Nutzern clientseitige Verschlüsselung zuweisen

Nachdem Sie in der Admin-Konsole einen oder mehrere externe Schlüsseldienste für die clientseitige Verschlüsselung (Client-side Encryption, CSE) in Google Workspace hinzugefügt haben, müssen Sie sie Organisationseinheiten oder Konfigurationsgruppen zuweisen. Wenn Sie einen Schlüsseldienst zuweisen, können Nutzer, die Sie der Key Access Control List (KACL) Ihres externen Dienstes hinzugefügt haben, Inhalte verschlüsseln und entschlüsseln.

Wenn Sie die Hardwareschlüsselverschlüsselung für die clientseitige Verschlüsselung in Gmail eingerichtet haben, müssen Sie sie Organisationseinheiten oder Konfigurationsgruppen zuweisen. Requires having the Assured Controls add-on.

Aktivieren Sie außerdem die clientseitige Verschlüsselung für Nutzer, die Inhalte verschlüsseln müssen. Weitere Informationen finden Sie im Hilfeartikel Clientseitige Verschlüsselung aktivieren oder deaktivieren.

Hinweise

Abschnitt öffnen  |  Alle minimieren

So bereiten Sie sich vor
Weisen Sie einen standardmäßigen Schlüsseldienst zu.
Damit die CSE organisationsweit richtig funktioniert, müssen Sie einen externen Schlüsseldienst als Standarddienst für die gesamte Organisation festlegen. Beispiel: Wenn die clientseitige Verschlüsselung für eine Gruppe aktiviert ist, die jedoch eine geteilte Ablage in einer Organisationseinheit verwendet, für die die Funktion deaktiviert ist, wird der Standardschlüsseldienst verwendet. 
Wenn Sie in der Admin-Konsole Ihren ersten Schlüsseldienst hinzufügen, werden Sie aufgefordert, der obersten Organisationseinheit einen Standarddienst zuzuweisen. Wenn Sie noch keinen Standarddienst zugewiesen haben, sollten Sie das unbedingt tun, bevor Sie die clientseitige Verschlüsselung für Nutzer aktivieren. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite im Abschnitt Standardschlüsseldienst für Ihre Organisation zuweisen.
Mehrere Schlüsseldienste für verschiedene Nutzer verwenden
Sie können einen anderen Schlüsseldienst als den Standarddienst für eine Organisationseinheit oder Gruppe festlegen. Sie können beispielsweise verschiedene Schlüsseldienste für verschiedene Standorte Ihrer Organisation verwenden.
Wichtig: Wenn Inhalte bereits mit dem aktuellen Schlüsseldienst verschlüsselt sind, empfiehlt es sich, verschlüsselte Inhalte zum neuen Dienst zu migrieren. Gehen Sie später auf dieser Seite zu Zu einem neuen Schlüsseldienst wechseln.
Zu einem neuen Schlüsseldienst wechseln
Wenn Sie zuvor einen Schlüsseldienst für eine Organisationseinheit oder Gruppe zugewiesen haben, können Sie zu einem anderen Dienst wechseln. Wenn Inhalte bereits durch den aktuellen Schlüsseldienst verschlüsselt sind, empfiehlt es sich, die Inhalte zum neuen Dienst zu migrieren. Weitere Informationen finden Sie weiter unten im Abschnitt Verschlüsselte Inhalte zu einem neuen Schlüsseldienst migrieren.
Wenn Sie zu einem neuen Schlüsseldienst wechseln, aber keine Inhalte migrieren: Vorhandene verschlüsselte Inhalte bleiben nur vom aktuellen Dienst verschlüsselt, nicht von dem neuen Dienst, den Sie hinzugefügt haben. Sie müssen also weiterhin den aktuellen Dienst verwenden, um auf zuvor verschlüsselte Inhalte zugreifen zu können. 

Verschlüsselung mit einem Schlüsseldienst zuweisen

Standardschlüsseldienst für Ihre Organisation zuweisen

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriff und Datenkontrolleund dannClientseitige Verschlüsselung.
  3. Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
  4. Wählen Sie im linken Bereich entweder Alle Nutzer in diesem Konto oder die oberste Organisationseinheit aus.
  5. Klicken Sie auf Schlüsseldienst und wählen Sie in der Drop-down-Liste den Schlüsseldienst aus.
  6. Klicken Sie auf Speichern.

Bestimmten Nutzern unterschiedliche Schlüsseldienste zuweisen

Wenn Sie in der Admin-Konsole mehrere Schlüsseldienste hinzugefügt haben, können Sie einen anderen Schlüsseldienst als den aktuellen Dienst auswählen, der einer Organisationseinheit oder Gruppe zugewiesen ist.

