Wijs client-side encryptie toe aan gebruikers.

Nadat u een of meer externe sleutelservices aan uw beheerdersconsole voor client-side versleuteling (CSE) van Google Workspace hebt toegevoegd, moet u deze toewijzen aan organisatie-eenheden of configuratiegroepen. Door een sleutelservice toe te wijzen, kunnen gebruikers die u aan de toegangsbeheerlijst van uw externe service hebt toegevoegd, inhoud versleutelen en ontsleutelen.

Als u hardwarematige sleutelversleuteling voor Gmail CSE hebt ingesteld, moet u deze toewijzen aan organisatie-eenheden of configuratiegroepen. Hiervoor is de add-on Assured Controls of Assured Controls Plus vereist.

Voor gebruikers die content moeten versleutelen, is het ook nodig om CSE in te schakelen. Zie Client-side versleuteling in- of uitschakelen voor meer informatie.

Voordat je begint

Zorg ervoor dat u een standaard sleutelservice toewijst.

Om ervoor te zorgen dat CSE-services correct werken binnen uw organisatie, moet u een externe sleutelservice instellen als de standaardservice voor uw hele organisatie. Als CSE bijvoorbeeld is ingeschakeld voor een groep, maar deze groep een gedeelde schijf gebruikt in een organisatie-eenheid waar CSE is uitgeschakeld, wordt de standaard sleutelservice gebruikt.
Wanneer u uw eerste sleutelservice toevoegt aan de beheerdersconsole, wordt u gevraagd een standaardservice toe te wijzen aan de hoogste organisatie-eenheid. Als u de standaardservice nog niet hebt toegewezen, zorg er dan voor dat u dit doet voordat u CSE voor gebruikers inschakelt. Zie voor instructies ' De standaard sleutelservice voor uw organisatie toewijzen' verderop op deze pagina.

Als u meerdere sleutelservices voor verschillende gebruikers wilt gebruiken

U kunt voor een organisatie-eenheid of -groep een andere sleutelservice toewijzen dan de standaardservice. U wilt bijvoorbeeld mogelijk verschillende sleutelservices gebruiken voor verschillende locaties binnen uw organisatie.
Als de inhoud al is versleuteld met de huidige sleutelservice, is het raadzaam om de versleutelde inhoud naar de nieuwe service te migreren. Ga naar ' Als u later op deze pagina wilt overschakelen naar een nieuwe sleutelservice' .

Als u wilt overstappen naar een nieuwe sleutelservice

Als u eerder een sleutelservice hebt toegewezen aan een organisatie-eenheid of -groep, kunt u overschakelen naar een andere service. Als er al inhoud is versleuteld door de huidige sleutelservice, is het raadzaam deze inhoud naar de nieuwe service te migreren . Zie verderop op deze pagina 'Versleutelde inhoud migreren naar een nieuwe sleutelservice' voor meer informatie.
Als u overschakelt naar een nieuwe sleutelservice maar de inhoud niet migreert: Alle bestaande versleutelde inhoud blijft alleen versleuteld door de huidige service, niet door de nieuwe service die u hebt toegevoegd. Dit betekent dat u de huidige service moet blijven gebruiken om toegang te houden tot de eerder versleutelde inhoud.

Wijs versleuteling toe met een sleutelservice.

Wijs de standaard sleutelservice toe aan uw organisatie.

Voor deze taak moet u zijn aangemeld als superbeheerder .

  1. Ga in de Google Admin-console naar Menu. en dan Gegevens en dan Naleving en dan Client-side encryptie .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Klik onder 'Versleuteling met externe sleutelservice' op 'Toewijzen' .
  3. Selecteer in het linkerpaneel ' Alle gebruikers in dit account' of de organisatie-eenheid op het hoogste niveau.
  4. Klik op Sleutelservice en selecteer uw sleutelservice in de vervolgkeuzelijst.
  5. Klik op Opslaan .

Wijs een andere sleutelservice toe aan specifieke gebruikers.

Als u meerdere sleutelservices aan uw beheerdersconsole hebt toegevoegd, kunt u een andere sleutelservice selecteren dan de service die momenteel aan een organisatie-eenheid of -groep is toegewezen.

Belangrijk: Als de inhoud al is versleuteld met de huidige sleutelservice, is het raadzaam om de versleutelde inhoud naar de nieuwe service te migreren. Zo blijft de bestaande, aan de clientzijde versleutelde inhoud toegankelijk. Zie verderop op deze pagina 'Versleutelde inhoud migreren naar een nieuwe sleutelservice' voor meer informatie.

Voor deze taak moet u zijn aangemeld als superbeheerder .

  1. Ga in de Google Admin-console naar Menu. en dan Gegevens en dan Naleving en dan Client-side encryptie .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Klik onder 'Versleuteling met externe sleutelservice' op 'Toewijzen' .
  3. Selecteer in het linkerpaneel een organisatie-eenheid of -groep waarvoor u een andere sleutelservice wilt gebruiken.
  4. Klik op Sleutelservice en selecteer de nieuwe sleutelservice in de vervolgkeuzelijst.
  5. Klik op 'Overschrijven' om uw instelling te behouden als de CSE-instellingen voor de bovenliggende organisatie-eenheid worden gewijzigd.
  6. Als 'Overridden' al is ingesteld voor de organisatie-eenheid, kies dan een optie:
    • Overnemen — Keert terug naar dezelfde CSE-instelling als het bovenliggende element.
    • Opslaan —Hiermee worden je nieuwe CSE-instellingen opgeslagen (zelfs als de bovenliggende instellingen wijzigen).
Wijzigingen kunnen tot 24 uur duren, maar worden doorgaans sneller doorgevoerd. Lees meer .

Versleutelde inhoud migreren naar een nieuwe sleutelservice.

Als u uw bestaande sleutelservice niet langer wilt gebruiken om inhoud voor een organisatie-eenheid of -groep te versleutelen, kunt u een nieuwe service toevoegen, de back-upservice selecteren en de versleutelde inhoud naar de nieuwe service migreren.

Voordat u begint met de migratie

Welke diensten worden ondersteund?

Momenteel kunt u versleutelde inhoud migreren voor de volgende services:

  • Google Drive en Docs
  • Google Agenda

Om over te schakelen naar een andere sleutelservice voor Gmail CSE: u moet de Gmail API gebruiken om voor elke gebruiker een nieuw S/MIME-certificaat te uploaden met sleutels die zijn versleuteld door de nieuwe sleutelservice. Ga voor meer informatie naar Gmail: S/MIME-certificaten configureren voor client-side versleuteling .

Google decodeert geen content.

Tijdens de migratie decodeert Google de inhoud nooit. De nieuwe dienst verwijdert de versleutelingslaag van de vorige dienst en vervangt deze door een nieuwe versleutelingslaag.

Dit heeft geen gevolgen voor gebruikers.

Tijdens de migratie kunnen gebruikers ongestoord doorgaan met het versleutelen of bekijken van versleutelde inhoud.

De migratiestatus is niet beschikbaar.

De voortgang en eventuele problemen worden niet gemeld.

Test de migratie eerst op een klein aantal gebruikers.

Het is raadzaam om de migratie eerst op een klein aantal gebruikers uit te proberen, voordat u een volledige migratie uitvoert op alle gebruikerscontent. Wijs de nieuwe sleutel toe aan slechts één organisatie-eenheid of groep en schakel de migratie voor die gebruikers in om te controleren of er migratieproblemen optreden.

Probeer na de testmigratie nieuwe inhoud te versleutelen met de nieuwe sleutelservice en controleer of u de eerder versleutelde inhoud nog steeds kunt openen en bewerken.

Verkort de migratietijd

Om het aantal nieuwe items dat met de huidige sleutelservice wordt versleuteld te minimaliseren, start u de volledige migratie tijdens daluren.

Stap 1: Voeg de nieuwe sleutelservice toe aan de beheerdersconsole.

  • Als u momenteel slechts één versleutelingssleutelservice gebruikt: voeg de nieuwe sleutelservice toe als de primaire en kies de huidige service als de back-up. Zie ' Een externe sleutelservice toevoegen' voor meer informatie. Om toegang te behouden tot bestaande versleutelde gegevens, moet u ervoor zorgen dat de back-upservice is geconfigureerd om JSON Web Tokens (JWT's) van de nieuwe primaire service te accepteren.
  • Als een van de sleutelservices die u momenteel gebruikt al een back-upservice heeft: Verwijder de back-up van de sleutelservice. Zie Back-up verwijderen van een sleutelservice voor meer informatie. Voeg vervolgens de nieuwe sleutelservice toe en selecteer de huidige services als back-up.

    Belangrijk: Als u momenteel inhoud migreert vanuit de back-up die u wilt verwijderen, wacht dan tot de migratie is voltooid. Zodra u de back-up verwijdert, stopt de migratie onmiddellijk. Zie stap 4: Controleren of de migratie is voltooid verderop op deze pagina voor meer informatie.

Stap 2: Vervang de huidige sleutelservice door de nieuwe sleutelservice.

Nadat u de nieuwe sleutelservice hebt toegevoegd, wijst u deze toe aan organisatie-eenheden of -groepen. Zie ' Een sleutelservice toewijzen voor client-side encryptie' hierboven voor meer informatie.

Stap 3: Schakel de migratie in.

Nadat u de nieuwe sleutelservice voor een organisatie-eenheid of -groep hebt geselecteerd, kunt u de migratie inschakelen als er services zijn met eerder versleutelde inhoud die kunnen worden gemigreerd.

De migratietijd varieert afhankelijk van de hoeveelheid content die met de huidige sleutelservice is versleuteld en de verwerkingssnelheid van de nieuwe sleutelservice. Het kan enkele uren tot meerdere dagen duren voordat er vooruitgang is geboekt met de contentmigratie.

Voor deze taak moet u zijn aangemeld als superbeheerder .

  1. Ga in de Google Admin-console naar Menu. en dan Gegevens en dan Naleving en dan Client-side encryptie .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Klik onder 'Versleuteling met externe sleutelservice' op 'Toewijzen' .
  3. Selecteer in het linkerpaneel de organisatie-eenheid of -groep waarvoor u de inhoud naar een nieuwe sleutelservice wilt migreren.
  4. Klik onder Migratie op Aan .

    Let op: deze optie is alleen beschikbaar als er services met eerder versleutelde inhoud worden vermeld onder Migratie .

  5. Vink in het bevestigingsbericht het vakje aan om aan te geven dat u begrijpt dat de migratie niet ongedaan kan worden gemaakt zodra deze is gestart. Klik vervolgens op Opslaan .

Het migratieproces start.

Stap 4: Controleer of de migratie is voltooid

Voor deze taak moet u zijn aangemeld als superbeheerder .

  1. Ga in de Google Admin-console naar Menu. en dan Gegevens en dan Naleving en dan Client-side encryptie .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Klik onder 'Versleuteling met externe sleutelservice' op 'Toewijzen' .
  3. Selecteer in het linkerpaneel de organisatie-eenheid of -groep waarvoor u versleutelde inhoud naar een nieuwe sleutelservice wilt migreren.
  4. Controleer onder Migratie het aantal items dat is versleuteld met de vorige service (nu de back-upservice).

    Als er geen versleutelde items zijn, is de migratie voltooid.

Stap 5: (Optioneel) Verwijder de back-upsleutelservice

Als de contentmigratie is voltooid en u de back-upservice niet langer wilt gebruiken, kunt u deze verwijderen uit de nieuwe sleutelservice. Zie Back-up verwijderen uit een sleutelservice voor meer informatie.

Versleuteling toewijzen met hardwarematige sleutels (alleen Gmail)

Als u hardwarematige sleutelversleuteling instelt voor alle of sommige gebruikers in uw organisatie om Gmail te versleutelen, moet u deze aan die gebruikers toewijzen.

Als u ook een encryptiesleutelservice voor Gmail gebruikt: u kunt hardwarematige encryptie toewijzen aan dezelfde gebruikers als de sleutelservice; deze gebruikers versleutelen Gmail echter met behulp van de sleutelservice of een hardwarematige sleutel, afhankelijk van hoe u hun encryptiesleutels voor Gmail hebt ingesteld. Zie voor meer informatie Gmail: S/MIME-certificaten configureren voor client-side encryptie .

Voor deze taak moet u zijn aangemeld als superbeheerder .

  1. Ga in de Google Admin-console naar Menu. en dan Gegevens en dan Naleving en dan Client-side encryptie .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Klik onder Versleuteling met hardware-sleutels op Toewijzen .
  3. Selecteer in het linkerpaneel een organisatie-eenheid of -groep waarvoor u een andere sleutelservice wilt gebruiken.
  4. Klik op Hardware-sleutelversleuteling en vink het vakje aan.
  5. Als u een onderliggende organisatie-eenheid hebt geselecteerd, klikt u op 'Overschrijven' om uw instelling te behouden als de CSE-instellingen voor de bovenliggende organisatie-eenheid worden gewijzigd.
  6. Als 'Overridden' al is ingesteld voor de organisatie-eenheid, kies dan een optie:
    • Overnemen — Keert terug naar dezelfde CSE-instelling als het bovenliggende element.
    • Opslaan —Hiermee worden je nieuwe CSE-instellingen opgeslagen (zelfs als de bovenliggende instellingen wijzigen).
Wijzigingen kunnen tot 24 uur duren, maar worden doorgaans sneller doorgevoerd. Lees meer .