Deze functie wordt ondersteund in de volgende versies: Frontline Plus, Enterprise Plus, Education Standard en Education Plus. Versies vergelijken.
Neem de vereisten, de opties voor versleutelingssleutels en het installatieoverzicht door voordat u versleuteling aan de clientzijde (VCZ) voor Google Workspace instelt.
Vereisten voor VCZ
Gedeelte openen | Alles samenvouwen
U moet hoofdbeheerdersrechten hebben voor Google Workspace om VCZ te beheren voor uw organisatie, zoals:
- Sleutelservices toevoegen en beheren
- Sleutelservices toewijzen aan organisatie-eenheden en groepen
- VCZ aan- of uitzetten voor gebruikers
Vereisten voor gebruikerslicenties
- Gebruikers moeten een Google Workspace Enterprise Plus-, Google Workspace Education Standard- of Google Workspace for Education Plus-licentie hebben om VCZ te kunnen gebruiken en het volgende te doen:
- Aan de clientzijde versleutelde content maken of uploaden
- Versleutelde vergaderingen hosten
- Versleutelde e-mails sturen of krijgen
- Gebruikers kunnen elk type Google Workspace- of Cloud Identity-licentie hebben om het volgende te kunnen doen:
- Aan de clientzijde versleutelde content openen, bewerken of downloaden
- Deelnemen aan een VCZ-vergadering
- Gebruikers met een Google-account voor consumenten (zoals Gmail-gebruikers) hebben geen toegang tot content die is versleuteld aan de clientzijde, kunnen geen versleutelde e-mails sturen en kunnen niet deelnemen aan vergaderingen die zijn versleuteld aan de clientzijde.
Browservereisten
Gebruikers moeten de Google Chrome- of Microsoft Edge-browser (Chromium) gebruiken om content die is versleuteld aan de clientzijde te kunnen bekijken of bewerken.
U kunt externe gebruikers toegang geven tot content die is versleuteld aan de clientzijde. Externe gebruikers hoeven alleen S/MIME te gebruiken om toegang te krijgen tot de versleutelde Gmail-berichten van uw gebruikers. Voor andere content verschillen de vereisten, afhankelijk van de methode die u gebruikt om externe toegang te verlenen. Ga naar Externe toegang geven tot content die is versleuteld aan de clientzijde voor meer informatie.
Informatie over opties voor versleutelingssleutels
Gedeelte openen | Alles samenvouwen
- Gebruik een externe versleutelingssleutelservice die samenwerkt met Google. De sleutelservice helpt u om de service in te stellen voor Google Workspace. Ga naar Uw sleutelservice voor versleuteling aan de clientzijde kiezen voor meer informatie.
- Maak uw eigen sleutelservice met de Google Workspace CSE API.
Hiervoor is de add-on Assured Controls of Assured Controls Plus vereist.
Overzicht van de installatie van VCZ
Dit is een overzicht van de stappen om versleuteling aan de clientzijde voor Google Workspace in te stellen. Hoe u VCZ instelt, hangt af van het type versleutelingssleutels dat u wilt gebruiken.
Als u een externe versleutelingssleutelservice gebruikt
Volg deze stappen om versleuteling in te stellen voor Google Drive, Google Agenda en Google Meet. Volg deze stappen ook voor Gmail, tenzij u alleen sleutels voor hardwareversleuteling wilt gebruiken voor Gmail.
| Stap | Beschrijving | Deze stap uitvoeren |
|---|---|---|
| Stap 1: Kies uw externe versleutelingssleutelservice |
Meld u aan bij een van de Google-partners voor versleutelingssleutels of maak een eigen service met de Google Workspace VCZ API. Uw sleutelservice beheert de versleutelingssleutels op het hoogste niveau die uw gegevens beschermen.
