Ondersteunde edities voor deze functie: Frontline Plus; Enterprise Plus; Education Standard en Education Plus. Vergelijk uw editie.
Als beheerder kunt u client-side versleuteling (CSE) van Google Workspace inschakelen voor gebruikers die versleutelde inhoud met deze services moeten maken:
| Voor deze dienst... | Schakel CSE in voor... |
|---|---|
| Google Drive | Gebruikers die aan de clientzijde versleutelde documenten, spreadsheets en presentaties moeten maken of aan de clientzijde versleutelde bestanden naar Drive moeten uploaden. Je hoeft CSE niet in te schakelen voor gebruikers die alleen bestanden bekijken en bewerken die met hen zijn gedeeld. |
| Gmail | Gebruikers die versleutelde berichten moeten verzenden of ontvangen. Voordat u CSE voor Gmail inschakelt: controleer uw opties voor het inschakelen van e-mailversleuteling voor gebruikers. Dit is vereist naast het inschakelen van Gmail CSE. Ga voor meer informatie naar Gmail CSE: Zorg ervoor dat versleuteling is ingeschakeld voor gebruikers, verderop op deze pagina. |
| Google Agenda | Gebruikers die versleutelde agenda-afspraken aan de clientzijde moeten aanmaken. U moet CSE (Client-Side Encryption) ook inschakelen voor Drive en Meet voor deze gebruikers als u wilt dat ze versleutelde documenten kunnen bijvoegen en versleutelde vergaderingen kunnen houden. Je hoeft CSE niet in te schakelen voor genodigden van evenementen. |
| Google Meet | Gebruikers die online vergaderingen met client-side encryptie moeten organiseren. Je hoeft CSE niet in te schakelen voor andere deelnemers aan de vergadering. |
Voor gebruikers die alleen versleutelde inhoud hoeven te bekijken of bewerken, dient u het volgende te controleren:
- Interne gebruikers staan op de sleuteltoegangslijst (KACL) van uw sleutelservice. Zie ' Uw sleutelservice instellen voor client-side encryptie' voor meer informatie.
- Externe gebruikers hebben toegang tot uw client-side versleutelde inhoud. Zie Externe toegang tot client-side versleutelde inhoud verlenen voor meer informatie.
Voordat je begint
Zorg ervoor dat je deze stappen hebt voltooid.
- Kies een belangrijke dienst .
- Maak verbinding met uw identiteitsprovider (IdP) .
- Stel uw externe sleutelservice of hardwarematige sleutelversleuteling in .
- Wijs een sleutelservice of hardwarematige sleutelversleuteling toe aan organisatie-eenheden of -groepen.
Als u meerdere belangrijke services gebruikt, zorg er dan voor dat deze zijn toegewezen aan de juiste organisatie-eenheden of configuratiegroepen.
Begrijp de beperkingen van het gebruik van CSE met ondersteunende diensten.
Voor meer informatie over functies die niet beschikbaar zijn voor gebruikers wanneer zij ervoor kiezen om CSE te gebruiken, raadpleegt u de CSE-gebruikerservaring .
Voeg indien nodig gebruikers toe aan organisatie-eenheden en groepen.
Zorg ervoor dat u gebruikers hebt ingedeeld in de organisatie-eenheden of -groepen waarvoor u CSE wilt inschakelen voor alle of specifieke services.
- Voor meer informatie over het aanmaken van organisatie-eenheden, ga naar Een organisatie-eenheid toevoegen .
- Voor meer informatie over het maken en gebruiken van configuratiegroepen, ga naar Service-instellingen aanpassen met configuratiegroepen .
Je kunt CSE als standaardinstelling instellen voor gebruikersapps.
Wanneer u CSE inschakelt voor organisatie-eenheden, kunt u CSE als standaardinstelling instellen voor de volgende services, waaronder zowel web- als mobiele apps:
- Gmail — Inhoud wordt standaard versleuteld wanneer gebruikers een e-mail opstellen, beantwoorden of doorsturen.
- Google Drive — Inhoud wordt standaard versleuteld wanneer gebruikers nieuwe bestanden aanmaken, zoals documenten, spreadsheets en presentaties.
- Google Agenda — Gebeurtenisbeschrijvingen worden standaard versleuteld wanneer gebruikers een gebeurtenis aanmaken. Google Meet- vergaderingen worden ook standaard versleuteld.
Als u CSE standaard inschakelt, hebben gebruikers nog steeds de mogelijkheid om de versleuteling indien nodig uit te schakelen. U kunt de acties van gebruikers om CSE voor Drive en Agenda uit te schakelen controleren met behulp van de beveiligingsonderzoekstool. Zie Logboeken en rapporten voor clientversleuteling bekijken voor meer informatie.
Opmerking: Het instellen van CSE als standaard voor een service is momenteel alleen beschikbaar voor organisatie-eenheden, niet voor configuratiegroepen.
Gmail CSE: Zorg ervoor dat e-mailversleuteling is ingeschakeld voor gebruikers.
Om versleutelde berichten te verzenden en te ontvangen, moeten gebruikers zowel Gmail CSE als e-mailversleuteling voor hun account hebben ingeschakeld. Afhankelijk van uw abonnement en behoeften kunt u versleuteling op een van de volgende manieren inschakelen:
- Configureer en upload S/MIME-certificaten voor gebruikers (vereist ervaring met API's en Python-scripts). Met deze optie moet u de Gmail API inschakelen voordat u CSE voor Gmail inschakelt. Zie voor meer informatie: Alleen voor Gmail: S/MIME-certificaten configureren voor client-side encryptie .
- Als u de add-on Assured Controls hebt geïnstalleerd en geen hardwarematige sleutelversleuteling voor Gmail gebruikt, kunt u end-to-end-versleuteling (E2EE) van Gmail gebruiken door de optie 'Versleuteling met gastaccounts' te selecteren wanneer u Gmail CSE inschakelt (zoals verderop op deze pagina wordt beschreven). Met deze optie hoeft u geen S/MIME-certificaten voor gebruikers te configureren. Om Gmail E2EE te gebruiken, moet u eerst een gastidentiteitsprovider (IdP) configureren. Zie voor meer informatie Externe toegang tot client-side versleutelde inhoud bieden .
Belangrijk: Met de optie 'Versleuteling met gastaccounts' kunt u gebruikers ook toestaan om client-side versleutelde berichten uit te wisselen met iedereen buiten uw organisatie. Om deze toegang te verlenen, moet u een gast-identiteitsprovider (IdP) configureren. Zie voor meer informatie Externe toegang tot client-side versleutelde inhoud verlenen .
Schakel CSE in of uit voor gebruikers
Om CSE voor gebruikers in te schakelen, moet u CSE inschakelen voor de organisatie-eenheden of configuratiegroepen waartoe de gebruikers behoren. Zodra u de gebruikerstoegang voor CSE inschakelt, kunnen gebruikers kiezen of ze inhoud willen versleutelen.
Wanneer u CSE inschakelt voor een organisatie-eenheid, kunt u CSE instellen als de standaard voor Gmail, Google Drive en Google Agenda, zowel voor web- als mobiele apps. Hiervoor is de add-on Assured Controls of Assured Controls Plus vereist.
Om te voorkomen dat gebruikers inhoud versleutelen, kunt u CSE uitschakelen voor de organisatie-eenheden of configuratiegroepen waartoe ze behoren. Als u CSE voor gebruikers uitschakelt, blijft alle bestaande client-side versleutelde inhoud versleuteld en toegankelijk.
Voor deze taak moet u zijn aangemeld als superbeheerder .Ga in de Google Admin-console naar Menu.
Gegevens Naleving Client-side encryptie .Voor deze taak moet u zijn aangemeld als superbeheerder .
Klik onder Apps op de naam van de Google-service waarvoor u CSE voor gebruikers wilt in- of uitschakelen.
U kunt ook onder ' Versleuteling met externe sleutelservice' of 'Versleuteling met hardware-sleutels' op 'Toewijzen' klikken. Selecteer vervolgens onder 'Versleuteling per app ' de Google-service waarvoor u CSE wilt inschakelen.
Selecteer in het linkerpaneel een organisatie-eenheid of -groep waarvoor u CSE wilt in- of uitschakelen.
Selecteer onder Client-side encryption status de optie Aan of Uit.
Bevestig je keuze in het pop-upbericht.
(Optioneel, alleen voor Gmail) Om e-mailversleuteling automatisch in te schakelen voor gebruikersaccounts, selecteert u onder Versleuteling met gastaccounts de optie Gebruikers toestaan om client-side versleutelde berichten te verzenden naar ontvangers die geen S/MIME gebruiken . Hiervoor is de add-on Assured Controls of Assured Controls Plus vereist.
(Optioneel, alleen voor organisatie-eenheden) Om Gmail-, Drive- of Agenda-inhoud standaard te versleutelen met de Google-service, vinkt u onder ' Standaard ingeschakeld' het vakje 'Clientversleuteling standaard inschakelen' aan. Gebruikers kunnen de versleuteling nog steeds uitschakelen.
Vereist de aanschaf van de add-on Assured Controls of Assured Controls Plus .Klik op 'Overschrijven' om uw instelling te behouden als de CSE-instellingen voor de bovenliggende organisatie-eenheid worden gewijzigd.
Als 'Overridden' al is ingesteld voor de organisatie-eenheid, kies dan een optie:
- Overnemen — Keert terug naar dezelfde CSE-instelling als het bovenliggende element.
- Opslaan —Hiermee worden je nieuwe CSE-instellingen opgeslagen (zelfs als de bovenliggende instellingen wijzigen).
Als je CSE voor Gmail hebt ingeschakeld
Als je de optie 'Versleuteling met gastaccounts' niet kon gebruiken nadat je CSE voor Gmail had ingeschakeld: Voor elke gebruiker die Gmail CSE gaat gebruiken, moet je de S/MIME-certificaten en de versleutelde metadata van de privésleutel voorbereiden en uploaden naar Gmail. Zie 'Gmail CSE instellen voor gebruikers' voor meer informatie.
Als gebruikers problemen ondervinden bij het gebruik van CSE
Raadpleeg het waarschuwingscentrum als gebruikers problemen ondervinden met het gebruik van Gmail CSE. Ga voor meer informatie naar Client-side encryption service unavailable .