Nur Gmail: Verschlüsselung mit Hardwareschlüsseln einrichten und verwalten

Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Standard und Education Plus. Versionen vergleichen

Erfordert das Add-on Assured Controls oder Assured Controls Plus.

Wenn Ihre Organisation für den Zugriff auf Einrichtungen und Systeme Smartcards wie PIV‐Karten (Personal Identification Verification) verwendet, können Sie für die clientseitige Verschlüsselung (CSE) in Gmail die Hardwareschlüsselverschlüsselung anstelle eines Verschlüsselungsschlüsseldienstes verwenden.

Bei der Hardwareschlüsselverschlüsselung befindet sich der private Schlüssel eines Nutzers auf seiner Smartcard. Nutzer müssen ihre Smartcard in ein Lesegerät einlegen, das an ihr Windows-Gerät angeschlossen ist, um E‑Mail-Nachrichten in Gmail zu signieren und zu entschlüsseln. Zum Verschlüsseln von Nachrichten verwenden sie ihren öffentlichen Schlüssel.

Überblick über die Einrichtung

So richten Sie die Hardwareschlüsselverschlüsselung ein:

1. Installieren Sie die Google Workspace-Hardwareschlüssel-App auf dem Windows-Gerät für jeden Nutzer, der E‑Mails verschlüsseln muss. Diese App wird als Dienst gestartet, der auf einem bestimmten Port ausgeführt wird und mit der Smartcard eines Nutzers interagiert, um die Verschlüsselung und Entschlüsselung zu verarbeiten.
2. Aktivieren Sie die Hardwareschlüsselverschlüsselung in der Admin-Konsole, indem Sie die Portnummer eingeben, über die Google Workspace mit der Hardwareschlüssel-App auf den Windows-Geräten der Nutzer kommuniziert.

Nachdem Sie diese Schritte ausgeführt haben, können Sie Nutzern die Hardwareschlüsselverschlüsselung zuweisen und die clientseitige Verschlüsselung für Gmail aktivieren.

Einrichtungsvoraussetzungen

Die Geräte der Nutzer müssen folgende Voraussetzungen erfüllen:

• Microsoft Windows 10 oder höher ausführen
• Ein Smartcard-Lesegerät an ihrem Gerät angeschlossen haben
• Eine Smartcard mit ihrem privaten Verschlüsselungsschlüssel haben

Schritt 1: Google Workspace-Hardwareschlüssel-App installieren

Mit der Google Workspace-Hardwareschlüssel-App können Sie die Hardwareschlüsselverschlüsselung für die clientseitige Verschlüsselung in Gmail einrichten. So können Nutzer ihre privaten Schlüssel auf ihren Smartcards, z. B. PIV-Karten, verwenden, um E‑Mails zu signieren und zu verschlüsseln.

Schritt 2: Hardwareschlüsselverschlüsselung aktivieren

Nachdem Sie die Google Workspace-Hardwareschlüssel-App auf den Windows-Geräten der Nutzer installiert haben, können Sie die Hardwareschlüsselverschlüsselung in der Admin-Konsole aktivieren.

Hinweis:Notieren Sie sich die Portnummer, die Sie bei der Installation der Hardwareschlüssel-App ausgewählt haben.

So aktivieren Sie die Verschlüsselung mit Hardwareschlüsseln:

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Daten Compliance Clientseitige Verschlüsselung.

   Gehen Sie zu Clientseitige Verschlüsselung.

   Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

2. Klicken Sie unter Verschlüsselung mit Hardwareschlüsseln auf Portnummer hinzufügen.
3. Geben Sie die Portnummer ein, die Sie bei der Installation der Hardwareschlüssel-App ausgewählt haben.
4. Klicken Sie auf Speichern.

Nächste Schritte

Nachdem Sie die Google Workspace-Hardwareschlüssel-App installiert und die Hardwareschlüsselverschlüsselung in der Admin-Konsole aktiviert haben, müssen Sie Folgendes tun:

• Weisen Sie Nutzern die Hardwareschlüsselverschlüsselung zu. Weitere Informationen finden Sie im Hilfeartikel Clientseitige Verschlüsselung Nutzern zuweisen.
• Stellen Sie eine Verbindung zu Ihrem Identitätsanbieter (Identity Provider, IdP) her. Weitere Informationen finden Sie im Hilfeartikel Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen.
• Aktivieren Sie die Gmail API und laden Sie die Verschlüsselungszertifikate der Nutzer in Gmail hoch. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren.

Hardwareschlüsselverschlüsselung verwalten

Portnummer für die Hardwareschlüsselverschlüsselung ändern

Wenn sich die Portnummer ändert, über die Google Workspace mit dem Smartcard-Lesegerät auf den Windows-Geräten der Nutzer kommuniziert, müssen Sie sie in der Admin-Konsole aktualisieren, damit Nutzer die clientseitige Verschlüsselung in Gmail weiterhin verwenden können.

So aktualisieren Sie die Portnummer für die Hardwareschlüsselverschlüsselung:

1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Daten Compliance Clientseitige Verschlüsselung.

   Gehen Sie zu Clientseitige Verschlüsselung.

   Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

2. Klicken Sie unter Verschlüsselung mit Hardwareschlüsseln auf Bearbeiten.
3. Geben Sie die neue Portnummer ein.
4. Klicken Sie auf Speichern.

Wenn ein Nutzer eine neue Smartcard benötigt

• Wenn die neue Smartcard des Nutzers denselben Verschlüsselungsschlüssel wie die vorherige Karte enthält, kann er die neue Karte einfach verwenden.
• Wenn die neue Smartcard des Nutzers einen neuen Verschlüsselungsschlüssel enthält, müssen Sie mit der Gmail API neue Zertifikate für den öffentlichen Schlüssel in Gmail hochladen. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren.