Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Standard und Education Plus. Versionen vergleichen
Als Administrator können Sie die clientseitige Verschlüsselung (Client-side Encryption, CSE) von Google Workspace für Nutzer aktivieren, die verschlüsselte Inhalte mit diesen Diensten erstellen müssen:
| Für diesen Dienst... | Clientseitige Verschlüsselung aktivieren für… |
|---|---|
| Google Drive |
Nutzer, die clientseitig verschlüsselte Dokumente, Tabellen und Präsentationen erstellen oder clientseitig verschlüsselte Dateien in Drive hochladen müssen. Für Nutzer, die lediglich für sie freigegebene Dateien ansehen und bearbeiten, ist die Funktion nicht erforderlich. |
| Gmail |
Nutzer, die verschlüsselte Nachrichten senden oder empfangen müssen. Bevor Sie die clientseitige Verschlüsselung für Gmail aktivieren:Sehen Sie sich die Optionen zum Aktivieren der E‑Mail-Verschlüsselung für Nutzer an. Dies ist zusätzlich zur Aktivierung der clientseitigen Verschlüsselung für Gmail erforderlich. Weitere Informationen finden Sie weiter unten auf dieser Seite im Abschnitt Clientseitige Verschlüsselung für Gmail: Verschlüsselung für Nutzer aktivieren. |
| Google Kalender |
Nutzer, die clientseitig verschlüsselte Kalendertermine erstellen müssen. Außerdem müssen Sie die clientseitige Verschlüsselung für Google Drive und Google Meet für diese Nutzer aktivieren, wenn sie clientseitig verschlüsselte Dokumente anhängen und clientseitig verschlüsselte Videokonferenzen hosten sollen. Für Eingeladene ist die Funktion nicht erforderlich. |
| Google Meet |
Nutzer, die clientseitig verschlüsselte Videokonferenzen organisieren müssen. Für andere Besprechungsteilnehmer müssen Sie die clientseitige Verschlüsselung nicht aktivieren. |
Für Nutzer, die verschlüsselte Inhalte nur aufrufen oder bearbeiten, ist Folgendes zu beachten:
- Interne Nutzer wurden der Key Access Control List (KACL) hinzugefügt. Weitere Informationen finden Sie unter Schlüsseldienst für clientseitige Verschlüsselung einrichten.
- Externe Nutzer haben Zugriff auf Ihre clientseitig verschlüsselten Inhalte. Weitere Informationen finden Sie unter Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren.
Hinweis
So bereiten Sie sich vor
- Wählen Sie einen Schlüsseldienst aus.
- Stellen Sie eine Verbindung zu Ihrem Identitätsanbieter (Identity Provider, IdP) her.
- Richten Sie Ihren externen Schlüsseldienst oder die Verschlüsselung mit Hardwareschlüsseln ein.
- Weisen Sie Organisationseinheiten oder Gruppen einen Schlüsseldienst oder die Verschlüsselung mit Hardwareschlüsseln zu.
Wenn Sie mehrere Schlüsseldienste verwenden, achten Sie darauf, dass sie den entsprechenden Organisationseinheiten oder Konfigurationsgruppen zugewiesen sind.
Einschränkungen bei der Verwendung der clientseitigen Verschlüsselung mit unterstützten Diensten
Weitere Informationen zu Funktionen, die bei aktivierter clientseitiger Verschlüsselung für Nutzer nicht verfügbar sind, finden Sie hier.
Nutzer bei Bedarf zu Organisationseinheiten und Gruppen hinzufügen
Sie müssen die Nutzer den Organisationseinheiten oder Gruppen zuordnen, für die Sie die clientseitige Verschlüsselung für alle oder bestimmte Dienste aktivieren möchten.
- Weitere Informationen zum Erstellen von Organisationseinheiten finden Sie unter Eine Organisationseinheit hinzufügen.
- Weitere Informationen zum Anpassen der Diensteinstellungen mit Konfigurationsgruppen
Sie können die clientseitige Verschlüsselung zur Standardeinstellung für Nutzer-Apps machen
Wenn Sie die clientseitige Verschlüsselung für Organisationseinheiten aktivieren, können Sie sie zur Standardeinstellung für die folgenden Dienste machen, einschließlich Web- und mobiler Apps:
- Gmail: Inhalte werden standardmäßig verschlüsselt, wenn Nutzer eine E‑Mail verfassen, beantworten oder weiterleiten.
- Google Drive: Inhalte werden standardmäßig verschlüsselt, wenn Nutzer neue Dateien wie Dokumente, Tabellen und Präsentationen erstellen.
- Google Kalender: Terminbeschreibungen werden standardmäßig verschlüsselt, wenn Nutzer einen Termin erstellen. Google Meet-Videokonferenzen werden ebenfalls standardmäßig verschlüsselt.
Wenn Sie die clientseitige Verschlüsselung standardmäßig aktivieren, haben Nutzer weiterhin die Möglichkeit, die Verschlüsselung bei Bedarf zu deaktivieren. Mit dem Sicherheitsprüftool können Sie Nutzeraktionen überwachen, um die clientseitige Verschlüsselung für Drive und Kalender zu deaktivieren. Weitere Informationen finden Sie im Hilfeartikel Protokolle und Berichte zur clientseitigen Verschlüsselung aufrufen.
Hinweis:Die clientseitige Verschlüsselung als Standard für einen Dienst ist derzeit nur für Organisationseinheiten und nicht für Konfigurationsgruppen verfügbar.
Clientseitige Verschlüsselung für Gmail: E-Mail-Verschlüsselung für Nutzer aktivieren
Damit Nutzer verschlüsselte Nachrichten senden und empfangen können, müssen sowohl die clientseitige Verschlüsselung für Gmail als auch die E-Mail-Verschlüsselung für ihre Konten aktiviert sein. Je nach Abo und Bedarf können Sie die Verschlüsselung auf eine der folgenden Arten aktivieren:
- Konfigurieren und laden Sie S/MIME-Zertifikate für Nutzer hoch. Hierfür sind Kenntnisse im Umgang mit APIs und Python-Scripts erforderlich. Bei dieser Option müssen Sie die Gmail API vor der Aktivierung der clientseitigen Verschlüsselung für Gmail aktivieren. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren.
- Wenn Sie das Add-on „Assured Controls“ haben und keine Hardwareschlüsselverschlüsselung für Gmail verwenden, können Sie die Ende-zu-Ende-Verschlüsselung (E2EE) von Gmail verwenden, indem Sie die Option Verschlüsselung mit Gastkonten aktivieren, wenn Sie die clientseitige Verschlüsselung in Gmail aktivieren (wie später auf dieser Seite beschrieben). Bei dieser Option müssen Sie keine S/MIME-Zertifikate für Nutzer konfigurieren. Wenn Sie die E2EE-Funktion von Gmail verwenden möchten, müssen Sie zuerst einen Gast-Identitätsanbieter (IdP) konfigurieren. Weitere Informationen finden Sie im Hilfeartikel Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren.
Wichtig:Mit der Option Verschlüsselung mit Gastkonten können Nutzer auch clientseitig verschlüsselte Nachrichten mit Personen außerhalb Ihrer Organisation austauschen. Dazu müssen Sie einen Gast-Identitätsanbieter (IdP) konfigurieren. Weitere Informationen finden Sie im Hilfeartikel Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren.
Clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren
Wenn Sie die clientseitige Verschlüsselung für Nutzer aktivieren möchten, müssen Sie sie für die Organisationseinheiten oder Konfigurationsgruppen aktivieren, denen die Nutzer angehören. Wenn Sie den Nutzerzugriff für die clientseitige Verschlüsselung aktivieren, können Nutzer auswählen, ob sie Inhalte verschlüsseln möchten.
