Deze pagina is vertaald door de Cloud Translation API.

Externe toegang bieden tot client-side versleutelde inhoud.

Ondersteunde edities voor deze functie: Frontline Plus; Enterprise Plus; Education Standard en Education Plus. Vergelijk uw editie.

Als beheerder kunt u externe gebruikers toegang geven tot uw inhoud die is versleuteld met Google Workspace Client-side Encryption (CSE). Er zijn twee manieren om externe toegang te verlenen:

Stel toegang in voor externe organisaties die ook CSE gebruiken . Met deze methode kunt u een externe organisatie toegang geven tot versleutelde inhoud als deze voldoet aan de gebruikers- en CSE-vereisten.
Configureer een gastidentiteitsprovider (IdP) om toegang te verlenen aan alle externe gebruikers. Met deze methode kunnen uw gebruikers toegang verlenen tot uw client-side versleutelde content aan zowel Google- als niet-Google-accounts. Externe organisaties hoeven geen CSE in te stellen en hun gebruikers hebben geen Google Workspace- of Cloud Identity-licentie nodig.
De configuratie voor gast-IDP is momenteel alleen beschikbaar voor de webapplicaties van Gmail, Google Meet, Drive, Docs, Sheets en Slides . De configuratie voor gast-IDP voor de mobiele applicaties van deze services zal in een toekomstige release beschikbaar komen.

Over externe toegang tot versleutelde e-mail

Je hebt twee opties om externe toegang te verlenen tot client-side versleutelde e-mailberichten.

Optie 1: Gebruik Gmail E2EE zonder S/MIME

Als gebruikers versleutelde berichten aan de clientzijde uitwisselen met externe gebruikers die mogelijk geen S/MIME gebruiken, kunt u de optie 'Versleuteling met gastaccounts' gebruiken. Deze optie maakt gebruik van end-to-end-versleuteling (E2EE) van Gmail om automatisch versleutelde communicatie met externe gebruikers af te handelen, zonder dat traditionele S/MIME-configuratie of certificaten nodig zijn. Met Gmail E2EE kunnen gebruikers versleutelde berichten naar alle externe gebruikers verzenden. Hiervoor is de add-on Assured Controls of Assured Controls Plus vereist.

Externe toegang verlenen via Gmail E2EE:

U moet een gast-IdP configureren , zoals verderop op deze pagina wordt beschreven.
Wanneer een gebruiker een versleuteld bericht buiten uw organisatie verzendt, wordt de externe ontvanger gevraagd een gastaccount aan te maken om het bericht te kunnen openen.
U kunt gastaccounts beheren in de organisatie-eenheid 'Workspace Guests' in de beheerdersconsole. Deze organisatie-eenheid wordt automatisch aangemaakt nadat u versleuteling met gastaccounts hebt ingeschakeld en een gast-IdP hebt geconfigureerd. Zie ' Workspace guests beheren' voor meer informatie.

Voor meer informatie over het verzenden en ontvangen van client-side versleutelde e-mailberichten en het aanmaken van gastaccounts, ga naar Meer informatie over client-side versleuteling in Gmail .

Optie 2: Gebruik S/MIME-certificaten

Als gebruikers alleen client-side versleutelde berichten uitwisselen met externe gebruikers die S/MIME gebruiken, is er geen extra configuratie nodig. U hoeft geen gast-IdP te gebruiken en externe gebruikers hebben geen Google Workspace- of Cloud Identity-licentie nodig.

Stel externe toegang in voor externe organisaties die CSE gebruiken.

Als een externe organisatie en uw organisatie aan de volgende vereisten voldoen, kunt u de externe organisatie toegang geven tot de versleutelde clientinhoud van uw organisatie voor Drive & Docs, Agenda en Meet.

Licentievereisten voor externe gebruikers

Externe gebruikers moeten een Google Workspace- of Cloud Identity-licentie hebben om toegang te krijgen tot gegevens die met CSE zijn versleuteld.

Let op: met deze externe toegangsmethode hebben gebruikers met een consumentenaccount (niet-beheerd) van Google of een bezoekersaccount geen toegang tot de versleutelde inhoud aan de clientzijde van uw organisatie.

Instelvereisten voor externe organisaties

Om toegang te krijgen tot de client-side versleutelde inhoud van uw organisatie, moeten externe organisaties ook CSE instellen.

Stel de vereisten voor uw organisatie in.

