Unterstützte Versionen für diese Funktion: Frontline Plus, Enterprise Plus, Education Standard und Education Plus. Versionen vergleichen
Als Administrator können Sie die clientseitige Verschlüsselung (Client-side Encryption, CSE) von Google Workspace für Nutzer aktivieren, die verschlüsselte Inhalte mit diesen Diensten erstellen müssen:
| Für diesen Dienst… | CSE aktivieren für… |
|---|---|
| Google Drive |
Nutzer, die clientseitig verschlüsselte Dokumente, Tabellen und Präsentationen erstellen oder clientseitig verschlüsselte Dateien in Google Drive hochladen müssen. Für Nutzer, die lediglich für sie freigegebene Dateien ansehen und bearbeiten, ist die Funktion nicht erforderlich. |
| Gmail |
Nutzer, die verschlüsselte Nachrichten senden oder empfangen müssen. Bevor Sie die clientseitige Verschlüsselung für Gmail aktivieren:Sehen Sie sich die Optionen zum Aktivieren der E‑Mail-Verschlüsselung für Nutzer an. Dies ist zusätzlich zur Aktivierung der clientseitigen Verschlüsselung für Gmail erforderlich. Weitere Informationen finden Sie unter Gmail-CSE: E‑Mail-Verschlüsselung für Nutzer aktivieren weiter unten auf dieser Seite. |
| Google Kalender |
Nutzer, die clientseitig verschlüsselte Kalendertermine erstellen müssen. Außerdem müssen Sie die clientseitige Verschlüsselung für Google Drive und Google Meet für diese Nutzer aktivieren, wenn sie clientseitig verschlüsselte Dokumente anhängen und clientseitig verschlüsselte Videokonferenzen hosten sollen. Für Eingeladene ist die Funktion nicht erforderlich. |
| Google Meet |
Nutzer, die clientseitig verschlüsselte Onlinebesprechungen hosten müssen. Für andere Besprechungsteilnehmer müssen Sie die clientseitige Verschlüsselung nicht aktivieren. |
Für Nutzer, die verschlüsselte Inhalte nur aufrufen oder bearbeiten, ist Folgendes zu beachten:
- Interne Nutzer wurden der Key Access Control List (KACL) hinzugefügt. Weitere Informationen finden Sie im Hilfeartikel Schlüsseldienst für clientseitige Verschlüsselung einrichten.
- Externe Nutzer haben Zugriff auf Ihre clientseitig verschlüsselten Inhalte. Weitere Informationen finden Sie im Hilfeartikel Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren.
Hinweis
So bereiten Sie sich vor
- Wählen Sie einen Schlüsseldienst aus.
- Stellen Sie eine Verbindung zu Ihrem Identitätsanbieter (Identity Provider, IdP) her.
- Richten Sie Ihren externen Schlüsseldienst oder die Verschlüsselung mit Hardwareschlüsseln ein.
- Weisen Sie Organisationseinheiten oder Gruppen einen Schlüsseldienst oder die Verschlüsselung mit Hardwareschlüsseln zu.
Wenn Sie mehrere Schlüsseldienste verwenden, achten Sie darauf, dass sie den entsprechenden Organisationseinheiten oder Konfigurationsgruppen zugewiesen sind.
Einschränkungen bei der Verwendung der clientseitigen Verschlüsselung mit unterstützten Diensten
Weitere Informationen zu Funktionen, die bei aktivierter clientseitiger Verschlüsselung für Nutzer nicht verfügbar sind, finden Sie unter CSE-Nutzererfahrung.
Nutzer bei Bedarf zu Organisationseinheiten und Gruppen hinzufügen
Sie müssen die Nutzer den Organisationseinheiten oder Gruppen zuordnen, für die Sie die clientseitige Verschlüsselung für alle oder bestimmte Dienste aktivieren möchten.
- Weitere Informationen zum Erstellen von Organisationseinheiten finden Sie unter Eine Organisationseinheit hinzufügen.
- Weitere Informationen zum Anpassen der Diensteinstellungen mit Konfigurationsgruppen.
