Nutzern die clientseitige Verschlüsselung zuweisen

Nachdem Sie in der Admin-Konsole einen oder mehrere externe Schlüsseldienste für die clientseitige Verschlüsselung (Client-side Encryption, CSE) in Google Workspace hinzugefügt haben, müssen Sie sie Organisationseinheiten oder Konfigurationsgruppen zuweisen. Wenn Sie einen Schlüsseldienst zuweisen, können Nutzer, die Sie der KACL (Key Access Control List) Ihres externen Dienstes hinzugefügt haben, Inhalte verschlüsseln und entschlüsseln.

Wenn Sie die Verschlüsselung mit Hardwareschlüsseln für die clientseitige Verschlüsselung in Gmail eingerichtet haben, müssen Sie sie Organisationseinheiten oder Konfigurationsgruppen zuweisen. Erfordert das Add-on Assured Controls oder Assured Controls Plus.

Für Nutzer, die Inhalte verschlüsseln müssen, müssen Sie auch die clientseitige Verschlüsselung aktivieren. Weitere Informationen finden Sie im Hilfeartikel Clientseitige Verschlüsselung aktivieren oder deaktivieren.

Hinweis

Weisen Sie einen standardmäßigen Schlüsseldienst zu.

Damit die clientseitige Verschlüsselung organisationsweit richtig funktioniert, müssen Sie einen externen Schlüsseldienst als Standarddienst für die gesamte Organisation festlegen. Beispiel: Wenn die clientseitige Verschlüsselung für eine Gruppe aktiviert ist, die jedoch eine geteilte Ablage in einer Organisationseinheit verwendet, für die die Funktion deaktiviert ist, wird der Standardschlüsseldienst verwendet.
Wenn Sie Ihren ersten Schlüsseldienst in der Admin-Konsole hinzufügen, werden Sie aufgefordert, einen Standarddienst für die oberste Organisationseinheit zuzuweisen. Wenn Sie den Standard noch nicht zugewiesen haben, müssen Sie das tun, bevor Sie die clientseitige Verschlüsselung für Nutzer aktivieren. Eine Anleitung dazu finden Sie weiter unten auf dieser Seite im Abschnitt Standardschlüsseldienst für Ihre Organisation zuweisen.

Mehrere Schlüsseldienste für verschiedene Nutzer verwenden

Sie können einen anderen Schlüsseldienst als den Standarddienst für eine Organisationseinheit oder Gruppe festlegen. Sie können beispielsweise verschiedene Schlüsseldienste für verschiedene Standorte Ihrer Organisation verwenden.
Wenn Inhalte bereits mit dem aktuellen Schlüsseldienst verschlüsselt sind , empfiehlt es sich, verschlüsselte Inhalte zum neuen Dienst zu migrieren. Weitere Informationen finden Sie weiter unten auf dieser Seite im Abschnitt Zu einem neuen Schlüsseldienst wechseln.

Zu einem neuen Schlüsseldienst wechseln

Wenn Sie zuvor einen Schlüsseldienst für eine Organisationseinheit oder Gruppe zugewiesen haben, können Sie zu einem anderen Dienst wechseln. Wenn Inhalte bereits durch den aktuellen Schlüsseldienst verschlüsselt sind, empfiehlt es sich, die Inhalte zum neuen Dienst zu migrieren. Weitere Informationen finden Sie weiter unten auf dieser Seite im Abschnitt Verschlüsselte Inhalte zu einem neuen Schlüsseldienst migrieren.
Wenn Sie zu einem neuen Schlüsseldienst wechseln, aber keine Inhalte migrieren: Vorhandene verschlüsselte Inhalte bleiben nur vom aktuellen Dienst verschlüsselt, nicht von dem neuen Dienst, den Sie hinzugefügt haben. Das bedeutet, dass Sie den aktuellen Dienst weiterhin verwenden müssen, um auf zuvor verschlüsselte Inhalte zuzugreifen.

Verschlüsselung mit einem Schlüsseldienst zuweisen

Standardschlüsseldienst für Ihre Organisation zuweisen

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Datenund dannComplianceund dannClientseitige Verschlüsselung.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
  3. Wählen Sie im linken Bereich entweder Alle Nutzer in diesem Konto oder die oberste Organisationseinheit aus.
  4. Klicken Sie auf Schlüsseldienst und wählen Sie Ihren Schlüsseldienst in der Drop-down-Liste aus.
  5. Klicken Sie auf Speichern.

Bestimmten Nutzern unterschiedliche Schlüsseldienste zuweisen

Wenn Sie in der Admin-Konsole mehrere Schlüsseldienste hinzugefügt haben, können Sie einen anderen Schlüsseldienst als den aktuellen Dienst auswählen, der einer Organisationseinheit oder Gruppe zugewiesen ist.