|
Uw sleutelservice voor versleuteling aan de clientzijde kiezen |
| Stap 2: Koppel Google Workspace aan uw identiteitsprovider |
Maak verbinding met een externe IdP of Google-identiteit via de Beheerdersconsole of een .well-known-bestand dat wordt gehost op uw server. Uw IdP verifieert de identiteit van gebruikers voordat ze content versleutelen of versleutelde content openen. |
Koppelen met uw identiteitsprovider voor versleuteling aan de clientzijde |
| Stap 3: Stel uw externe sleutelservice in | Werk samen met uw sleutelservicepartner om de service in te stellen voor versleuteling aan de clientzijde voor Google Workspace. | Uw sleutelservice instellen voor versleuteling aan de clientzijde |
| Stap 4: Voeg de gegevens van uw sleutelservice toe in de Beheerdersconsole |
Voeg de URL van uw externe sleutelservice toe in de Beheerdersconsole om de service te koppelen aan Google Workspace. U kunt meerdere sleutelservices toevoegen om verschillende sleutelservices toe te wijzen aan specifieke organisatie-eenheden of groepen. |
Sleutelservices voor versleuteling aan de clientzijde toevoegen en beheren |
| Stap 5: Wijs uw sleutelservice toe aan gebruikers | Wijs een of meer sleutelservices toe aan uw organisatie-eenheden en groepen. U moet één sleutelservice toewijzen als de standaardservice voor uw organisatie. | Versleuteling aan de clientzijde toewijzen aan gebruikers |
| Stap 6: (Alleen Gmail VCZ) Upload de versleutelingssleutels van gebruikers |
Maak een Google Cloud Platform-project (GCP) en zet de Gmail API aan. Geef de API daarna toegang tot uw hele organisatie, zet VCZ aan voor Gmail-gebruikers en upload privé- en openbare versleutelingssleutels naar Gmail. Opmerking: Voor deze stap moet u ervaring hebben met het gebruik van API's en Python-scripts. |
Alleen Gmail: Versleutelingssleutels uploaden voor versleuteling aan de clientzijde |
| Stap 7: Zet VCZ aan voor gebruikers | Zet VCZ aan voor organisatie-eenheden of groepen in uw organisatie met gebruikers die aan de clientzijde versleutelde content moeten maken. | VCZ aan- of uitzetten voor gebruikers |
| Stap 8: (Optioneel) Stel externe toegang in | Externe gebruikers hebben alleen S/MIME nodig om toegang te krijgen tot versleutelde Gmail-content. Anders heeft u 2 methoden om externe toegang te geven, afhankelijk van de organisatie en de content. | Externe toegang geven tot content die is versleuteld aan de clientzijde |
| Stap 9: (Optioneel) Importeer berichten naar Gmail als e-mails met versleuteling aan de clientzijde | Als uw organisatie berichten heeft in een andere service of met een andere versleutelingsindeling, kunt u als beheerder deze berichten naar Gmail migreren als berichten met versleuteling aan de clientzijde in de indeling S/MIME. | Berichten migreren naar Gmail als e-mails met versleuteling aan de clientzijde |
Als u sleutels voor hardwareversleuteling gebruikt voor Gmail
Hiervoor is de add-on Assured Controls of Assured Controls Plus vereist.
Volg deze stappen als u in plaats van een externe sleutelservice sleutels voor hardwareversleuteling wilt instellen voor alle of een deel van uw Gmail-gebruikers.
| Stap | Beschrijving | Deze stap uitvoeren |
|---|---|---|
| Stap 1: Koppel Google Workspace aan uw identiteitsprovider | Maak verbinding met een externe IdP of Google-identiteit via de Beheerdersconsole of een .well-known-bestand dat wordt gehost op uw server. Uw IdP verifieert de identiteit van gebruikers voordat ze content versleutelen of versleutelde content openen. | Koppelen met uw identiteitsprovider voor versleuteling aan de clientzijde |
| Stap 2: Stel uw sleutels voor hardwareversleuteling in |
Installeer de Google Workspace-app met hardwaresleutels op de Windows-apparaten van gebruikers. Opmerking: Voor deze stap moet u ervaring hebben met het werken met PowerShell-scripts. |
Alleen Gmail: Sleutels voor hardwareversleuteling instellen en beheren |
| Stap 3: Voeg informatie over hardwareversleuteling toe in de Beheerdersconsole | Voer het poortnummer in waarmee Google Workspace communiceert met de smartcardlezer op de Windows-apparaten van gebruikers. | Alleen Gmail: Sleutels voor hardwareversleuteling instellen en beheren |
| Stap 4: Wijs hardwareversleuteling toe aan gebruikers | Wijs versleuteling via hardwaresleutels toe aan uw organisatie-eenheden en groepen. | Versleuteling aan de clientzijde toewijzen aan gebruikers |
| Stap 5: Upload de openbare versleutelingssleutels van gebruikers |
Maak een Google Cloud Platform-project (GCP) en zet de Gmail API aan. Geef de API daarna toegang tot uw hele organisatie, zet VCZ aan voor Gmail-gebruikers en upload openbare versleutelingssleutels naar Gmail. Opmerking: Voor deze stap moet u ervaring hebben met het gebruik van API's en Python-scripts. |
Alleen Gmail: Versleutelingssleutels uploaden voor versleuteling aan de clientzijde |
| Stap 6: (Optioneel) Importeer berichten naar Gmail als e-mails met versleuteling aan de clientzijde | Als uw organisatie berichten heeft in een andere service of met een andere versleutelingsindeling, kunt u als beheerder deze berichten naar Gmail migreren als berichten met versleuteling aan de clientzijde in de indeling S/MIME. | Berichten migreren naar Gmail als e-mails met versleuteling aan de clientzijde |