Wichtig: Wenn Inhalte bereits mit dem aktuellen Schlüsseldienst verschlüsselt sind, empfiehlt es sich, verschlüsselte Inhalte zum neuen Dienst zu migrieren. So stellen Sie sicher, dass Sie weiterhin auf clientseitig verschlüsselte Inhalte zugreifen können. Weitere Informationen finden Sie weiter unten im Abschnitt Verschlüsselte Inhalte zu einem neuen Schlüsseldienst migrieren.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriff und Datenkontrolleund dannClientseitige Verschlüsselung.
  3. Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
  4. Wählen Sie im linken Bereich eine Organisationseinheit oder Gruppe aus, für die Sie einen anderen Schlüsseldienst verwenden möchten.
  5. Klicken Sie auf Schlüsseldienst und wählen Sie in der Drop-down-Liste den neuen Schlüsseldienst aus.
  6. Klicken Sie auf Überschreiben, um Ihre Einstellung beizubehalten, wenn die CSE-Einstellungen für die übergeordnete Organisationseinheit geändert werden.
  7. Wenn für die Organisationseinheit bereits Überschrieben festgelegt ist, wählen Sie eine Option aus:
    • Übernehmen: Die Einstellung der übergeordneten Organisationseinheit wird übernommen.
    • Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Verschlüsselte Inhalte zu einem neuen Schlüsseldienst migrieren

Wenn Sie Ihren vorhandenen Schlüsseldienst nicht mehr zum Verschlüsseln von Inhalten einer bestimmten Organisationseinheit bzw. Gruppe verwenden möchten, können Sie einen neuen Dienst hinzufügen, den Ersatzdienst auswählen und die verschlüsselten Inhalte zum neuen Dienst migrieren.

Abschnitt öffnen  |  Alle minimieren

Vor der Migration

Unterstützte Dienste

Derzeit können Sie verschlüsselte Inhalte für die folgenden Dienste migrieren:

  • Google Drive und Google Docs
  • Google Kalender

So wechseln Sie zu einem anderen Schlüsseldienst für die clientseitige Verschlüsselung in Gmail: Laden Sie mit der Gmail API für jeden einzelnen Nutzer ein neues S/MIME-Zertifikat mit vom neuen Schlüsseldienst verpackten Schlüsseln hoch. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: Verschlüsselungsschlüssel für clientseitige Verschlüsselung hochladen.

Keine Entschlüsselung durch Google

Während der Migration entschlüsselt Google niemals Inhalte. Der neue Dienst entpackt die Verschlüsselungsebene aus dem vorherigen Dienst und ersetzt sie durch eine neue Verschlüsselungsebene.

Keine Auswirkungen auf die Nutzer

Während der Migration können Nutzer weiterhin verschlüsselte Inhalte ohne Unterbrechung verschlüsseln oder aufrufen. 

Kein Migrationsstatus

Fortschrittstatus und Benachrichtigungen über Probleme sind nicht verfügbar.

Migration zuerst mit einer kleinen Anzahl von Nutzern testen

Wir empfehlen, die Migration zuerst für eine kleine Anzahl von Nutzern durchzuführen, bevor Sie alle Nutzerinhalte migrieren. Weisen Sie den neuen Schlüssel nur einer Organisationseinheit oder Gruppe zu und aktivieren Sie die Migration für diese Nutzer, um festzustellen, ob es Probleme mit der Migration gibt.

Versuchen Sie nach der Testmigration, neue Inhalte mit dem neuen Schlüsseldienst zu verschlüsseln, und prüfen Sie, ob Sie weiterhin auf zuvor verschlüsselte Inhalte zugreifen und sie bearbeiten können.

Migrationszeit reduzieren

Wenn Sie die Anzahl der Elemente minimieren möchten, die mit dem aktuellen Schlüsseldienst verschlüsselt sind, starten Sie die vollständige Migration außerhalb der Spitzenzeiten.

Schritt 1: Neuen Schlüsseldienst in der Admin-Konsole hinzufügen
  • Wenn Sie derzeit nur einen Schlüsseldienst verwenden: Fügen Sie den neuen Schlüsseldienst hinzu und wählen Sie den aktuellen Dienst als Ersatz aus. Weitere Informationen finden Sie im Hilfeartikel Externen Schlüsseldienst hinzufügen.
  • Wenn es für einen Schlüsseldienst, den Sie derzeit verwenden, bereits einen Ersatzdienst gibt: Entfernen Sie den Ersatz für den Schlüsseldienst. Weitere Informationen finden Sie im Hilfeartikel Ersatzschlüsseldienst aus Schlüsseldienst entfernen. Fügen Sie dann den neuen Schlüsseldienst hinzu und wählen Sie die aktuellen Dienste als Ersatz aus.

    Wichtig: Wenn Sie gerade Inhalte aus dem zu löschenden Ersatzdienst migrieren, warten Sie, bis die Migration abgeschlossen ist. Sobald Sie den Ersatzdienst entfernen, wird die Migration beendet. Weitere Informationen finden Sie weiter unten auf dieser Seite unter Schritt 4: Prüfen, ob die Migration abgeschlossen ist.

Schritt 2: Aktuellen Schlüsseldienst durch neuen Schlüsseldienst ersetzen
Nachdem Sie den neuen Schlüsseldienst hinzugefügt haben, weisen Sie ihn Organisationseinheiten oder Gruppen zu. Weitere Informationen dazu finden Sie im Hilfeartikel Schlüsseldienst für clientseitige Verschlüsselung zuweisen.
Schritt 3: Migration aktivieren

Nachdem Sie den neuen Schlüsseldienst für eine Organisationseinheit oder Gruppe ausgewählt haben, können Sie die Migration aktivieren, falls es Dienste mit vorher verschlüsselten Inhalten gibt, die migriert werden können.

Die Migrationsdauer hängt davon ab, wie viel Inhalt mit dem aktuellen Schlüsseldienst verschlüsselt wurde und wie schnell der neue Schlüsseldienst arbeitet. Die Migration von Inhalten kann einige Stunden bis mehrere Tage in Anspruch nehmen. 

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriff und Datenkontrolleund dannClientseitige Verschlüsselung.
  3. Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
  4. Wählen Sie im linken Bereich die Organisationseinheit oder Gruppe aus, deren Inhalte Sie in einen neuen Schlüsseldienst migrieren möchten.
  5. Klicken Sie unter Migration auf An.

    Hinweis: Diese Option ist nur verfügbar, wenn unter Migration Dienste mit bereits verschlüsselten Inhalten aufgeführt sind.

  6. Klicken Sie in der Bestätigungsnachricht auf das Kästchen, um zu bestätigen, dass die Migration nach dem Start nicht rückgängig gemacht werden kann. Klicken Sie dann auf Speichern.

Die Migration beginnt.

Schritt 4: Prüfen, ob die Migration abgeschlossen ist

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriff und Datenkontrolleund dannClientseitige Verschlüsselung.
  3. Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
  4. Wählen Sie im linken Bereich die Organisationseinheit oder Gruppe aus, für die Sie verschlüsselte Inhalte in einen neuen Schlüsseldienst migrieren möchten.
  5. Prüfen Sie unter Migration, wie viele Elemente mit dem vorherigen Dienst (jetzt dem Ersatzdienst) verschlüsselt wurden.

    Wenn keine verschlüsselten Elemente vorhanden sind, ist die Migration abgeschlossen.

Schritt 5 (optional): Ersatzschlüsseldienst entfernen

Wenn die Migration abgeschlossen ist und Sie den Ersatzdienst nicht mehr verwenden möchten, können Sie ihn für den neuen Schlüsseldienst entfernen. Weitere Informationen finden Sie im Hilfeartikel Ersatz aus Schlüsseldienst entfernen.

Verschlüsselung mit Hardwareschlüsseln zuweisen (nur Gmail)

Wenn Sie die Hardwareschlüsselverschlüsselung für alle oder einige Nutzer in Ihrer Organisation einrichten, um Gmail zu verschlüsseln, müssen Sie sie diesen Nutzern zuweisen.

Wenn Sie auch einen Verschlüsselungsschlüsseldienst für Gmail verwenden: Sie können denselben Nutzern wie den Schlüsseldienst die Hardwareschlüsselverschlüsselung zuweisen. Diese Nutzer verschlüsseln Gmail jedoch entweder mit dem Schlüsseldienst oder mit einem Hardwareschlüssel, je nachdem, wie Sie ihre Verschlüsselungsschlüssel für Gmail eingerichtet haben. Weitere Informationen finden Sie unter „Nur Gmail“: Richten Sie die Gmail API für die clientseitige Verschlüsselung ein.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriff und Datenkontrolleund dannClientseitige Verschlüsselung.
  3. Klicken Sie unter Verschlüsselung mit Hardwareschlüsseln auf Zuweisen.
  4. Wählen Sie im linken Bereich eine Organisationseinheit oder Gruppe aus, für die Sie einen anderen Schlüsseldienst verwenden möchten.
  5. Klicken Sie auf Verschlüsselung mit Hardwareschlüsseln und klicken Sie das Kästchen an.
  6. Wenn Sie eine untergeordnete Organisationseinheit ausgewählt haben, klicken Sie auf Überschreiben, um Ihre Einstellung beizubehalten, falls die CSE-Einstellungen für die übergeordnete Organisationseinheit geändert werden.
  7. Wenn für die Organisationseinheit bereits Überschrieben festgelegt ist, wählen Sie eine Option aus:
    • Übernehmen: Die Einstellung der übergeordneten Organisationseinheit wird übernommen.
    • Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Hauptmenü
6782895504990755727
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false