Wenn Sie die clientseitige Verschlüsselung für eine Organisationseinheit aktivieren, können Sie sie für Gmail, Google Drive und Google Kalender sowohl für Web- als auch für mobile Apps als Standard festlegen. Erfordert das Assured Controls- oder Assured Controls Plus-Add-on.
Wenn Sie verhindern möchten, dass Nutzer Inhalte verschlüsseln, können Sie die clientseitige Verschlüsselung für die Organisationseinheiten oder Konfigurationsgruppen, zu denen sie gehören, deaktivieren. Wenn Sie die clientseitige Verschlüsselung für Nutzer deaktivieren, bleiben alle clientseitig verschlüsselten Inhalte verschlüsselt und zugänglich.
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü
Daten Compliance Clientseitige Verschlüsselung.Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
Klicken Sie unter Apps auf den Namen des Google-Dienstes, für den Sie die clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren möchten.
Alternativ können Sie unter Verschlüsselung mit externem Schlüsseldienst oder Verschlüsselung mit Hardwareschlüsseln auf Zuweisen klicken. Wählen Sie dann unter Verschlüsselung nach App den Google-Dienst aus, für den Sie die clientseitige Verschlüsselung aktivieren möchten.
Wählen Sie im linken Bereich die Organisationseinheit oder Gruppe aus, für die Sie die clientseitige Verschlüsselung aktivieren oder deaktivieren möchten.
Wählen Sie unter Status der clientseitigen Verschlüsselung die Option Ein oder Aus aus.
Bestätigen Sie Ihre Auswahl im Pop-up-Fenster.
(Nur für Gmail optional) Wenn Sie die E-Mail-Verschlüsselung für die Konten der Nutzer automatisch aktivieren möchten, wählen Sie unter Verschlüsselung mit Gastkonten die Option Nutzern erlauben, clientseitig verschlüsselte Nachrichten an Empfänger zu senden, die S/MIME nicht verwenden aus. Erfordert das Assured Controls- oder Assured Controls Plus-Add-on.
Optional (nur für Organisationseinheiten): Wenn Gmail-, Drive- oder Kalenderinhalte standardmäßig mit dem Google-Dienst verschlüsselt werden sollen, setzen Sie unter Standardmäßig aktiviert ein Häkchen bei Clientseitige Verschlüsselung standardmäßig aktivieren. Nutzer haben weiterhin die Möglichkeit, die Verschlüsselung zu deaktivieren.
Erfordert das Assured Controls- oder Assured Controls Plus-Add-on.Klicken Sie auf Überschreiben, um Ihre Einstellung beizubehalten, wenn die CSE-Einstellungen für die übergeordnete Organisationseinheit geändert werden.
Wenn für die Organisationseinheit bereits Überschrieben festgelegt ist, wählen Sie eine Option aus:
- Übernehmen: Die Einstellung der übergeordneten Organisationseinheit wird übernommen.
- Speichern: Die neue Einstellung wird gespeichert und gilt auch bei geänderter übergeordneter Einstellung weiterhin.
Wenn Sie die clientseitige Verschlüsselung für Gmail aktiviert haben
Wenn Sie die Option Verschlüsselung mit Gastkonten nach der Aktivierung der clientseitigen Verschlüsselung für Gmail nicht verwenden konnten: Für jeden Nutzer, der die clientseitige Verschlüsselung für Gmail verwendet, müssen Sie die S/MIME-Zertifikate und die verschlüsselten Metadaten des privaten Schlüssels in Gmail vorbereiten und hochladen. Weitere Informationen zur Einrichtung der clientseitigen Verschlüsselung für Nutzer in Gmail
Wenn Nutzer Probleme bei der Verwendung der clientseitigen Verschlüsselung haben
Sehen Sie in der Benachrichtigungszentrale nach, falls Nutzer Probleme bei der Verwendung der clientseitigen Verschlüsselung in Gmail haben. Weitere Informationen finden Sie unter Dienst für clientseitige Verschlüsselung ist nicht verfügbar.