Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Standard und Education Plus. Versionen vergleichen
Als Administrator können Sie externen Nutzern Zugriff auf Ihre Inhalte gewähren, die mit der clientseitigen Verschlüsselung von Google Workspace verschlüsselt wurden. Es gibt zwei Methoden, um externen Zugriff zu gewähren:
- Zugriff für externe Organisationen einrichten, die ebenfalls die clientseitige Verschlüsselung verwenden : Mit dieser Methode können Sie einer externen Organisation Zugriff auf verschlüsselte Inhalte gewähren, wenn sie die Anforderungen an Nutzer und die clientseitige Verschlüsselung erfüllt.
- Gast-Identitätsanbieter (Identity Provider, IdP) konfigurieren, um Zugriff für alle externen Nutzer zu ermöglichen : Mit dieser Methode können Ihre Nutzer sowohl Google- als auch Nicht-Google-Konten Zugriff auf Ihre clientseitig verschlüsselten Inhalte gewähren. Externe Organisationen müssen die clientseitige Verschlüsselung nicht einrichten und ihre Nutzer benötigen keine Google Workspace- oder Cloud Identity-Lizenz.
Externer Zugriff auf verschlüsselte E-Mails
Sie haben zwei Möglichkeiten, externen Zugriff auf clientseitig verschlüsselte E-Mails zu gewähren.
Option 1: Gmail-E2EE ohne S/MIME verwenden
Wenn Nutzer clientseitig verschlüsselte Nachrichten mit externen Nutzern austauschen, die möglicherweise kein S/MIME verwenden, können Sie die Option Verschlüsselung mit Gastkonten verwenden. Bei dieser Option wird die Ende-zu-Ende-Verschlüsselung (E2EE) von Gmail verwendet, um verschlüsselte Kommunikation mit externen Nutzern automatisch zu verarbeiten, ohne dass eine herkömmliche S/MIME-Einrichtung oder Zertifikate erforderlich sind. Mit der Gmail-E2EE können Nutzer verschlüsselte Nachrichten an beliebige externe Nutzer senden. Erfordert das Add-on „Assured Controls“ oder „Assured Controls Plus“.
So gewähren Sie externen Zugriff mit der Gmail-E2EE :
- Sie müssen einen Gast-IdP konfigurieren, wie weiter unten auf dieser Seite beschrieben.
- Wenn ein Nutzer eine verschlüsselte Nachricht außerhalb Ihrer Organisation sendet, wird der externe Empfänger aufgefordert, ein Gastkonto zu erstellen, um die Nachricht zu öffnen.
- Sie können Gastkonten in der Organisationseinheit Workspace-Gäste in der Admin-Konsole verwalten. Diese Organisationseinheit wird automatisch erstellt, nachdem Sie Verschlüsselung mit Gastkonten aktiviert und einen Gast-IdP konfiguriert haben. Weitere Informationen finden Sie unter Workspace Gäste verwalten.
Weitere Informationen zum Senden und Empfangen von clientseitig verschlüsselten E-Mails und zum Erstellen von Gastkonten finden Sie unter Clientseitige Verschlüsselung in Gmail.
Option 2: S/MIME-Zertifikate verwenden
Wenn Nutzer clientseitig verschlüsselte Nachrichten nur mit externen Nutzern austauschen, die S/MIME verwenden, ist keine zusätzliche Einrichtung erforderlich. Sie müssen keinen Gast-IdP verwenden und externe Nutzer benötigen keine Google Workspace- oder Cloud Identity-Lizenz.
Externen Zugriff für externe Organisationen einrichten, die die clientseitige Verschlüsselung verwenden
Wenn eine externe Organisation und Ihre Organisation die folgenden Anforderungen erfüllen, können Sie den externen Zugriff auf clientseitig verschlüsselte Inhalte Ihrer Organisation für Drive und Docs, Kalender und Meet gewähren.
Lizenzanforderungen für externe Nutzer
Externe Nutzer benötigen eine Google Workspace- oder Cloud Identity-Lizenz, um auf mit der clientseitigen Verschlüsselung verschlüsselte Daten zuzugreifen.
Hinweis:Mit dieser externen Zugriffsmethode können Nutzer mit einem privaten (nicht verwalteten) Google-Konto oder einem Besucherkonto nicht auf clientseitig verschlüsselte Inhalte Ihrer Organisation zugreifen.
Einrichtungsanforderungen für externe Organisationen
Um auf die clientseitig verschlüsselten Inhalte Ihrer Organisation zuzugreifen, müssen externe Organisationen auch die clientseitige Verschlüsselung einrichten.
