Deze pagina is vertaald door de Cloud Translation API.

Overzicht van de configuratie van client-side encryptie

Ondersteunde edities voor deze functie: Frontline Plus; Enterprise Plus; Education Standard en Education Plus. Vergelijk uw editie.

Voordat u begint met het instellen van client-side versleuteling (CSE) in Google Workspace, dient u de vereisten, de opties voor versleutelingssleutels en het installatieoverzicht te bekijken.

CSE-vereisten

Beheerdersrechten voor CSE

Voor Google Workspace hebt u beheerdersrechten nodig om CSE voor uw organisatie te beheren, waaronder:

Het toevoegen en beheren van belangrijke services
Het toewijzen van essentiële diensten aan organisatorische eenheden en groepen.
CSE in- of uitschakelen voor gebruikers

Interne gebruikersvereisten voor CSE

Gebruikerslicentievereisten

Gebruikers hebben een Google Workspace Frontline Plus-, Google Workspace Enterprise Plus-, Google Workspace Education Standard- of Google Workspace for Education Plus-licentie nodig om CSE te kunnen gebruiken voor:
- Maak of upload client-side versleutelde inhoud.
- Organiseer versleutelde vergaderingen
- Versleutelde e-mail verzenden of ontvangen
Gebruikers kunnen elk type Google Workspace- of Cloud Identity-licentie gebruiken om:
- Client-side versleutelde inhoud bekijken, bewerken of downloaden
- Neem deel aan een CSE-vergadering vanaf een computer, een mobiel apparaat of een Google Meet-hardwareapparaat.
Gebruikers met een consumentenaccount van Google (zoals Gmail-gebruikers) hebben geen toegang tot client-side versleutelde inhoud, kunnen geen versleutelde e-mails verzenden en kunnen niet deelnemen aan client-side versleutelde vergaderingen.

Browservereisten

Om client-side versleutelde inhoud te bekijken of te bewerken, moeten gebruikers de browsers Google Chrome of Microsoft Edge (Chromium) gebruiken.

Externe gebruikersvereisten voor CSE

U kunt externe gebruikers toegang geven tot client-side versleutelde inhoud. Om toegang te krijgen tot de versleutelde Gmail-berichten van uw gebruikers, hoeven externe gebruikers alleen S/MIME te gebruiken. Voor andere inhoud gelden andere vereisten, afhankelijk van de methode die u gebruikt om externe toegang te verlenen. Zie Externe toegang tot client-side versleutelde inhoud verlenen voor meer informatie.

Inzicht in de opties voor encryptiesleutels

Externe sleuteldiensten

Om client-side encryptie te gebruiken, moet uw organisatie eigen encryptiesleutels gebruiken. U hebt twee opties voor het aanmaken van uw encryptiesleutels:

Gebruik een externe service voor encryptiesleutels die samenwerkt met Google. Uw sleutelservice begeleidt u bij het instellen van de service voor Google Workspace. Ga naar Uw sleutelservice kiezen voor client-side encryptie voor meer informatie.
Ontwikkel je eigen sleutelservice met behulp van de Google Workspace CSE API .

Hardwaretoetsen voor Gmail

Vereist de aanschaf van de add-on Assured Controls of Assured Controls Plus .

Als gebruikers in uw organisatie smartcards gebruiken om toegang te krijgen tot faciliteiten en systemen, kunt u hardwarematige sleutelversleuteling instellen voor Gmail CSE in plaats van een sleutelservice. Gebruikers kunnen hun hardwarematige sleutel gebruiken om e-mails te ondertekenen en te versleutelen. Ga voor meer informatie naar Gmail: Hardwarematige versleutelingssleutels instellen en beheren.

Overzicht van de CSE-configuratie

Hieronder vindt u een overzicht van de stappen die u moet volgen om client-side encryptie (CSE) in Google Workspace in te stellen. Hoe u CSE instelt, hangt af van het type encryptiesleutels dat u wilt gebruiken.

Als u gebruikmaakt van een externe service voor encryptiesleutels.

Volg deze stappen om versleuteling in te stellen voor Google Drive, Google Agenda en Google Meet. Je volgt deze stappen ook voor Gmail, tenzij je alleen hardwareversleutelingssleutels voor Gmail wilt gebruiken.

Stap	Beschrijving	Hoe voltooi ik deze stap?
Stap 1: Kies uw externe service voor encryptiesleutels.	Meld u aan bij een van Google's partners voor encryptiesleutelservices, of bouw uw eigen service met behulp van de Google Workspace CSE API . Uw sleutelservice beheert de encryptiesleutels op het hoogste niveau die uw gegevens beschermen.	Kies uw sleutelservice voor client-side versleuteling
Stap 2: Verbind Google Workspace met uw identiteitsprovider.	Maak verbinding met een externe identiteitsprovider (IdP) of een Google-identiteit, via de beheerdersconsole of een .well-known-bestand dat op uw server wordt gehost. Uw IdP verifieert de identiteit van gebruikers voordat ze inhoud kunnen versleutelen of toegang krijgen tot versleutelde inhoud.	Maak verbinding met uw identiteitsaanbieder voor client-side versleuteling.
Stap 3: Stel uw externe sleutelservice in.	Werk samen met uw belangrijkste servicepartner om de service in te stellen voor client-side encryptie in Google Workspace. Let op : Bij gebruik van CSE met Meet-hardware moet de server van de externe sleutelservice die voor sleutelbeheer wordt gebruikt, de gedelegeerde aanroep ondersteunen. Deze aanroep wordt gebruikt om een ruimte te autoriseren om namens een geauthenticeerde gebruiker deel te nemen aan een vergadering. Neem voor meer informatie contact op met uw sleutelservice.	Configureer uw sleutelservice voor client-side versleuteling. Gedelegeerde oproep
Stap 4: Voeg uw belangrijkste servicegegevens toe aan de beheerdersconsole.	Voeg de URL van uw externe sleutelservice toe aan de beheerdersconsole om de service met Google Workspace te verbinden. U kunt meerdere sleutelservices toevoegen om verschillende sleutelservices toe te wijzen aan specifieke organisatie-eenheden of groepen.	Voeg belangrijke services toe en beheer deze voor client-side encryptie.
Stap 5: Wijs uw belangrijkste service toe aan gebruikers.	Wijs uw belangrijkste service(s) toe aan uw organisatie-eenheden en -groepen. U moet een belangrijke service als standaard instellen voor uw organisatie.	Wijs client-side encryptie toe aan gebruikers.
Stap 6: (Optioneel, alleen voor Gmail S/MIME-berichten) Upload de versleutelingssleutels van de gebruikers.	Belangrijk: Als u de add-on Assured Controls hebt en geen hardwarematige sleutelversleuteling gebruikt, kunt u deze stap overslaan en in plaats daarvan end-to-end-versleuteling (E2EE) voor Gmail gebruiken door de optie ' Versleuteling met gastaccounts' in te schakelen. Maak een Google Cloud Platform (GCP)-project aan en schakel de Gmail API in. Geef vervolgens toegang tot de API aan uw hele organisatie, activeer CSE voor Gmail-gebruikers en upload de privé- en openbare versleutelingssleutels naar Gmail. Let op: voor deze stap is ervaring met API's en Python-scripts vereist.	Alleen voor Gmail: S/MIME-certificaten configureren voor client-side versleuteling
Stap 7: Schakel CSE in voor gebruikers	Schakel CSE in voor alle organisatie-eenheden of -groepen binnen uw organisatie met gebruikers die client-side versleutelde inhoud moeten creëren. U kunt CSE inschakelen voor alle ondersteunde services of alleen voor specifieke services (Gmail, Meet, Drive en Agenda). Gmail CSE: Als u de add-on Assured Controls hebt en geen hardwarematige sleutelversleuteling voor Gmail gebruikt, kunt u in deze stap de optie 'Versleuteling met gastaccounts' selecteren om Gmail E2EE automatisch in te schakelen, zonder dat u S/MIME-certificaten hoeft te configureren.	Schakel CSE in of uit voor gebruikers
Stap 8: (Optioneel) Externe toegang instellen	U kunt externe toegang tot client-side versleutelde inhoud bieden door een gast-identiteitsprovider (IdP) te configureren voor organisaties die geen gebruik maken van Google Workspace CSE.	Externe toegang bieden tot client-side versleutelde inhoud.
Stap 9: (Optioneel) Importeer berichten naar Gmail als client-side versleutelde S/MIME-berichten.	Als uw organisatie berichten heeft opgeslagen in een andere service of met een ander versleutelingsformaat, kunt u deze berichten migreren naar Gmail als client-side versleutelde berichten in het S/MIME-formaat.	Migreer berichten naar Gmail als client-side versleutelde e-mail.

Als je hardwarematige versleutelingssleutels gebruikt voor Gmail

Vereist de aanschaf van de add-on Assured Controls of Assured Controls Plus .

Volg deze stappen als u hardwarematige versleutelingssleutels wilt instellen voor al uw Gmail-gebruikers of een deel daarvan, in plaats van een externe sleutelservice.

Stap	Beschrijving	Hoe voltooi ik deze stap?
Stap 1: Verbind Google Workspace met uw identiteitsprovider.	Maak verbinding met een externe identiteitsprovider (IdP) of een Google-identiteit, via de beheerdersconsole of een .well-known-bestand dat op uw server wordt gehost. Uw IdP verifieert de identiteit van gebruikers voordat ze inhoud kunnen versleutelen of toegang krijgen tot versleutelde inhoud.	Maak verbinding met uw identiteitsaanbieder voor client-side versleuteling.
Stap 2: Stel uw hardwareversleutelingssleutels in	Installeer de Google Workspace Hardware Key-app op de Windows-apparaten van gebruikers. Let op: voor deze stap is ervaring met PowerShell-scripts vereist.	Alleen voor Gmail: Hardwareversleutelingssleutels instellen en beheren
Stap 3: Voeg hardwareversleutelingsinformatie toe aan de beheerdersconsole	Voer het poortnummer in waarmee Google Workspace communiceert met de smartcardlezer op de Windows-apparaten van gebruikers.	Alleen voor Gmail: Hardwareversleutelingssleutels instellen en beheren
Stap 4: Wijs hardwareversleuteling toe aan gebruikers	Wijs hardwarematige sleutelversleuteling toe aan uw organisatie-eenheden en -groepen.	Wijs client-side encryptie toe aan gebruikers.
Stap 5: Upload de openbare versleutelingssleutels van de gebruikers.	Maak een Google Cloud Platform (CGP)-project aan en schakel de Gmail API in. Geef vervolgens toegang tot de API aan uw hele organisatie, activeer CSE voor Gmail-gebruikers en upload openbare versleutelingssleutels naar Gmail. Let op: voor deze stap is ervaring met API's en Python-scripts vereist.	Alleen voor Gmail: S/MIME-certificaten configureren voor client-side versleuteling
Stap 6: (Optioneel) Importeer berichten naar Gmail als client-side versleutelde e-mail.	Als uw organisatie berichten heeft opgeslagen in een andere service of met een ander versleutelingsformaat, kunt u deze als beheerder migreren naar Gmail als client-side versleutelde berichten in het S/MIME-formaat.	Migreer berichten naar Gmail als client-side versleutelde e-mail.

CSE voor Meet-hardware

Standaard versleutelt Meet alle gespreksmedia, zowel tijdens de overdracht als in rust. Alleen deelnemers aan de vergadering en de datacenterdiensten van Google kunnen deze informatie ontsleutelen.

CSE biedt een extra laag privacy door de gespreksgegevens rechtstreeks in de browser van elke deelnemer te versleutelen met sleutels die alleen voor hen toegankelijk zijn. Alleen de deelnemer kan de vergaderinformatie ontsleutelen die door zijn of haar browser met behulp van de eigen sleutels is versleuteld.

Om gebruikers van CSE te laten profiteren, moeten beheerders Workspace koppelen aan een externe identiteitsprovider en een service voor encryptiesleutels (IdP+sleutelservice). Zie het overzicht van de CSE-installatie op deze pagina voor meer informatie over het instellen van een IdP+sleutelservice.

Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.