Clientseitige Verschlüsselung als Standardeinstellung für Nutzer-Apps festlegen
Wenn Sie die clientseitige Verschlüsselung für Organisationseinheiten aktivieren, können Sie sie als Standardeinstellung für die folgenden Dienste festlegen, einschließlich Web- und mobiler Apps:
- Gmail: Inhalte werden standardmäßig verschlüsselt, wenn Nutzer eine E‑Mail verfassen, darauf antworten oder sie weiterleiten.
- Google Drive: Inhalte werden standardmäßig verschlüsselt, wenn Nutzer neue Dateien erstellen, z. B. Dokumente, Tabellen und Präsentationen.
- Google Kalender: Terminbeschreibungen werden standardmäßig verschlüsselt, wenn Nutzer einen Termin erstellen. Google Meet -Videokonferenzen werden ebenfalls standardmäßig verschlüsselt.
Wenn Sie die clientseitige Verschlüsselung standardmäßig aktivieren, können Nutzer die Verschlüsselung bei Bedarf trotzdem deaktivieren. Mit dem Sicherheitstool zur Untersuchung können Sie Nutzeraktionen zum Deaktivieren der clientseitigen Verschlüsselung für Google Drive und Google Kalender überwachen. Weitere Informationen finden Sie im Hilfeartikel Protokolle und Berichte zur clientseitigen Verschlüsselung aufrufen.
Hinweis: Die clientseitige Verschlüsselung als Standard für einen Dienst ist derzeit nur für Organisationseinheiten und nicht für Konfigurationsgruppen verfügbar.
Gmail-CSE: E‑Mail-Verschlüsselung für Nutzer aktivieren
Wenn Nutzer verschlüsselte Nachrichten senden und empfangen möchten, müssen sowohl die clientseitige Verschlüsselung für Gmail als auch die E‑Mail-Verschlüsselung für ihre Konten aktiviert sein. Je nach Abo und Bedarf können Sie die Verschlüsselung auf eine der folgenden Arten aktivieren:
- Konfigurieren und laden Sie S/MIME-Zertifikate für Nutzer hoch. Hierfür sind Kenntnisse im Umgang mit APIs und Python-Scripts erforderlich. Bei dieser Option müssen Sie die Gmail API aktivieren, bevor Sie die clientseitige Verschlüsselung für Gmail aktivieren. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: S/MIME-Zertifikate für die clientseitige Verschlüsselung konfigurieren.
- Wenn Sie das Add-on „Sichere Kontrollen“ haben und keine Hardwareschlüsselverschlüsselung für Gmail verwenden, können Sie die Ende-zu-Ende-Verschlüsselung (E2EE) von Gmail verwenden, indem Sie die Option Verschlüsselung mit Gastkonten auswählen, wenn Sie die clientseitige Verschlüsselung für Gmail aktivieren (wie weiter unten auf dieser Seite beschrieben). Bei dieser Option müssen Sie keine S/MIME-Zertifikate für Nutzer konfigurieren. Wenn Sie die E2EE von Gmail verwenden möchten, müssen Sie zuerst einen Gast-Identitätsanbieter (IdP) konfigurieren. Weitere Informationen finden Sie im Hilfeartikel Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren.
Wichtig:Mit der Option Verschlüsselung mit Gastkonten können Nutzer auch clientseitig verschlüsselte Nachrichten mit Personen außerhalb Ihrer Organisation austauschen. Um diesen Zugriff zu gewähren, müssen Sie einen Gast-Identitätsanbieter (IdP) konfigurieren. Weitere Informationen finden Sie im Hilfeartikel Externen Zugriff auf clientseitig verschlüsselte Inhalte gewähren.
Clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren
Wenn Sie die clientseitige Verschlüsselung für Nutzer benötigen, aktivieren Sie sie für die Organisationseinheiten oder Konfigurationsgruppen, denen diese Nutzer angehören. Wenn Sie den Nutzerzugriff für die clientseitige Verschlüsselung aktivieren, können Nutzer auswählen, ob sie Inhalte verschlüsseln möchten.
