Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren

Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Standard und Education Plus. Versionen vergleichen

Als Administrator können Sie externen Nutzern Zugriff auf Ihre Inhalte gewähren, die mit der clientseitigen Verschlüsselung (Client-side Encryption, CSE) von Google Workspace verschlüsselt wurden. Es gibt zwei Methoden für den externen Zugriff:

  • Zugriff für externe Organisationen einrichten, die ebenfalls die clientseitige Verschlüsselung verwenden. Mit dieser Methode können Sie einer externen Organisation Zugriff auf verschlüsselte Inhalte gewähren, wenn sie die Nutzer- und CSE-Anforderungen erfüllt.
  • Gast-Identitätsanbieter (IdP) konfigurieren, um Zugriff für alle externen Nutzer zu ermöglichen: Mit dieser Methode können Ihre Nutzer sowohl Google- als auch Nicht-Google-Konten Zugriff auf Ihre clientseitig verschlüsselten Inhalte gewähren. Externe Organisationen müssen die clientseitige Verschlüsselung nicht einrichten und ihre Nutzer benötigen keine Google Workspace- oder Cloud Identity-Lizenz.
    Die Konfiguration des Gast-IdP ist derzeit nur für die Webanwendungen von Gmail, Google Meet, Google Drive, Google Docs, Google Sheets und Google Präsentationen verfügbar. Die Konfiguration der Gast-IdP für mobile Anwendungen dieser Dienste wird in einer künftigen Version verfügbar sein.

Externer Zugriff auf verschlüsselte E‑Mails

Sie haben zwei Möglichkeiten, externen Zugriff auf clientseitig verschlüsselte E‑Mails zu gewähren.

 Option 1: Gmail-E2EE ohne S/MIME verwenden

Wenn Nutzer clientseitig verschlüsselte Nachrichten mit externen Nutzern austauschen, die möglicherweise kein S/MIME verwenden, können Sie die Option Verschlüsselung mit Gastkonten verwenden. Bei dieser Option wird die Ende-zu-Ende-Verschlüsselung (E2EE) von Gmail verwendet, um verschlüsselte Kommunikation mit externen Nutzern automatisch zu verarbeiten, ohne dass eine herkömmliche S/MIME-Einrichtung oder Zertifikate erforderlich sind. Mit der E2EE-Funktion in Gmail können Nutzer verschlüsselte Nachrichten an beliebige externe Nutzer senden.Erfordert das Add-on „Assured Controls“ oder „Assured Controls Plus“.

So gewähren Sie externen Zugriff mit der Gmail-E2EE:

  • Sie müssen einen Gast-IdP konfigurieren, wie weiter unten auf dieser Seite beschrieben.
  • Wenn ein Nutzer eine verschlüsselte Nachricht an jemanden außerhalb Ihrer Organisation sendet, wird der externe Empfänger aufgefordert, ein Gastkonto zu erstellen, um die Nachricht zu öffnen.
  • Sie können Gastkonten in der Organisationseinheit Workspace-Gäste in der Admin-Konsole verwalten. Diese Organisationseinheit wird automatisch erstellt, nachdem Sie Verschlüsselung mit Gastkonten aktiviert und einen Gast-IdP konfiguriert haben. Weitere Informationen finden Sie unter Workspace-Gäste verwalten.

Weitere Informationen zum Senden und Empfangen von clientseitig verschlüsselten E‑Mails und zum Erstellen von Gastkonten finden Sie im Hilfeartikel Clientseitige Verschlüsselung in Gmail

Option 2: S/MIME-Zertifikate verwenden

Wenn Nutzer clientseitig verschlüsselte Nachrichten nur mit externen Nutzern austauschen, die S/MIME verwenden, ist keine zusätzliche Einrichtung erforderlich. Sie müssen keinen Gast-IdP verwenden und externe Nutzer benötigen keine Google Workspace- oder Cloud Identity-Lizenz.

Externen Zugriff für externe Organisationen einrichten, die die clientseitige Verschlüsselung verwenden

Wenn eine externe Organisation und Ihre Organisation die folgenden Anforderungen erfüllen, können Sie den externen Zugriff auf clientseitig verschlüsselte Inhalte Ihrer Organisation für Drive und Docs, Kalender und Meet gewähren.

Abschnitt öffnen  |  Alle minimieren

Lizenzanforderungen für externe Nutzer

Externe Nutzer benötigen eine Google Workspace- oder Cloud Identity-Lizenz, um auf clientseitig verschlüsselte Daten zugreifen zu können.

Hinweis: Mit dieser externen Zugriffsmethode können Nutzer mit einem privaten (nicht verwalteten) Google-Konto oder einem Besucherkonto nicht auf clientseitig verschlüsselte Inhalte Ihrer Organisation zugreifen.

Einrichtungsanforderungen für externe Organisationen
Externe Organisationen müssen die clientseitige Verschlüsselung ebenfalls einrichten, um auf clientseitig verschlüsselte Inhalte Ihrer Organisation zugreifen zu können.
Einrichtungsanforderungen für Ihre Organisation
  • Der IdP-Dienst der externen Organisation muss auf der Zulassungsliste Ihres Verschlüsselungsschlüsseldienstes stehen. Normalerweise finden Sie den IdP in der öffentlichen .well-known-Datei, sofern eine solche erstellt wurde. Andernfalls können Sie den Google Workspace-Administrator der externen Organisation um die Informationen zum IdP bitten. 
  • Der Administrator der externen Organisation muss wissen, dass seine Nutzer ihre Authentifizierungstokens für Ihren Schlüsseldienst bereitstellen müssen, damit sie verschlüsselte Inhalte Ihrer Organisation aufrufen oder bearbeiten können. Bei der Authentifizierung müssen die Nutzer ihre IP-Adresse und weitere Identitätsinformationen angeben. Weitere Informationen finden Sie im API-Referenzhandbuch zur clientseitigen Verschlüsselung im Abschnitt Authentifizierungstokens.
  • Je nach den Sicherheitsrichtlinien Ihrer Organisation und der externen Organisation müssen sie möglicherweise auch separate Web- und mobile Client-IDs für den Zugriff auf die verschlüsselten Inhalte Ihrer Organisation erstellen. Diese Client-IDs müssen auf der Zulassungsliste des Verschlüsselungsschlüsseldienstes stehen.

Gast-IdP für externe Nutzer konfigurieren

Wenn Sie externen Organisationen Zugriff auf Ihre clientseitig verschlüsselten Inhalte gewähren möchten, können Sie einen Gast-IdP konfigurieren, um externe Nutzer mit demselben oder einem anderen IdP zu authentifizieren. Mit einem Gast-IdP können Ihre Nutzer verschlüsselte Inhalte für andere in externen Organisationen freigeben, unabhängig davon, ob diese Organisationen auch die clientseitige Verschlüsselung verwenden.

Hinweis : Wenn Sie den externen Zugriff für Organisationen, die ebenfalls CSE verwenden, bereits eingerichtet haben (wie weiter oben auf dieser Seite beschrieben), wird diese Einrichtung nach der Konfiguration eines Gast-IdPs ignoriert.

Abschnitt öffnen  |  Alle minimieren

Gast-IdP in der Admin-Konsole konfigurieren

Folgen Sie der Anleitung unter Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen, um einen IdP einzurichten. Bei der Einrichtung gehen Sie so vor:

  • OIDC-kompatiblen IdP auswählen: Für Gmail und Google Meet können Sie entweder einen Drittanbieter-IdP oder eine Google-Identität verwenden. Für Google Drive- und Docs-Editoren können Sie jedoch nur einen externen IdP verwenden. Diese Einschränkung sorgt für die Unterstützung von Gastkonten für Drive und Docs. Der externe Identitätsanbieter kann derselbe sein, den Sie für Ihre Nutzer verwenden, oder ein anderer. 
  • Zusätzliche Client-ID für Google Meet erstellen: Während des Schritts, in dem Sie Ihre Client-ID für Webservices erstellen, müssen Sie eine zusätzliche Client-ID für Google Meet erstellen.

    Die primäre Client-ID für Webdienste wird für den Schlüsseldienst verwendet und nicht für Google-Systeme freigegeben. Die zusätzliche Client-ID für Meet wird verwendet, um zu bestätigen, dass Gäste, die nicht in Meet angemeldet sind, zur Besprechung eingeladen wurden.

  • Gast-IdP über die Admin-Konsole konfigurieren: Sie müssen die Admin-Konsole verwenden, um die Verbindung zum Gast-IdP zu konfigurieren, und die Option Gast-IdP konfigurieren auswählen. Sie können Ihren Gast-IdP nicht mit einer .well-known-Datei konfigurieren.
Authentifizierungsoptionen für Gast-IdPs einrichten

Nachdem Sie die IdP-Konfiguration in der Admin-Konsole abgeschlossen haben, können Sie mit den Tools Ihres IdP festlegen, wie externe Nutzer authentifiziert werden. Je nach Implementierung Ihres Gast-IdP sind möglicherweise die folgenden Optionen verfügbar:

  • Separate Konten für Gäste einrichten und ihnen Kontopasswörter zuordnen.
  • Gästen einmalige Codes zusenden, mit denen sie ihre E-Mail-Adresse bestätigen können.
  • Gästen erlauben, vorkonfigurierte IdPs wie Google, Apple oder Microsoft zu verwenden.

    Hinweis: Mit der Google-Identität können sich Nutzer mit ihrem Google-Konto anmelden. Wenn sie kein Konto haben, können sie eines erstellen.

Bei jeder Authentifizierungsmethode wird Gästen ein Pop-up-Fenster angezeigt, in dem sie aufgefordert werden, sich mit einem Identitätsanbieter anzumelden, bevor sie auf clientseitig verschlüsselte Inhalte zugreifen können.

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü
5300088075362171768
true
Suchen in der Hilfe
false
true
true
true
true
true
73010
false
false
false
false