Unterstützte Versionen für diese Funktion: Enterprise Plus; Education Standard und Education Plus. G Suite-Versionen vergleichen
Bevor Sie mit der Einrichtung der clientseitigen Verschlüsselung (Client-side Encryption, CSE) in Google Workspace beginnen, sollten Sie sich die Anforderungen, Optionen für Verschlüsselungsschlüssel und eine Übersicht zur Einrichtung ansehen.
Voraussetzungen für die clientseitige Verschlüsselung
Abschnitt öffnen | Alle minimieren
Sie benötigen Super Admin-Berechtigungen für Google Workspace, um die clientseitige Verschlüsselung für Ihre Organisation zu verwalten, darunter:
- Schlüsseldienste hinzufügen und verwalten
- Schlüsseldienste zu Organisationseinheiten und Gruppen zuweisen
- Clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren
Anforderungen für Nutzerlizenzen
- Für Folgendes benötigen Nutzer eine Google Workspace Enterprise Plus- oder Google Workspace for Education Plus-Lizenz:
- Clientseitig verschlüsselte Inhalte erstellen oder hochladen
- Verschlüsselte Videokonferenzen organisieren
- Verschlüsselte E-Mails senden oder empfangen
- Mit einer beliebigen Google Workspace- oder Cloud Identity-Lizenz können Nutzer:
- Clientseitig verschlüsselte Inhalte aufrufen, bearbeiten oder herunterladen
- An clientseitig verschlüsselten Videokonferenzen teilnehmen
- Nutzer mit einem privaten Google-Konto, z. B. Gmail-Nutzer, können nicht auf clientseitig verschlüsselte Inhalte zugreifen, keine verschlüsselten E-Mails senden oder an clientseitig verschlüsselten Videokonferenzen teilnehmen.
Browseranforderungen
Wenn sie clientseitig verschlüsselte Inhalte aufrufen oder bearbeiten möchten, müssen Nutzer entweder den Browser Google Chrome oder Microsoft Edge (Chromium) verwenden.
Sie können externen Nutzern Zugriff auf clientseitig verschlüsselte Inhalte gewähren. Um auf die verschlüsselten Gmail-Nachrichten Ihrer Nutzer zugreifen zu können, müssen diese lediglich S/MIME verwenden. Bei anderen Inhalten unterscheiden sich die Anforderungen je nach der Methode, mit der Sie den externen Zugriff ermöglichen. Weitere Informationen finden Sie im Hilfeartikel Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren.
Optionen für Verschlüsselungsschlüssel
Abschnitt öffnen | Alle minimieren
- Sie verwenden einen externen Schlüsseldienst, der mit Google zusammenarbeitet. Der Schlüsseldienst führt Sie durch die Einrichtung des Dienstes für Google Workspace. Weitere Informationen finden Sie im Hilfeartikel Schlüsseldienst für clientseitige Verschlüsselung auswählen.
- Erstellen Sie einen eigenen Schlüsseldienst mit der Google Workspace CSE API.
Requires having the Assured Controls add-on.
Clientseitige Verschlüsselung einrichten
Im Folgenden finden Sie eine Übersicht dazu, wie Sie die clientseitige Verschlüsselung in Google Workspace einrichten. Die Einrichtung der clientseitigen Verschlüsselung hängt davon ab, welche Art von Verschlüsselungsschlüsseln Sie verwenden möchten.
Wenn Sie einen externen Schlüsseldienst verwenden
Führen Sie die folgenden Schritte aus, um die Verschlüsselung für Google Drive, Google Kalender und Google Meet einzurichten. Sie führen diese Schritte auch für Gmail aus, es sei denn, Sie möchten nur Hardwareverschlüsselungsschlüssel für Gmail verwenden.
| Schritt | Beschreibung | So führen Sie diesen Schritt aus |
|---|---|---|
| Schritt 1: Externen Schlüsseldienst auswählen |
Registrieren Sie sich bei einem der Partner für Schlüsseldienste von Google oder erstellen Sie mit der Google Workspace CSE API Ihren eigenen Dienst. Der Schlüsseldienst steuert die Verschlüsselungsschlüssel der obersten Ebene, die Ihre Daten schützen.
|
Schlüsseldienst für clientseitige Verschlüsselung auswählen |
| Schritt 2: Mit dem Identitätsanbieter Google Workspace verbinden |
Stellen Sie über die Admin-Konsole oder eine auf Ihrem Server gehostete .well-known-Datei eine Verbindung zu einem externen Identitätsanbieter oder der Google-Identität her. Ihr IdP überprüft die Identität von Nutzern, bevor diese Inhalte verschlüsseln oder auf verschlüsselte Inhalte zugreifen können. |
Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen |
| Schritt 3: Externen Schlüsseldienst einrichten | Richten Sie den Dienst für die clientseitige Verschlüsselung in Google Workspace zusammen mit Ihrem Schlüsseldienstpartner ein. | Schlüsseldienst für clientseitige Verschlüsselung einrichten |
| Schritt 4: Informationen zu Ihrem Schlüsseldienst in der Admin-Konsole hinzufügen |
Fügen Sie die URL des externen Schlüsseldienstes in der Admin-Konsole hinzu, um den Dienst mit Google Workspace zu verbinden. Sie können mehrere Schlüsseldienste hinzufügen, um bestimmten Organisationseinheiten oder Gruppen unterschiedliche Schlüsseldienste zuzuweisen. |
Schlüsseldienste für clientseitige Verschlüsselung hinzufügen und verwalten |
| Schritt 5: Schlüsseldienst Nutzern zuweisen | Weisen Sie den Schlüsseldienst oder mehrere Dienste den Organisationseinheiten und Gruppen zu. Sie müssen einen Schlüsseldienst als Standarddienst für Ihre Organisation zuweisen. | Nutzern clientseitige Verschlüsselung zuweisen |
| Schritt 5: (nur Gmail-CSE) Verschlüsselungsschlüssel von Nutzern hochladen |
Erstellen Sie ein CGP-Projekt (Google Cloud Platform) und aktivieren Sie die Gmail API. Gewähren Sie dann der gesamten Organisation Zugriff auf die API, aktivieren Sie die clientseitige Verschlüsselung für Gmail-Nutzer und laden Sie private und öffentliche Verschlüsselungsschlüssel in Gmail hoch. Hinweis: Für diesen Schritt sind Erfahrung mit APIs und Python-Skripts erforderlich. |
Nur Gmail: Verschlüsselungsschlüssel für clientseitige Verschlüsselung hochladen |
| Schritt 6: CSE für Nutzer aktivieren | Aktivieren Sie die clientseitige Verschlüsselung für alle Organisationseinheiten oder Gruppen in Ihrer Organisation mit Nutzern, die clientseitig verschlüsselte Inhalte erstellen müssen. | Clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren |
| Schritt 7 (optional): Externen Zugriff einrichten | Für den Zugriff auf verschlüsselte Gmail-Inhalte benötigen externe Nutzer lediglich S/MIME. Andernfalls haben Sie je nach Organisation und Inhalt zwei Möglichkeiten, um externen Zugriff zu ermöglichen. | Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren |
| Schritt 8 (optional): Nachrichten als clientseitig verschlüsselte E-Mails in Gmail importieren | Wenn Ihre Organisation Nachrichten in einem anderen Dienst oder in einem anderen Verschlüsselungsformat hat, können Sie diese Nachrichten als Administrator als clientseitig verschlüsselte Nachrichten im Format S/MIME zu Gmail migrieren. | Nachrichten als clientseitig verschlüsselte E-Mails zu Gmail migrieren |
Wenn Sie Hardwareverschlüsselungsschlüssel für Gmail verwenden
Requires having the Assured Controls add-on.
Führen Sie die folgenden Schritte aus, wenn Sie die Hardwareverschlüsselungsschlüssel für alle oder einige Ihrer Gmail-Nutzer anstelle eines externen Schlüsseldienstes einrichten möchten.
| Schritt | Beschreibung | So führen Sie diesen Schritt aus |
|---|---|---|
| Schritt 1: Google Workspace mit dem Identitätsanbieter verbinden | Stellen Sie über die Admin-Konsole oder eine auf Ihrem Server gehostete .well-known-Datei eine Verbindung zu einem externen Identitätsanbieter oder der Google-Identität her. Ihr IdP überprüft die Identität von Nutzern, bevor diese Inhalte verschlüsseln oder auf verschlüsselte Inhalte zugreifen können. | Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen |
| Schritt 2: Hardwareverschlüsselungsschlüssel einrichten |
Installieren Sie die Google Workspace-Anwendung für den Hardwareschlüssel auf den Windows-Geräten der Nutzer. Hinweis: Für diesen Schritt ist Erfahrung im Umgang mit PowerShell-Skripts erforderlich. |
Nur Gmail: Hardwareverschlüsselungsschlüssel einrichten und verwalten |
| Schritt 3: Der Admin-Konsole Informationen zur Hardwareverschlüsselung hinzufügen | Geben Sie die Portnummer ein, über die Google Workspace mit dem Smartcard-Lesegerät auf den Windows-Geräten der Nutzer kommuniziert. | Nur Gmail: Hardwareverschlüsselungsschlüssel einrichten und verwalten |
| Schritt 4: Nutzern Hardwareverschlüsselung zuweisen | Weisen Sie Ihren Organisationseinheiten und Gruppen die Verschlüsselung mit Hardwareschlüsseln zu. | Nutzern clientseitige Verschlüsselung zuweisen |
| Schritt 5: Öffentliche Verschlüsselungsschlüssel von Nutzern hochladen |
Erstellen Sie ein CGP-Projekt (Google Cloud Platform) und aktivieren Sie die Gmail API. Gewähren Sie dann der gesamten Organisation Zugriff auf die API, aktivieren Sie die clientseitige Verschlüsselung für Gmail-Nutzer und laden Sie öffentliche Verschlüsselungsschlüssel in Gmail hoch. Hinweis: Für diesen Schritt sind Erfahrung mit APIs und Python-Skripts erforderlich. |
Nur Gmail: Verschlüsselungsschlüssel für clientseitige Verschlüsselung hochladen |
| Schritt 6 (optional): Nachrichten als clientseitig verschlüsselte E-Mails in Gmail importieren | Wenn Ihre Organisation Nachrichten in einem anderen Dienst oder in einem anderen Verschlüsselungsformat hat, können Sie diese Nachrichten als Administrator als clientseitig verschlüsselte Nachrichten im Format S/MIME zu Gmail migrieren. | Nachrichten als clientseitig verschlüsselte E-Mails zu Gmail migrieren |
