Unterstützte Versionen für diese Funktion: Enterprise Plus; Education Standard und Education Plus. G Suite-Versionen vergleichen
Requires having the Assured Controls add-on.
Wenn Ihre Organisation für den Zugriff auf Einrichtungen und Systeme Smartcards wie PIV‐Karten (Personal Identification Verification) verwendet, können Sie für die clientseitige Verschlüsselung (CSE) in Gmail die Hardwareschlüsselverschlüsselung anstelle eines Verschlüsselungsschlüsseldienstes verwenden.
Bei der Verschlüsselung mit Hardwareschlüsseln befindet sich der private Schlüssel eines Nutzers auf seiner Smartcard. Nutzer müssen ihre Smartcard in ein Lesegerät einsetzen, das an ihr Windows-Gerät angeschlossen ist, um E-Mails in Gmail zu signieren und zu entschlüsseln. Um Nachrichten zu verschlüsseln, verwenden sie ihren öffentlichen Schlüssel.
Überblick über die Einrichtung
So richten Sie die Hardwareschlüsselverschlüsselung ein:
- Installieren Sie für jeden Nutzer, der E-Mails verschlüsseln muss, die Google Workspace-Hardwareschlüsselanwendung auf dem Windows-Gerät. Diese App wird als Dienst gestartet, der auf einem bestimmten Port ausgeführt wird und über die Smartcard eines Nutzers die Verschlüsselung und Entschlüsselung übernimmt.
- Aktivieren Sie die Verschlüsselung mit Hardwareschlüsseln in der Admin-Konsole. Geben Sie dazu die Portnummer ein, über die Google Workspace mit der Hardwareschlüssel-App auf den Windows-Geräten der Nutzer kommuniziert.
Nachdem Sie diese Schritte ausgeführt haben, können Sie Nutzern die Hardwareschlüsselverschlüsselung zuweisen und die clientseitige Verschlüsselung für Gmail aktivieren.
Einrichtungsvoraussetzungen
Die Geräte der Nutzer müssen:
- Microsoft Windows 10 oder höher ausführen
- Ein Smartcard-Lesegerät an ihrem Gerät angeschlossen haben
- eine Smartcard mit privatem Verschlüsselungsschlüssel haben.
Schritt 1: Google Workspace-Hardwareschlüsselanwendung installieren
Mit der Google Workspace-App für Hardwareschlüssel können Sie die Hardwareschlüsselverschlüsselung für die clientseitige Verschlüsselung in Gmail einrichten. So können Nutzer ihre privaten Schlüssel auf ihren Smartcards, z. B. PIV‐Karten, zum Signieren und Verschlüsseln von E‐Mails verwenden.
Schritt 2: Verschlüsselung mit Hardwareschlüsseln aktivieren
Nachdem Sie die Google Workspace-Anwendung für Hardwareschlüssel auf den Windows-Geräten der Nutzer installiert haben, können Sie die Verschlüsselung mit Hardwareschlüsseln in der Admin-Konsole aktivieren.
Hinweis:Sie benötigen die Portnummer, die Sie bei der Installation der Hardwareschlüssel-App ausgewählt haben.
So aktivieren Sie die Verschlüsselung mit Hardwareschlüsseln:
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
- Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriff und DatenkontrolleClientseitige Verschlüsselung.
- Klicken Sie unter Verschlüsselung mit Hardwareschlüsseln auf Portnummer hinzufügen.
- Geben Sie die Portnummer ein, die Sie bei der Installation der Hardware Key App ausgewählt haben.
-
Klicken Sie auf Speichern.
Nächste Schritte
Nachdem Sie die Google Workspace-Hardwareschlüsselanwendung installiert und die Hardwareschlüsselverschlüsselung in der Admin-Konsole aktiviert haben, müssen Sie Folgendes tun:
- Weisen Sie Nutzern die Hardwareschlüsselverschlüsselung zu. Weitere Informationen finden Sie im Hilfeartikel Nutzern clientseitige Verschlüsselung zuweisen.
- Stellen Sie eine Verbindung zu Ihrem Identitätsanbieter (Identity Provider, IdP) her. Weitere Informationen finden Sie im Hilfeartikel Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen.
- Aktivieren Sie die Gmail API und laden Sie die Verschlüsselungszertifikate der Nutzer in Gmail hoch. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: Verschlüsselungsschlüssel für clientseitige Verschlüsselung hochladen.
Verschlüsselung mit Hardwareschlüsseln verwalten
Portnummer für die Hardwareschlüsselverschlüsselung ändern
Wenn sich die Portnummer, über die Google Workspace mit dem Smartcard-Lesegerät auf den Windows-Geräten der Nutzer kommuniziert, ändert, müssen Sie sie in der Admin-Konsole aktualisieren, damit die Nutzer die clientseitige Verschlüsselung in Gmail weiterhin verwenden können.
So aktualisieren Sie die Portnummer für die Hardwareschlüsselverschlüsselung:
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
- Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriff und DatenkontrolleClientseitige Verschlüsselung.
- Klicken Sie unter Verschlüsselung mit Hardwareschlüsseln auf Bearbeiten.
- Geben Sie die neue Portnummer ein.
-
Klicken Sie auf Speichern.
Wenn ein Nutzer eine neue Smartcard benötigt
- Wenn die neue Smartcard des Nutzers denselben Verschlüsselungsschlüssel wie die vorherige Karte enthält, kann er einfach die neue Karte verwenden.
- Wenn die neue Smartcard des Nutzers einen neuen Verschlüsselungsschlüssel enthält, müssen Sie neue Public-Key-Zertifikate über die Gmail API in Gmail hochladen. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: Verschlüsselungsschlüssel für clientseitige Verschlüsselung hochladen.