Unterstützte Versionen für diese Funktion: Frontline Plus, Enterprise Plus, Education Standard und Education Plus Versionen vergleichen
Bevor Sie mit der Einrichtung der clientseitigen Verschlüsselung von Google Workspace beginnen, lesen Sie sich die Anforderungen, Optionen für Verschlüsselungsschlüssel und die Einrichtungsübersicht durch.
Anforderungen an die clientseitige Verschlüsselung
Administratorberechtigungen für die clientseitige Verschlüsselung
Sie benötigen Super-Administrator-Berechtigungen für Google Workspace, um die clientseitige Verschlüsselung für Ihre Organisation zu verwalten. Dazu gehören folgende Aufgaben:
- Schlüsseldienste hinzufügen und verwalten
- Schlüsseldienste zu Organisationseinheiten und Gruppen zuweisen
- Clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren
Anforderungen an interne Nutzer für die clientseitige Verschlüsselung
Anforderungen an Nutzerlizenzen
- Für Folgendes benötigen Nutzer eine Google Workspace Frontline Plus-, Google Workspace Enterprise Plus-, Google Workspace Education Standard- oder Google Workspace for Education Plus-Lizenz:
- Clientseitig verschlüsselte Inhalte erstellen oder hochladen
- Verschlüsselte Besprechungen hosten
- Verschlüsselte E‑Mails senden oder empfangen
- Mit einer beliebigen Google Workspace- oder Cloud Identity-Lizenz können Nutzer:
- Clientseitig verschlüsselte Inhalte ansehen, bearbeiten oder herunterladen
- Über einen Computer, ein Mobilgerät oder ein Google Meet-Hardwaregerät an einer Besprechung mit clientseitiger Verschlüsselung teilnehmen
- Nutzer mit einem privaten Google-Konto, z. B. Gmail-Nutzer, können nicht auf clientseitig verschlüsselte Inhalte zugreifen, keine verschlüsselten E‑Mails senden oder an clientseitig verschlüsselten Videokonferenzen teilnehmen.
Browseranforderungen
Wenn Nutzer clientseitig verschlüsselte Inhalte ansehen oder bearbeiten möchten, müssen sie den Google Chrome- oder Microsoft Edge-Browser (Chromium) verwenden.
Anforderungen an externe Nutzer für die clientseitige Verschlüsselung
Sie können externen Nutzern Zugriff auf clientseitig verschlüsselte Inhalte gewähren. Für den Zugriff auf die verschlüsselten Gmail-Nachrichten Ihrer Nutzer müssen externe Nutzer lediglich S/MIME verwenden. Für andere Inhalte unterscheiden sich die Anforderungen je nach Methode, die Sie für den externen Zugriff verwenden. Weitere Informationen finden Sie unter Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren.
Optionen für Verschlüsselungsschlüssel
Externe Schlüsseldienste
Wenn Sie die clientseitige Verschlüsselung verwenden möchten, muss Ihre Organisation eigene Verschlüsselungsschlüssel verwenden. Sie haben zwei Möglichkeiten, Ihre Verschlüsselungsschlüssel zu erstellen:
- Verwenden Sie einen externen Schlüsseldienst, der mit Google zusammenarbeitet. Ihr Schlüsseldienst unterstützt Sie bei der Einrichtung des Dienstes für Google Workspace. Weitere Informationen finden Sie im Hilfeartikel Schlüsseldienst für clientseitige Verschlüsselung auswählen.
- Erstellen Sie einen eigenen Schlüsseldienst mit der Google Workspace CSE API.
Hardwareschlüssel für Gmail
Wenn Nutzer in Ihrer Organisation Smartcards für den Zugriff auf Einrichtungen und Systeme verwenden, können Sie anstelle eines Schlüsseldienstes die Verschlüsselung mit Hardwareschlüsseln für die clientseitige Verschlüsselung in Gmail einrichten. Nutzer können ihre Hardwareschlüssel verwenden, um E‑Mails zu signieren und zu verschlüsseln. Weitere Informationen finden Sie unter Nur Gmail: Verschlüsselung mit Hardwareschlüsseln einrichten und verwalten.
Übersicht zur Einrichtung der clientseitigen Verschlüsselung
Im Folgenden finden Sie eine Übersicht über die Schritte, die Sie ausführen müssen, um die clientseitige Verschlüsselung von Google Workspace einzurichten. Wie Sie die clientseitige Verschlüsselung einrichten, hängt davon ab, welche Art von Verschlüsselungsschlüsseln Sie verwenden möchten.
Wenn Sie einen externen Schlüsseldienst verwenden
Folgen Sie dieser Anleitung, um die Verschlüsselung für Google Drive, Google Kalender und Google Meet einzurichten. Diese Schritte gelten auch für Gmail, es sei denn, Sie möchten nur Hardwareschlüssel für Gmail verwenden.
| Schritt | Beschreibung | So führen Sie diesen Schritt aus |
|---|---|---|
| Schritt 1: Externen Schlüsseldienst auswählen |
Registrieren Sie sich bei einem der Partner für Schlüsseldienste von Google oder erstellen Sie mit der Google Workspace CSE API Ihren eigenen Dienst. Ihr Schlüsseldienst steuert die Verschlüsselungsschlüssel der obersten Ebene, die Ihre Daten schützen. |
Schlüsseldienst für clientseitige Verschlüsselung auswählen |
| Schritt 2: Google Workspace mit Ihrem Identitätsanbieter verbinden |
Stellen Sie über die Admin-Konsole oder eine auf Ihrem Server gehostete .well-known-Datei eine Verbindung zu einem externen Identitätsanbieter oder der Google-Identität her. Ihr Identitätsanbieter überprüft die Identität von Nutzern, bevor sie Inhalte verschlüsseln und auf verschlüsselte Inhalte zugreifen können. |
Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen |
| Schritt 3: Externen Schlüsseldienst einrichten |
Richten Sie den Dienst für die clientseitige Verschlüsselung in Google Workspace zusammen mit Ihrem Schlüsseldienstpartner ein. Hinweis: Wenn Sie die clientseitige Verschlüsselung mit Meet-Hardware verwenden, muss der Server des externen Schlüsseldienstes, der für die Schlüsselverwaltung verwendet wird, den Aufruf „delegate“ unterstützen. Dieser wird zur Autorisierung eines Raums verwendet, um im Namen eines authentifizierten Nutzers an einer Besprechung teilzunehmen. Weitere Informationen erhalten Sie von Ihrem Schlüsseldienst. |
Schlüsseldienst für clientseitige Verschlüsselung einrichten |
| Schritt 4: Informationen zum Schlüsseldienst in der Admin-Konsole hinzufügen |
Fügen Sie die URL des externen Schlüsseldienstes der Admin-Konsole hinzu, um den Dienst mit Google Workspace zu verbinden. Sie können mehrere Schlüsseldienste hinzufügen, um für bestimmte Organisationseinheiten oder Gruppen unterschiedliche Schlüsseldienste zuzuweisen. |
Schlüsseldienste für clientseitige Verschlüsselung hinzufügen und verwalten |
| Schritt 5: Schlüsseldienst Nutzern zuweisen | Weisen Sie Ihren Schlüsseldienst oder mehrere Dienste Ihren Organisationseinheiten und Gruppen zu. Sie müssen einen Schlüsseldienst als Standard für Ihre Organisation zuweisen. | Clientseitige Verschlüsselung Nutzern zuweisen |
| Schritt 6: (Optional, nur für S/MIME-Nachrichten in Gmail) Verschlüsselungsschlüssel von Nutzern hochladen |
Erstellen Sie ein Google Cloud Platform-Projekt (GCP) und aktivieren Sie die Gmail API. Gewähren Sie der API dann Zugriff auf Ihre gesamte Organisation, aktivieren Sie die clientseitige Verschlüsselung für Gmail-Nutzer und laden Sie private und öffentliche Verschlüsselungsschlüssel in Gmail hoch. Hinweis: Für diesen Schritt ist Erfahrung mit APIs und Python-Scripts erforderlich. |
Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren |
| Schritt 7: Clientseitige Verschlüsselung für Nutzer aktivieren |
Aktivieren Sie die clientseitige Verschlüsselung für alle Organisationseinheiten oder Gruppen in Ihrer Organisation mit Nutzern, die clientseitig verschlüsselte Inhalte erstellen müssen. Sie können die clientseitige Verschlüsselung für alle unterstützten Dienste oder nur für bestimmte Dienste aktivieren (Gmail, Meet, Drive und Kalender). Clientseitige Verschlüsselung in Gmail:Wenn Sie das Add-on Assured Controls haben und keine Verschlüsselung mit Hardwareschlüsseln für Gmail verwenden, können Sie in diesem Schritt die Option Verschlüsselung mit Gastkonten auswählen, um die E2EE für Gmail automatisch zu aktivieren, ohne S/MIME-Zertifikate konfigurieren zu müssen. |
Clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren |
| Schritt 8: (Optional) Externen Zugriff einrichten | Sie können externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren, indem Sie einen Gast-Identitätsanbieter (IdP) für Organisationen konfigurieren, die die clientseitige Verschlüsselung von Google Workspace nicht verwenden. | Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren |
| Schritt 9: (Optional) Nachrichten als clientseitig verschlüsselte S/MIME-Nachrichten in Gmail importieren | Wenn Ihre Organisation Nachrichten in einem anderen Dienst oder in einem anderen Verschlüsselungsformat hat, können Sie diese Nachrichten als clientseitig verschlüsselte Nachrichten im Format S/MIME zu Gmail migrieren. | Nachrichten als clientseitig verschlüsselte E‑Mails zu Gmail migrieren |
Wenn Sie Hardwareschlüssel für Gmail verwenden
Erfordert das Add-on „Assured Controls“ oder „Assured Controls Plus“.Folgen Sie dieser Anleitung, wenn Sie Hardwareschlüssel für alle oder einige Ihrer Gmail-Nutzer einrichten möchten, anstelle eines externen Schlüsseldienstes.
| Schritt | Beschreibung | So führen Sie diesen Schritt aus |
|---|---|---|
| Schritt 1: Google Workspace mit Ihrem Identitätsanbieter verbinden | Stellen Sie über die Admin-Konsole oder eine auf Ihrem Server gehostete .well-known-Datei eine Verbindung zu einem externen Identitätsanbieter oder der Google-Identität her. Ihr Identitätsanbieter überprüft die Identität von Nutzern, bevor sie Inhalte verschlüsseln und auf verschlüsselte Inhalte zugreifen können. | Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen |
| Schritt 2: Hardwareschlüssel einrichten |
Installieren Sie die Google Workspace-Anwendung für Hardwareschlüssel auf den Windows-Geräten der Nutzer. Hinweis: Für diesen Schritt ist Erfahrung mit PowerShell-Scripts erforderlich. |
Nur Gmail: Verschlüsselung mit Hardwareschlüsseln einrichten und verwalten |
| Schritt 3: Informationen zur Verschlüsselung mit Hardwareschlüsseln in der Admin-Konsole hinzufügen | Geben Sie die Portnummer ein, über die Google Workspace mit dem Smartcard-Lesegerät auf den Windows-Geräten der Nutzer kommuniziert. | Nur Gmail: Verschlüsselung mit Hardwareschlüsseln einrichten und verwalten |
| Schritt 4: Verschlüsselung mit Hardwareschlüsseln Nutzern zuweisen | Weisen Sie Ihren Organisationseinheiten und Gruppen die Verschlüsselung mit Hardwareschlüsseln zu. | Clientseitige Verschlüsselung Nutzern zuweisen |
| Schritt 5: Öffentliche Verschlüsselungsschlüssel von Nutzern hochladen |
Erstellen Sie ein Google Cloud Platform-Projekt (GCP) und aktivieren Sie die Gmail API. Gewähren Sie der API dann Zugriff auf Ihre gesamte Organisation, aktivieren Sie die clientseitige Verschlüsselung für Gmail-Nutzer und laden Sie öffentliche Verschlüsselungsschlüssel in Gmail hoch. Hinweis: Für diesen Schritt ist Erfahrung mit APIs und Python-Scripts erforderlich. |
Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren |
| Schritt 6: (Optional) Nachrichten als clientseitig verschlüsselte E‑Mails in Gmail importieren | Wenn Ihre Organisation Nachrichten in einem anderen Dienst oder in einem anderen Verschlüsselungsformat hat, können Sie diese Nachrichten als Administrator als clientseitig verschlüsselte Nachrichten im Format S/MIME zu Gmail migrieren. | Nachrichten als clientseitig verschlüsselte E‑Mails zu Gmail migrieren |
Clientseitige Verschlüsselung für Meet-Hardware
Standardmäßig verschlüsselt Meet alle Anrufmedien, sowohl bei der Übertragung als auch im inaktiven Zustand. Nur Besprechungsteilnehmer und die Rechenzentrumsdienste von Google können diese Informationen entschlüsseln.
Die clientseitige Verschlüsselung bietet eine zusätzliche Datenschutzebene, indem Anrufmedien direkt im Browser jedes Teilnehmers mit Schlüsseln verschlüsselt werden, auf die nur die Teilnehmer Zugriff haben. Nur der Teilnehmer kann Besprechungsinformationen entschlüsseln, die von seinem Browser mit seinen Schlüsseln verschlüsselt wurden.
Damit Nutzer die clientseitige Verschlüsselung nutzen können, müssen Administratoren Workspace mit einem externen Identitätsanbieter und einem Verschlüsselungsschlüsseldienst verbinden (IdP+Schlüsseldienst). Weitere Informationen zum Einrichten eines IdP+Schlüsseldienstes finden Sie auf dieser Seite unter Übersicht zur Einrichtung der clientseitigen Verschlüsselung.
Google, Google Workspace sowie zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.