Einrichtungsanforderungen für Ihre Organisation
- Der IdP-Dienst der externen Organisation muss in der Zulassungsliste Ihres Schlüsseldienstes aufgeführt sein. Normalerweise finden Sie den IdP in der öffentlichen .well-known-Datei, sofern eine solche erstellt wurde. Andernfalls wenden Sie sich an den Google Workspace-Administrator der externen Organisation, um die IdP-Details zu erhalten.
- Der Administrator muss wissen, dass seine Nutzer ihre Authentifizierungstokens für Ihren Schlüsseldienst bereitstellen müssen, damit sie die verschlüsselten Inhalte Ihrer Organisation aufrufen oder bearbeiten können. Für die Authentifizierung muss ein Nutzer seine IP-Adresse und andere Identitätsinformationen freigeben. Weitere Informationen finden Sie im Abschnitt zu Authentifizierungstokens im API-Referenzhandbuch zur clientseitigen Verschlüsselung.
- Je nach den Sicherheitsrichtlinien Ihrer Organisation und der externen Organisation müssen diese möglicherweise auch separate Web- und mobile Client-IDs für den Zugriff auf die verschlüsselten Inhalte Ihrer Organisation erstellen. Diese Client-IDs müssen in der Zulassungsliste des Verschlüsselungsschlüsseldienstes aufgeführt sein.
Gast-IdP für alle externen Nutzer konfigurieren
Wenn Sie externen Organisationen Zugriff auf Ihre clientseitig verschlüsselten Inhalte gewähren möchten, können Sie einen Gast-IdP konfigurieren, um externe Nutzer mit demselben oder einem anderen IdP zu authentifizieren. Mit einem Gast-IdP können Ihre Nutzer verschlüsselte Inhalte für andere in externen Organisationen freigeben, unabhängig davon, ob diese Organisationen auch die clientseitige Verschlüsselung verwenden.
Hinweis:Wenn Sie den externen Zugriff für Organisationen, die ebenfalls die clientseitige Verschlüsselung verwenden, bereits eingerichtet haben (wie weiter oben auf dieser Seite beschrieben), wird diese Einrichtung nach der Konfiguration eines Gast-IdP ignoriert.
Gast-IdP in der Admin-Konsole konfigurieren
Folgen Sie der Anleitung unter Für die clientseitige Verschlüsselung eine Verbindung zum Identitätsanbieter herstellen, um einen IdP einzurichten. Bei der Einrichtung gehen Sie so vor:
- OIDC-kompatiblen IdP auswählen: Für Gmail und Google Meet können Sie entweder einen externen IdP oder eine Google-Identität verwenden. Für Google Drive- und Docs-Editoren können Sie jedoch nur einen externen IdP verwenden. Diese Einschränkung sorgt für die Unterstützung von Besucherkonten für Drive und Docs. Der externe Identitätsanbieter kann derselbe sein, den Sie für Ihre Nutzer verwenden, oder ein anderer.
- Zusätzliche Client-ID für Google Meet erstellen: In dem Schritt, in dem Sie Ihre Client-ID für Webdienste erstellen, müssen Sie eine zusätzliche Client-ID für Google Meet erstellen.
Die primäre Client-ID für Webdienste wird für den Schlüsseldienst verwendet und nicht für Google-Systeme freigegeben. Mit der zusätzlichen Client-ID für Meet wird überprüft, ob Gäste, die nicht in Meet angemeldet sind, zur Besprechung eingeladen wurden.
- Gast-IdP über die Admin-Konsole konfigurieren : Sie müssen die Admin-Konsole verwenden, um die Verbindung zum Gast-IdP zu konfigurieren, und die Option Gast-IdP konfigurieren auswählen. Sie können den Gast-IdP nicht über eine .well-known-Datei konfigurieren.
Authentifizierungsoptionen für den Gast-IdP einrichten
Nachdem Sie die IdP-Konfiguration in der Admin-Konsole abgeschlossen haben, können Sie mit den Tools Ihres IdP festlegen, wie externe Nutzer authentifiziert werden. Je nach Implementierung des Gast-IdP sind möglicherweise die folgenden Optionen verfügbar:
- Separate Konten für Gäste einrichten und ihnen Kontopasswörter zuordnen.
- Gästen einmalige Codes zusenden, mit denen sie ihre E-Mail-Adresse bestätigen können.
- Gästen erlauben, vorkonfigurierte IdPs wie Google, Apple oder Microsoft zu verwenden.
Hinweis:Mit der Google-Identität können sich Nutzer mit ihrem Google-Konto anmelden. Wenn sie kein Konto haben, können sie eines erstellen.
Bei jeder Authentifizierungsmethode wird Gästen eine Pop-up-Nachricht angezeigt, in der sie aufgefordert werden, sich mit einem Identitätsanbieter anzumelden, bevor sie auf clientseitig verschlüsselte Inhalte zugreifen können.