Wenn Sie die clientseitige Verschlüsselung für eine Organisationseinheit aktivieren, können Sie sie als Standardeinstellung für Gmail, Google Drive und Google Kalender festlegen – sowohl für Web- als auch für mobile Apps. Erfordert das Add-on „Sichere Kontrollen“ oder „Sichere Kontrollen Plus“.
Wenn Sie verhindern möchten, dass Nutzer Inhalte verschlüsseln, können Sie die clientseitige Verschlüsselung für die Organisationseinheiten oder Konfigurationsgruppen, zu denen sie gehören, deaktivieren. Wenn Sie die clientseitige Verschlüsselung für Nutzer deaktivieren, bleiben alle clientseitig verschlüsselten Inhalte verschlüsselt und zugänglich.
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.-
Gehen Sie in der Admin-Konsole zu „Menü“
DatenComplianceClientseitige Verschlüsselung.Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
Klicken Sie unter Apps auf den Namen des Google-Dienstes, für den Sie die clientseitige Verschlüsselung für Nutzer aktivieren oder deaktivieren möchten.
Alternativ können Sie unter Verschlüsselung mit externem Schlüsseldienst oder Verschlüsselung mit Hardwareschlüsseln auf Zuweisen klicken. Wählen Sie dann unter Verschlüsselung nach App den Google-Dienst aus, für den Sie die clientseitige Verschlüsselung aktivieren möchten.
Wählen Sie links die entsprechende Organisationseinheit oder Gruppe aus.
Wählen Sie unter Status der clientseitigen Verschlüsselung die Option An oder Aus aus.
Bestätigen Sie Ihre Auswahl im Pop-up-Fenster.
Optional, nur für Gmail: Wenn Sie die E‑Mail-Verschlüsselung für die Konten der Nutzer automatisch aktivieren möchten, wählen Sie unter Verschlüsselung mit Gastkonten die Option Nutzern erlauben, clientseitig verschlüsselte Nachrichten an Empfänger zu senden, die S/MIME nicht verwenden aus. Erfordert das Add-on „Sichere Kontrollen“ oder „Sichere Kontrollen Plus“.
Optional, nur für Organisationseinheiten: Wenn Sie Inhalte in Gmail, Google Drive oder Google Kalender standardmäßig mit dem Google-Dienst verschlüsseln möchten, aktivieren Sie unter Standardmäßig aktiviert das Kästchen Clientseitige Verschlüsselung standardmäßig aktivieren. Nutzer haben weiterhin die Möglichkeit, die Verschlüsselung zu deaktivieren.
Erfordert das Add-on „Sichere Kontrollen“ oder „Sichere Kontrollen Plus“.Klicken Sie auf Überschreiben , um Ihre Einstellung beizubehalten, wenn die Einstellungen für die clientseitige Verschlüsselung für die übergeordnete Organisationseinheit geändert werden.
Wenn für die Organisationseinheit bereits Überschrieben festgelegt ist, wählen Sie eine Option aus:
- Übernehmen: Die Einstellung für die clientseitige Verschlüsselung wird auf die der übergeordneten Organisationseinheit zurückgesetzt.
- Speichern : Ihre neue Einstellung für die clientseitige Verschlüsselung wird gespeichert, auch wenn sich die Einstellung der übergeordneten Organisationseinheit ändert.
Wenn Sie die clientseitige Verschlüsselung für Gmail aktiviert haben
Wenn Sie die Option Verschlüsselung mit Gastkonten nach der Aktivierung der clientseitigen Verschlüsselung für Gmail nicht verwenden konnten: Für jeden Nutzer, der die clientseitige Verschlüsselung für Gmail verwendet, müssen Sie die S/MIME-Zertifikate und die verschlüsselten Metadaten des privaten Schlüssels in Gmail vorbereiten und hochladen. Weitere Informationen finden Sie im Hilfeartikel Gmail-CSE für Nutzer einrichten.
Wenn Nutzer Probleme bei der Verwendung der clientseitigen Verschlüsselung haben
Sehen Sie in der Benachrichtigungszentrale nach, falls Nutzer Probleme bei der Verwendung der clientseitigen Verschlüsselung für Gmail haben. Weitere Informationen finden Sie unter Dienst für clientseitige Verschlüsselung ist nicht verfügbar.