Nachdem Sie in der Admin-Konsole einen oder mehrere externe Schlüsseldienste für die clientseitige Verschlüsselung (Client-side Encryption, CSE) in Google Workspace hinzugefügt haben, müssen Sie sie Organisationseinheiten oder Konfigurationsgruppen zuweisen. Wenn Sie einen Schlüsseldienst zuweisen, können Nutzer, die Sie der Key Access Control List (KACL) Ihres externen Dienstes hinzugefügt haben, Inhalte verschlüsseln und entschlüsseln.
Wenn Sie die Hardwareschlüsselverschlüsselung für die clientseitige Verschlüsselung in Gmail eingerichtet haben, müssen Sie sie Organisationseinheiten oder Konfigurationsgruppen zuweisen. Requires having the Assured Controls or Assured Controls Plus add-on.
Aktivieren Sie außerdem die clientseitige Verschlüsselung für Nutzer, die Inhalte verschlüsseln müssen. Weitere Informationen finden Sie im Hilfeartikel Clientseitige Verschlüsselung aktivieren oder deaktivieren.
Hinweise
Abschnitt öffnen | Alle minimieren
- Schlüsseldienst auswählen
- Stellen Sie eine Verbindung zu Ihrem Identitätsanbieter (Identity Provider, IdP) her.
- Richten Sie Ihren externen Schlüsseldienst oder die Verschlüsselung mit Hardwareschlüsseln ein.
- Fügen Sie den Schlüsseldienst oder die Verschlüsselung von Hardwareschlüsseln in der Admin-Konsole hinzu.
Verschlüsselung mit einem Schlüsseldienst zuweisen
Standardschlüsseldienst für Ihre Organisation zuweisen
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
- Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriff und DatenkontrolleClientseitige Verschlüsselung.
- Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
- Wählen Sie im linken Bereich entweder Alle Nutzer in diesem Konto oder die oberste Organisationseinheit aus.
- Klicken Sie auf Schlüsseldienst und wählen Sie in der Drop-down-Liste den Schlüsseldienst aus.
- Klicken Sie auf Speichern.
Bestimmten Nutzern unterschiedliche Schlüsseldienste zuweisen
Wenn Sie in der Admin-Konsole mehrere Schlüsseldienste hinzugefügt haben, können Sie einen anderen Schlüsseldienst als den aktuellen Dienst auswählen, der einer Organisationseinheit oder Gruppe zugewiesen ist.
Wichtig: Wenn Inhalte bereits mit dem aktuellen Schlüsseldienst verschlüsselt sind, empfiehlt es sich, verschlüsselte Inhalte zum neuen Dienst zu migrieren. So stellen Sie sicher, dass Sie weiterhin auf clientseitig verschlüsselte Inhalte zugreifen können. Weitere Informationen finden Sie weiter unten im Abschnitt Verschlüsselte Inhalte zu einem neuen Schlüsseldienst migrieren.
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
- Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriff und DatenkontrolleClientseitige Verschlüsselung.
- Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
- Wählen Sie im linken Bereich eine Organisationseinheit oder Gruppe aus, für die Sie einen anderen Schlüsseldienst verwenden möchten.
- Klicken Sie auf Schlüsseldienst und wählen Sie in der Drop-down-Liste den neuen Schlüsseldienst aus.
- Klicken Sie auf Überschreiben, um Ihre Einstellung beizubehalten, wenn die CSE-Einstellungen für die übergeordnete Organisationseinheit geändert werden.
- Wenn für die Organisationseinheit bereits Überschrieben festgelegt ist, wählen Sie eine Option aus:
- Übernehmen: Die Einstellung der übergeordneten Organisationseinheit wird übernommen.
- Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
Verschlüsselte Inhalte zu einem neuen Schlüsseldienst migrieren
Wenn Sie Ihren vorhandenen Schlüsseldienst nicht mehr zum Verschlüsseln von Inhalten einer bestimmten Organisationseinheit bzw. Gruppe verwenden möchten, können Sie einen neuen Dienst hinzufügen, den Ersatzdienst auswählen und die verschlüsselten Inhalte zum neuen Dienst migrieren.
Abschnitt öffnen | Alle minimieren
Unterstützte Dienste
Derzeit können Sie verschlüsselte Inhalte für die folgenden Dienste migrieren:
- Google Drive und Google Docs
- Google Kalender
So wechseln Sie zu einem anderen Schlüsseldienst für die clientseitige Verschlüsselung in Gmail: Laden Sie mit der Gmail API für jeden einzelnen Nutzer ein neues S/MIME-Zertifikat mit vom neuen Schlüsseldienst verpackten Schlüsseln hoch. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: Verschlüsselungsschlüssel für clientseitige Verschlüsselung hochladen.
Keine Entschlüsselung durch Google
Während der Migration entschlüsselt Google niemals Inhalte. Der neue Dienst entpackt die Verschlüsselungsebene aus dem vorherigen Dienst und ersetzt sie durch eine neue Verschlüsselungsebene.
Keine Auswirkungen auf die Nutzer
Während der Migration können Nutzer weiterhin verschlüsselte Inhalte ohne Unterbrechung verschlüsseln oder aufrufen.
Kein Migrationsstatus
Fortschrittstatus und Benachrichtigungen über Probleme sind nicht verfügbar.
Migration zuerst mit einer kleinen Anzahl von Nutzern testen
Wir empfehlen, die Migration zuerst für eine kleine Anzahl von Nutzern durchzuführen, bevor Sie alle Nutzerinhalte migrieren. Weisen Sie den neuen Schlüssel nur einer Organisationseinheit oder Gruppe zu und aktivieren Sie die Migration für diese Nutzer, um festzustellen, ob es Probleme mit der Migration gibt.