Zorg ervoor dat de identiteitsprovider (IdP) van de externe organisatie is toegevoegd aan de whitelist van uw versleutelingssleutelservice. U kunt de IdP-service meestal vinden in hun openbaar toegankelijke .wellknown-bestand, indien zij er een hebben ingesteld. Neem anders contact op met de Google Workspace-beheerder van de externe organisatie voor hun IdP-gegevens.
Zorg ervoor dat hun beheerder begrijpt dat hun gebruikers hun authenticatietokens aan uw sleutelservice moeten verstrekken om de versleutelde inhoud van uw organisatie te kunnen bekijken of bewerken. Het authenticatieproces vereist dat een gebruiker zijn IP-adres en andere identiteitsgegevens deelt. Zie voor meer informatie 'Authenticatietokens' in de API-referentiehandleiding voor client-side encryptie.
Afhankelijk van uw beveiligingsbeleid en dat van de externe organisatie, kan het zijn dat zij ook aparte web- en mobiele client-ID's moeten aanmaken voor toegang tot de versleutelde inhoud van uw organisatie. U moet deze client-ID's toevoegen aan de whitelist van de versleutelingssleutelservice.

Configureer een gast-IdP voor alle externe gebruikers.

Om externe organisaties toegang te geven tot uw client-side versleutelde content, kunt u een gast-IdP configureren voor de authenticatie van externe gebruikers. Hierbij kunt u dezelfde IdP gebruiken als die u zelf gebruikt, of een andere. Met een gast-IdP kunnen uw gebruikers versleutelde content delen met anderen bij externe organisaties, ongeacht of die organisaties ook CSE gebruiken.

Opmerking: Als u al externe toegang hebt ingesteld voor organisaties die ook CSE gebruiken (zoals eerder op deze pagina beschreven), wordt die instelling genegeerd zodra u een gast-IdP configureert.

Configureer een gast-IdP in de beheerdersconsole.

Volg de instructies om een identiteitsprovider in te stellen in 'Verbinding maken met een identiteitsprovider voor client-side encryptie' . Tijdens de installatie voert u de volgende stappen uit:

Kies een OIDC-compatibele identiteitsprovider (IdP) — Voor Gmail en Google Meet kunt u een IdP van een derde partij of een Google-identiteit gebruiken. Voor Google Drive en Google Docs-editors kunt u echter alleen een IdP van een derde partij gebruiken. Deze beperking zorgt ervoor dat bezoekersaccounts voor Drive en Google Docs ondersteund blijven. Uw IdP van een derde partij kan dezelfde zijn als die u voor uw gebruikers gebruikt, of een andere.
Een extra client-ID aanmaken voor Google Meet — Tijdens de stap waarin u uw client-ID voor webservices aanmaakt, moet u een extra client-ID aanmaken voor Google Meet.
De primaire client-ID voor webdiensten wordt gebruikt voor de sleutelversleuteling en wordt niet gedeeld met Google-systemen. De extra client-ID voor Meet wordt gebruikt om te controleren of gasten die niet zijn aangemeld bij Meet, daadwerkelijk voor de vergadering zijn uitgenodigd.
Gebruik de beheerdersconsole om uw gast-IdP te configureren . U moet de beheerdersconsole gebruiken om uw gast-IdP-verbinding te configureren en de optie ' Gast-IdP configureren' selecteren. U kunt uw gast-IdP niet configureren met een .well-known-bestand.

Stel authenticatieopties voor gast-IDP in.

Nadat u de IdP-configuratie in de beheerdersconsole hebt voltooid, kunt u de tools van uw IdP gebruiken om in te stellen hoe externe gebruikers worden geverifieerd. Afhankelijk van uw implementatie van de gast-IdP zijn de volgende opties mogelijk beschikbaar:

Maak aparte accounts aan voor gasten en geef ze de bijbehorende wachtwoorden.
Stuur gasten eenmalige codes om hun e-mailadres te verifiëren.
Sta gasten toe om vooraf geconfigureerde identiteitsproviders (IdP's) te gebruiken, zoals Google, Apple of Microsoft.
Let op: met Google Identity kunnen gebruikers inloggen met hun Google-account. Als ze geen account hebben, kunnen ze er een aanmaken .

Bij elke authenticatiemethode krijgen gasten een pop-upbericht te zien waarin ze worden gevraagd zich aan te melden met een identiteitsaanbieder voordat ze toegang krijgen tot client-side versleutelde inhoud.