Wichtig:Wenn Inhalte bereits mit dem aktuellen Schlüsseldienst verschlüsselt sind, empfiehlt es sich, verschlüsselte Inhalte zum neuen Dienst zu migrieren. So sorgen Sie dafür, dass Sie weiterhin auf clientseitig verschlüsselte Inhalte zugreifen können. Weitere Informationen finden Sie weiter unten auf dieser Seite im Abschnitt Verschlüsselte Inhalte zu einem neuen Schlüsseldienst migrieren.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Datenund dannComplianceund dannClientseitige Verschlüsselung.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
  3. Wählen Sie im linken Bereich eine Organisationseinheit oder Gruppe aus, für die Sie einen anderen Schlüsseldienst verwenden möchten.
  4. Klicken Sie auf Schlüsseldienst und wählen Sie den neuen Schlüsseldienst in der Drop-down-Liste aus.
  5. Klicken Sie auf Überschreiben , um Ihre Einstellung beizubehalten, wenn die Einstellungen für die clientseitige Verschlüsselung für die übergeordnete Organisationseinheit geändert werden.
  6. Wenn für die Organisationseinheit bereits Überschrieben festgelegt ist, wählen Sie eine Option aus:
    • Übernehmen: Die Einstellung der übergeordneten Organisationseinheit wird übernommen.
    • Speichern : Ihre neue Einstellung für die clientseitige Verschlüsselung wird gespeichert (auch wenn sich die Einstellung der übergeordneten Organisationseinheit ändert).
Änderungen können bis zu 24 Stunden dauern, werden aber in der Regel schneller übernommen. Weitere Informationen

Verschlüsselte Inhalte zu einem neuen Schlüsseldienst migrieren

Wenn Sie Ihren vorhandenen Schlüsseldienst nicht mehr zum Verschlüsseln von Inhalten einer bestimmten Organisationseinheit bzw. Gruppe verwenden möchten, können Sie einen neuen Dienst hinzufügen, den Ersatzdienst auswählen und die verschlüsselten Inhalte zum neuen Dienst migrieren.

Vor der Migration

Welche Dienste werden unterstützt?

Derzeit können Sie verschlüsselte Inhalte für die folgenden Dienste migrieren:

  • Google Drive und Google Docs
  • Google Kalender

So wechseln Sie zu einem anderen Schlüsseldienst für die clientseitige Verschlüsselung in Gmail:Laden Sie mit der Gmail API für jeden einzelnen Nutzer ein neues S/MIME-Zertifikat mit vom neuen Schlüsseldienst verpackten Schlüsseln hoch. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren.

Google entschlüsselt keine Inhalte

Während der Migration entschlüsselt Google keine Inhalte. Der neue Dienst entpackt die Verschlüsselungsebene aus dem vorherigen Dienst und ersetzt sie durch eine neue Verschlüsselungsebene.

Keine Auswirkungen auf Nutzer

Während der Migration können Nutzer weiterhin verschlüsselte Inhalte verschlüsseln oder ansehen.

Migrationsstatus nicht verfügbar

Der Fortschritt und Benachrichtigungen über Probleme sind nicht verfügbar.

Migration zuerst für eine kleine Anzahl von Nutzern testen

Es empfiehlt sich, die Migration zuerst für eine kleine Anzahl von Nutzern zu testen, bevor Sie eine vollständige Migration für alle Nutzerinhalte durchführen. Weisen Sie den neuen Schlüssel nur einer Organisationseinheit oder Gruppe zu und aktivieren Sie die Migration für diese Nutzer, um festzustellen, ob es Probleme bei der Migration gibt.

Versuchen Sie nach der Testmigration, neue Inhalte mit dem neuen Schlüsseldienst zu verschlüsseln, und prüfen Sie, ob Sie weiterhin auf zuvor verschlüsselte Inhalte zugreifen und sie bearbeiten können.

Migrationszeit verkürzen

Wenn Sie die Anzahl der Elemente minimieren möchten, die mit dem aktuellen Schlüsseldienst verschlüsselt sind, starten Sie die vollständige Migration außerhalb der Spitzenzeiten.

Schritt 1: Neuen Schlüsseldienst in der Admin-Konsole hinzufügen

  • Wenn Sie derzeit nur einen Verschlüsselungsschlüsseldienst verwenden: Fügen Sie den neuen Schlüsseldienst hinzu und wählen Sie den aktuellen Dienst als Ersatz aus. Weitere Informationen finden Sie im Hilfeartikel Externen Schlüsseldienst hinzufügen.
  • Wenn es für einen Schlüsseldienst, den Sie derzeit verwenden, bereits einen Ersatzdienst gibt: Entfernen Sie den Ersatz für den Schlüsseldienst. Weitere Informationen finden Sie im Hilfeartikel Ersatz aus Schlüsseldienst entfernen. Fügen Sie dann den neuen Schlüsseldienst hinzu und wählen Sie die aktuellen Dienste als Ersatz aus.

    Wichtig: Wenn Sie derzeit Inhalte aus dem Ersatzdienst migrieren, den Sie entfernen möchten, warten Sie, bis die Migration abgeschlossen ist. Sobald Sie den Ersatzdienst entfernen, wird die Migration sofort beendet. Weitere Informationen finden Sie weiter unten auf dieser Seite im Abschnitt Schritt 4: Prüfen, ob die Migration abgeschlossen ist.

Schritt 2: Aktuellen Schlüsseldienst durch neuen Schlüsseldienst ersetzen

Nachdem Sie den neuen Schlüsseldienst hinzugefügt haben, weisen Sie ihn Organisationseinheiten oder Gruppen zu. Weitere Informationen finden Sie oben im Abschnitt Schlüsseldienst für clientseitige Verschlüsselung zuweisen.

Schritt 3: Migration aktivieren

Nachdem Sie den neuen Schlüsseldienst für eine Organisationseinheit oder Gruppe ausgewählt haben, können Sie die Migration aktivieren, falls es Dienste mit vorher verschlüsselten Inhalten gibt, die migriert werden können.

Die Migrationsdauer hängt davon ab, wie viel Inhalt mit dem aktuellen Schlüsseldienst verschlüsselt wurde und wie schnell der neue Schlüsseldienst arbeitet. Es kann einige Stunden bis mehrere Tage dauern, bis die Migration von Inhalten abgeschlossen ist.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Datenund dannComplianceund dannClientseitige Verschlüsselung.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
  3. Wählen Sie im linken Bereich die Organisationseinheit oder Gruppe aus, deren Inhalte Sie in einen neuen Schlüsseldienst migrieren möchten.
  4. Klicken Sie unter Migration auf Ein.

    Hinweis: Diese Option ist nur verfügbar, wenn unter Migration Dienste mit zuvor verschlüsselten Inhalten aufgeführt sind.

  5. Setzen Sie in der Bestätigungsnachricht ein Häkchen, um zu bestätigen, dass die Migration nach dem Start nicht mehr rückgängig gemacht werden kann. Klicken Sie anschließend auf Speichern.

Die Migration wird gestartet.

Schritt 4: Prüfen, ob die Migration abgeschlossen ist

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Datenund dannComplianceund dannClientseitige Verschlüsselung.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Klicken Sie unter Verschlüsselung mit externem Schlüsseldienst auf Zuweisen.
  3. Wählen Sie im linken Bereich die Organisationseinheit oder Gruppe aus, für die Sie verschlüsselte Inhalte in einen neuen Schlüsseldienst migrieren möchten.
  4. Prüfen Sie unter Migration, wie viele Elemente mit dem vorherigen Dienst (jetzt dem Ersatzdienst) verschlüsselt wurden.

    Wenn keine verschlüsselten Elemente vorhanden sind, ist die Migration abgeschlossen.

Schritt 5 (optional): Ersatzschlüsseldienst entfernen

Wenn die Migration abgeschlossen ist und Sie den Ersatzdienst nicht mehr verwenden möchten, können Sie ihn für den neuen Schlüsseldienst entfernen. Weitere Informationen finden Sie im Hilfeartikel Ersatz aus Schlüsseldienst entfernen.

Verschlüsselung mit Hardwareschlüsseln zuweisen (nur Gmail)

Wenn Sie die Verschlüsselung mit Hardwareschlüsseln für alle oder einige Nutzer in Ihrer Organisation zum Verschlüsseln von Gmail einrichten, müssen Sie sie diesen Nutzern zuweisen.

Wenn Sie auch einen Verschlüsselungsschlüsseldienst für Gmail verwenden: Sie können denselben Nutzern wie den Schlüsseldienst die Verschlüsselung mit Hardwareschlüsseln zuweisen. Diese Nutzer verschlüsseln Gmail jedoch entweder mit dem Schlüsseldienst oder mit einem Hardwareschlüssel, je nachdem, wie Sie ihre Verschlüsselungsschlüssel für Gmail eingerichtet haben. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Datenund dannComplianceund dannClientseitige Verschlüsselung.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Klicken Sie unter Verschlüsselung mit Hardwareschlüsseln auf Zuweisen.
  3. Wählen Sie im linken Bereich eine Organisationseinheit oder Gruppe aus, für die Sie einen anderen Schlüsseldienst verwenden möchten.
  4. Klicken Sie auf Verschlüsselung mit Hardwareschlüsseln und setzen Sie ein Häkchen in das Kästchen.
  5. Wenn Sie eine untergeordnete Organisationseinheit ausgewählt haben, klicken Sie auf Überschreiben , um Ihre Einstellung beizubehalten, wenn die Einstellungen für die clientseitige Verschlüsselung für die übergeordnete Organisationseinheit geändert werden.
  6. Wenn für die Organisationseinheit bereits Überschrieben festgelegt ist, wählen Sie eine Option aus:
    • Übernehmen: Die Einstellung der übergeordneten Organisationseinheit wird übernommen.
    • Speichern : Ihre neue Einstellung für die clientseitige Verschlüsselung wird gespeichert (auch wenn sich die Einstellung der übergeordneten Organisationseinheit ändert).
Änderungen können bis zu 24 Stunden dauern, werden aber in der Regel schneller übernommen. Weitere Informationen