Versuchen Sie nach der Testmigration, neue Inhalte mit dem neuen Schlüsseldienst zu verschlüsseln, und prüfen Sie, ob Sie weiterhin auf zuvor verschlüsselte Inhalte zugreifen und sie bearbeiten können.
Migrationszeit reduzieren
Wenn Sie die Anzahl der Elemente minimieren möchten, die mit dem aktuellen Schlüsseldienst verschlüsselt sind, starten Sie die vollständige Migration außerhalb der Spitzenzeiten.
- Wenn Sie derzeit nur einen Schlüsseldienst verwenden: Fügen Sie den neuen Schlüsseldienst hinzu und wählen Sie den aktuellen Dienst als Ersatz aus. Weitere Informationen finden Sie im Hilfeartikel Externen Schlüsseldienst hinzufügen.
- Wenn es für einen Schlüsseldienst, den Sie derzeit verwenden, bereits einen Ersatzdienst gibt: Entfernen Sie den Ersatz für den Schlüsseldienst. Weitere Informationen finden Sie im Hilfeartikel Ersatzschlüsseldienst aus Schlüsseldienst entfernen. Fügen Sie dann den neuen Schlüsseldienst hinzu und wählen Sie die aktuellen Dienste als Ersatz aus.
Wichtig: Wenn Sie gerade Inhalte aus dem zu löschenden Ersatzdienst migrieren, warten Sie, bis die Migration abgeschlossen ist. Sobald Sie den Ersatzdienst entfernen, wird die Migration beendet. Weitere Informationen finden Sie weiter unten auf dieser Seite unter Schritt 4: Prüfen, ob die Migration abgeschlossen ist.
Nachdem Sie den neuen Schlüsseldienst für eine Organisationseinheit oder Gruppe ausgewählt haben, können Sie die Migration aktivieren, falls es Dienste mit vorher verschlüsselten Inhalten gibt, die migriert werden können.
Die Migrationsdauer hängt davon ab, wie viel Inhalt mit dem aktuellen Schlüsseldienst verschlüsselt wurde und wie schnell der neue Schlüsseldienst arbeitet. Die Migration von Inhalten kann einige Stunden bis mehrere Tage in Anspruch nehmen.
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
- Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriff und DatenkontrolleClientseitige Verschlüsselung.
- Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
- Wählen Sie im linken Bereich die Organisationseinheit oder Gruppe aus, deren Inhalte Sie in einen neuen Schlüsseldienst migrieren möchten.
- Klicken Sie unter Migration auf An.
Hinweis: Diese Option ist nur verfügbar, wenn unter Migration Dienste mit bereits verschlüsselten Inhalten aufgeführt sind.
- Klicken Sie in der Bestätigungsnachricht auf das Kästchen, um zu bestätigen, dass die Migration nach dem Start nicht rückgängig gemacht werden kann. Klicken Sie dann auf Speichern.
Die Migration beginnt.
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
- Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriff und DatenkontrolleClientseitige Verschlüsselung.
- Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
- Wählen Sie im linken Bereich die Organisationseinheit oder Gruppe aus, für die Sie verschlüsselte Inhalte in einen neuen Schlüsseldienst migrieren möchten.
- Prüfen Sie unter Migration, wie viele Elemente mit dem vorherigen Dienst (jetzt dem Ersatzdienst) verschlüsselt wurden.
Wenn keine verschlüsselten Elemente vorhanden sind, ist die Migration abgeschlossen.
Wenn die Migration abgeschlossen ist und Sie den Ersatzdienst nicht mehr verwenden möchten, können Sie ihn für den neuen Schlüsseldienst entfernen. Weitere Informationen finden Sie im Hilfeartikel Ersatz aus Schlüsseldienst entfernen.
Verschlüsselung mit Hardwareschlüsseln zuweisen (nur Gmail)
Wenn Sie die Hardwareschlüsselverschlüsselung für alle oder einige Nutzer in Ihrer Organisation einrichten, um Gmail zu verschlüsseln, müssen Sie sie diesen Nutzern zuweisen.
Wenn Sie auch einen Verschlüsselungsschlüsseldienst für Gmail verwenden: Sie können denselben Nutzern wie den Schlüsseldienst die Hardwareschlüsselverschlüsselung zuweisen. Diese Nutzer verschlüsseln Gmail jedoch entweder mit dem Schlüsseldienst oder mit einem Hardwareschlüssel, je nachdem, wie Sie ihre Verschlüsselungsschlüssel für Gmail eingerichtet haben. Weitere Informationen finden Sie unter „Nur Gmail“: Richten Sie die Gmail API für die clientseitige Verschlüsselung ein.
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
- Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriff und DatenkontrolleClientseitige Verschlüsselung.
- Klicken Sie unter Verschlüsselung mit Hardwareschlüsseln auf Zuweisen.
- Wählen Sie im linken Bereich eine Organisationseinheit oder Gruppe aus, für die Sie einen anderen Schlüsseldienst verwenden möchten.
- Klicken Sie auf Verschlüsselung mit Hardwareschlüsseln und klicken Sie das Kästchen an.
- Wenn Sie eine untergeordnete Organisationseinheit ausgewählt haben, klicken Sie auf Überschreiben, um Ihre Einstellung beizubehalten, falls die CSE-Einstellungen für die übergeordnete Organisationseinheit geändert werden.
- Wenn für die Organisationseinheit bereits Überschrieben festgelegt ist, wählen Sie eine Option aus:
- Übernehmen: Die Einstellung der übergeordneten Organisationseinheit wird übernommen.
- Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen