Nur Gmail: Verschlüsselung mit Hardwareschlüsseln einrichten und verwalten

Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Standard und Education Plus. Versionen vergleichen

Erfordert das Assured Controls- oder Assured Controls Plus-Add-on.

Wenn Ihre Organisation für den Zugriff auf Einrichtungen und Systeme Smartcards wie PIV‐Karten (Personal Identification Verification) verwendet, können Sie für die clientseitige Verschlüsselung (CSE) in Gmail die Hardwareschlüsselverschlüsselung anstelle eines Verschlüsselungsschlüsseldienstes verwenden.

Bei der Verschlüsselung mit Hardwareschlüsseln befindet sich der private Schlüssel eines Nutzers auf seiner Smartcard. Nutzer müssen ihre Smartcard in ein Lesegerät einstecken, das an ihrem Windows-Gerät angeschlossen ist, um E‑Mails in Gmail zu signieren und zu entschlüsseln. Zum Verschlüsseln von Nachrichten verwenden sie ihren öffentlichen Schlüssel.

Überblick über die Einrichtung

So richten Sie die Hardware-Schlüsselverschlüsselung ein:

1. Installieren Sie die Google Workspace Hardware Key-Anwendung auf dem Windows-Gerät für jeden Nutzer, der E‑Mails verschlüsseln muss. Diese App wird als Dienst gestartet, der auf einem bestimmten Port ausgeführt wird und über die Smartcard eines Nutzers die Verschlüsselung und Entschlüsselung übernimmt.
2. Aktivieren Sie die Hardware-Schlüsselverschlüsselung in der Admin-Konsole, indem Sie die Portnummer eingeben, über die Google Workspace mit der Hardware-Schlüssel-App auf den Windows-Geräten der Nutzer kommuniziert.

Nachdem Sie diese Schritte ausgeführt haben, können Sie Nutzern die Hardwareverschlüsselungsschlüssel zuweisen und die clientseitige Verschlüsselung für Gmail aktivieren.

Einrichtungsvoraussetzungen

Die Geräte der Nutzer müssen:

• Microsoft Windows 10 oder höher ausführen
• Ein Smartcard-Lesegerät an ihrem Gerät angeschlossen haben
• Eine Smartcard mit ihrem privaten Verschlüsselungsschlüssel haben

Schritt 1: Google Workspace Hardware Key App installieren

Mit der Google Workspace Hardware Key App können Sie die Verschlüsselung mit Hardwareschlüsseln für die clientseitige Verschlüsselung in Gmail einrichten. So können Nutzer ihre privaten Schlüssel auf ihren Smartcards, z. B. PIV-Karten, verwenden, um E‑Mails zu signieren und zu verschlüsseln.

Schritt 2: Verschlüsselung mit Hardwareschlüsseln aktivieren

Nachdem Sie die Google Workspace Hardware Key-Anwendung auf den Windows-Geräten der Nutzer installiert haben, können Sie die Hardware-Schlüsselverschlüsselung in der Admin-Konsole aktivieren.

Hinweis: Notieren Sie sich die Portnummer, die Sie bei der Installation der Hardwareschlüssel-App ausgewählt haben.

So aktivieren Sie die Verschlüsselung mit Hardwareschlüsseln:

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  Daten Compliance Clientseitige Verschlüsselung.

   Zur clientseitigen Verschlüsselung

   Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

2. Klicken Sie unter Verschlüsselung mit Hardwareschlüsseln auf Portnummer hinzufügen.
3. Geben Sie die Portnummer ein, die Sie bei der Installation der Hardwareschlüssel-App ausgewählt haben.
4. Klicken Sie auf Speichern.

Nächste Schritte

Nachdem Sie die Google Workspace Hardware Key-Anwendung installiert und die Hardware-Schlüsselverschlüsselung in der Admin-Konsole aktiviert haben, müssen Sie Folgendes tun:

• Weisen Sie Nutzern die Hardwareschlüsselverschlüsselung zu. Weitere Informationen finden Sie im Hilfeartikel Clientseitige Verschlüsselung Nutzern zuweisen.
• Stellen Sie eine Verbindung zu Ihrem Identitätsanbieter (Identity Provider, IdP) her. Weitere Informationen finden Sie im Hilfeartikel Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen.
• Aktivieren Sie die Gmail API und laden Sie die Verschlüsselungszertifikate der Nutzer in Gmail hoch. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren.

Verschlüsselung mit Hardwareschlüsseln verwalten

Portnummer für die Verschlüsselung mit Hardwareschlüsseln ändern

Wenn sich die Portnummer ändert, über die Google Workspace mit dem Smartcard-Lesegerät auf den Windows-Geräten der Nutzer kommuniziert, müssen Sie sie in der Admin-Konsole aktualisieren, damit die Nutzer weiterhin Gmail CSE verwenden können.

So aktualisieren Sie die Portnummer für die Hardwareschlüsselverschlüsselung:

1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  Daten Compliance Clientseitige Verschlüsselung.

   Zur clientseitigen Verschlüsselung

   Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

2. Klicken Sie unter Verschlüsselung mit Hardwareschlüsseln auf Bearbeiten.
3. Geben Sie die neue Portnummer ein.
4. Klicken Sie auf Speichern.

Wenn ein Nutzer eine neue Smartcard benötigt

• Wenn die neue Smartcard des Nutzers denselben Verschlüsselungsschlüssel wie die vorherige Karte enthält, kann er einfach die neue Karte verwenden.
• Wenn die neue Smartcard des Nutzers einen neuen Verschlüsselungsschlüssel enthält, müssen Sie mit der Gmail API neue Zertifikate für öffentliche Schlüssel in Gmail hochladen. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren.