum Verschlüsseln von Inhalten einer bestimmten Organisationseinheit bzw. Gruppe verwenden möchten, können Sie einen neuen Dienst hinzufügen, den Ersatzdienst auswählen und die verschlüsselten Inhalte zum neuen Dienst migrieren.

Abschnitt öffnen  |  Alle minimieren

Vor der Migration

Unterstützte Dienste

Derzeit können Sie verschlüsselte Inhalte für die folgenden Dienste migrieren:

  • Google Drive und Google Docs
  • Google Kalender

So wechseln Sie zu einem anderen Schlüsseldienst für die clientseitige Verschlüsselung in Gmail: Laden Sie mit der Gmail API für jeden einzelnen Nutzer ein neues S/MIME-Zertifikat mit vom neuen Schlüsseldienst verpackten Schlüsseln hoch. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren.

Keine Entschlüsselung durch Google

Während der Migration entschlüsselt Google niemals Inhalte. Der neue Dienst entpackt die Verschlüsselungsebene aus dem vorherigen Dienst und ersetzt sie durch eine neue Verschlüsselungsebene.

Keine Auswirkungen auf die Nutzer

Während der Migration können Nutzer weiterhin verschlüsselte Inhalte ohne Unterbrechung verschlüsseln oder aufrufen. 

Kein Migrationsstatus

Fortschrittstatus und Benachrichtigungen über Probleme sind nicht verfügbar.

Migration zuerst mit einer kleinen Anzahl von Nutzern testen

Wir empfehlen, die Migration zuerst für eine kleine Anzahl von Nutzern durchzuführen, bevor Sie alle Nutzerinhalte migrieren. Weisen Sie den neuen Schlüssel nur einer Organisationseinheit oder Gruppe zu und aktivieren Sie die Migration für diese Nutzer, um festzustellen, ob es Probleme mit der Migration gibt.

Versuchen Sie nach der Testmigration, neue Inhalte mit dem neuen Schlüsseldienst zu verschlüsseln, und prüfen Sie, ob Sie weiterhin auf zuvor verschlüsselte Inhalte zugreifen und sie bearbeiten können.

Migrationszeit reduzieren

Wenn Sie die Anzahl der Elemente minimieren möchten, die mit dem aktuellen Schlüsseldienst verschlüsselt sind, starten Sie die vollständige Migration außerhalb der Spitzenzeiten.

Schritt 1: Neuen Schlüsseldienst in der Admin-Konsole hinzufügen
  • Wenn Sie derzeit nur einen Schlüsseldienst verwenden: Fügen Sie den neuen Schlüsseldienst hinzu und wählen Sie den aktuellen Dienst als Ersatz aus. Weitere Informationen finden Sie unter Externen Schlüsseldienst hinzufügen.
  • Wenn es für einen Schlüsseldienst, den Sie derzeit verwenden, bereits einen Ersatzdienst gibt: Entfernen Sie den Ersatz für den Schlüsseldienst. Weitere Informationen finden Sie im Hilfeartikel Ersatzschlüsseldienst aus Schlüsseldienst entfernen. Fügen Sie dann den neuen Schlüsseldienst hinzu und wählen Sie die aktuellen Dienste als Ersatz aus.

    Wichtig: Wenn Sie gerade Inhalte aus dem zu löschenden Ersatzdienst migrieren, warten Sie, bis die Migration abgeschlossen ist. Sobald Sie den Ersatzdienst entfernen, wird die Migration beendet. Weitere Informationen finden Sie weiter unten auf dieser Seite unter Schritt 4: Prüfen, ob die Migration abgeschlossen ist.

Schritt 2: Aktuellen Schlüsseldienst durch neuen Schlüsseldienst ersetzen
Nachdem Sie den neuen Schlüsseldienst hinzugefügt haben, weisen Sie ihn Organisationseinheiten oder Gruppen zu. Weitere Informationen dazu finden Sie im Hilfeartikel Schlüsseldienst für clientseitige Verschlüsselung zuweisen.
Schritt 3: Migration aktivieren

Nachdem Sie den neuen Schlüsseldienst für eine Organisationseinheit oder Gruppe ausgewählt haben, können Sie die Migration aktivieren, falls es Dienste mit vorher verschlüsselten Inhalten gibt, die migriert werden können.

Die Migrationsdauer hängt davon ab, wie viel Inhalt mit dem aktuellen Schlüsseldienst verschlüsselt wurde und wie schnell der neue Schlüsseldienst arbeitet. Es kann einige Stunden bis zu mehreren Tagen dauern, bis Fortschritte bei der Inhaltsmigration angezeigt werden. 

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Melden Sie sich mit einem Super Admin-Konto in Admin-Konsole an.

    Wenn Sie kein Super Admin-Konto verwenden, können Sie diese Schritte nicht ausführen.

  2. Klicken Sie auf das Dreistrich-Menü und dann Daten > Compliance > Clientseitige Verschlüsselung.
  3. Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
  4. Wählen Sie im linken Bereich die Organisationseinheit oder Gruppe aus, deren Inhalte Sie in einen neuen Schlüsseldienst migrieren möchten.
  5. Klicken Sie unter Migration auf An.

    Hinweis: Diese Option ist nur verfügbar, wenn unter Migration Dienste mit bereits verschlüsselten Inhalten aufgeführt sind.

  6. Klicken Sie in der Bestätigungsnachricht auf das Kästchen, um zu bestätigen, dass die Migration nach dem Start nicht rückgängig gemacht werden kann. Klicken Sie dann auf Speichern.

Die Migration beginnt.

Schritt 4: Prüfen, ob die Migration abgeschlossen ist

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Melden Sie sich mit einem Super Admin-Konto in Admin-Konsole an.

    Wenn Sie kein Super Admin-Konto verwenden, können Sie diese Schritte nicht ausführen.

  2. Klicken Sie auf das Dreistrich-Menü und dann Daten > Compliance > Clientseitige Verschlüsselung.
  3. Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
  4. Wählen Sie im linken Bereich die Organisationseinheit oder Gruppe aus, für die Sie verschlüsselte Inhalte in einen neuen Schlüsseldienst migrieren möchten.
  5. Prüfen Sie unter Migration, wie viele Elemente mit dem vorherigen Dienst (jetzt dem Ersatzdienst) verschlüsselt wurden.

    Wenn keine verschlüsselten Elemente vorhanden sind, ist die Migration abgeschlossen.

Schritt 5 (optional): Ersatzschlüsseldienst entfernen

Wenn die Migration abgeschlossen ist und Sie den Ersatzdienst nicht mehr verwenden möchten, können Sie ihn für den neuen Schlüsseldienst entfernen. Weitere Informationen finden Sie im Hilfeartikel Ersatz aus Schlüsseldienst entfernen.

Verschlüsselung mit Hardwareschlüsseln zuweisen (nur Gmail)

Wenn Sie die Hardwareschlüsselverschlüsselung für alle oder einige Nutzer in Ihrer Organisation einrichten, um Gmail zu verschlüsseln, müssen Sie sie diesen Nutzern zuweisen.

Wenn Sie auch einen Verschlüsselungsschlüsseldienst für Gmail verwenden: Sie können denselben Nutzern wie den Schlüsseldienst die Hardwareschlüsselverschlüsselung zuweisen. Diese Nutzer verschlüsseln Gmail jedoch entweder mit dem Schlüsseldienst oder mit einem Hardwareschlüssel, je nachdem, wie Sie ihre Verschlüsselungsschlüssel für Gmail eingerichtet haben. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Melden Sie sich mit einem Super Admin-Konto in Admin-Konsole an.

    Wenn Sie kein Super Admin-Konto verwenden, können Sie diese Schritte nicht ausführen.

  2. Klicken Sie auf das Dreistrich-Menü und dann Daten > Compliance > Clientseitige Verschlüsselung.
  3. Klicken Sie unter Verschlüsselung mit Hardwareschlüsseln auf Zuweisen.
  4. Wählen Sie im linken Bereich eine Organisationseinheit oder Gruppe aus, für die Sie einen anderen Schlüsseldienst verwenden möchten.
  5. Klicken Sie auf Verschlüsselung mit Hardwareschlüsseln und setzen Sie ein Häkchen in das Kästchen.
  6. Wenn Sie eine untergeordnete Organisationseinheit ausgewählt haben, klicken Sie auf Überschreiben, um Ihre Einstellung beizubehalten, wenn die CSE-Einstellungen für die übergeordnete Organisationseinheit geändert werden.
  7. Wenn für die Organisationseinheit bereits Überschrieben festgelegt ist, wählen Sie eine Option aus:
    • Übernehmen: Die Einstellung der übergeordneten Organisationseinheit wird übernommen.
    • Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü
11927447858693817070
true
Suchen in der Hilfe
false
true
true
true
true
true
73010
false
false
false
false