Verificatie in twee stappen

Google Workspace-accounts beschermen met beveiligingsopdrachten

Beveiligingsopdrachten zijn aanvullende beveiligingsmaatregelen om de identiteit van een gebruiker te verifiëren. Er zijn twee soorten beveiligingsopdrachten:

  • Inlogcontrole: Als we vermoeden dat een onbevoegde gebruiker probeert in te loggen op een Google Workspace-account, laten we een inlogcontrole zien. Als de gebruiker de gevraagde gegevens niet kan invoeren, wordt de gebruiker niet ingelogd op het account.
  • 'Bevestigen dat u het bent'-controle: Als een gebruiker probeert acties uit te voeren die als gevoelig worden beschouwd, krijgt deze gebruiker een 'bevestigen dat u het bent'-controle  te zien. Als de gebruiker de gevraagde informatie niet kan invoeren, staan we de gevoelige actie niet toe (de persoon kan zijn account gewoon blijven gebruiken).

Voordat u beveiligingsopdrachten kunt gebruiken

Zorg ervoor dat uw Google Workspace-accounts de informatie bevatten die we nodig hebben:

  • Herinner werknemers eraan een hersteltelefoonnummer en herstelmailadres toe te voegen aan hun account. We vragen ze periodiek om deze gegevens toe te voegen als ze inloggen op hun account.
  • Voeg werknemers-ID's toe aan uw gebruikersaccounts. Zie Werknemers-ID toevoegen als inlogcontrole.

Alles openen   |   Alles sluiten

Typen inlogcontroles

De gebruiker bevestigt de identiteit met het eigen mobiele apparaat
 

De gebruiker kiest hoe de identiteit wordt geverifieerd


Google gebruikt een app die op de telefoon van de gebruiker is geïnstalleerd om de identiteit van de gebruiker te bevestigen


Google stuurt een sms met een verificatiecode


 Google belt de telefoon en verstrekt een verificatiecode

De gebruiker geeft de werknemers-ID op
Als u werknemers-ID's heeft toegevoegd als inlogcontrole, kunnen gebruikers deze ID gebruiken om hun identiteit te bevestigen.
De gebruiker geeft het herstelmailadres op
Een gebruiker kan een herstelmailadres invullen als inlogcontrole.

Controles om te bevestigen dat u het bent voor gevoelige acties

Als een Google Workspace-gebruiker een gevoelige actie probeert uit te voeren, moet die gebruiker soms een controle uitvoeren om zijn identiteit te bevestigen. Als de gebruiker de gevraagde informatie niet kan invullen, staat Google de gevoelige actie niet toe.

Gevoelige actie geblokkeerd

De meeste gebruikers die een controle moeten uitvoeren om te bevestigen wie ze zijn om een gevoelige actie te kunnen uitvoeren, zien een venster met de titel Gevoelige actie geblokkeerd. De gebruiker krijgt de opdracht om het opnieuw te proberen vanaf een apparaat dat normaal wordt gebruikt (zoals een telefoon of laptop) of op de locatie waar meestal wordt ingelogd.

Kan deze actie nu niet afronden

Omdat sommige gebruikers apparaten of beveiligingssleutels hebben die onlangs aan hun account zijn toegevoegd, kunnen ze hun identiteit niet meteen laten verifiëren bij een beveiligingscontrole. Deze gebruikers zien een venster met de titel Kan deze actie nu niet voltooien. Deze gebruikers kunnen hun identiteit laten verifiëren nadat een apparaat, telefoonnummer of beveiligingssleutel minstens 7 dagen aan hun account is gekoppeld.

Voorbeelden van gevoelige acties

Hier volgen enkele voorbeelden van gevoelige acties:

  • Verificatie in 2 stappen uitzetten
  • Een app toegang geven tot Google-gegevens
  • Het herstelmailadres of -telefoonnummer voor je account wijzigen
  • Accountgegevens downloaden
  • De naam van het account wijzigen

Inlogcontroles met SSO aanzetten

Als uw organisatie externe identiteitsproviders (IdP's) gebruikt om Single sign-on-gebruikers (SSO) te verifiëren via SAML, kunt u deze SSO-gebruikers aanvullende risicogebaseerde inlogcontroles geven en verificatie in 2 stappen toepassen (indien ingesteld), nadat de IdP een gebruiker verifieert tijdens het inloggen.

De standaardinstelling voor verificatie na SSO hangt af van het SSO-gebruikerstype:

  • Voor gebruikers die inloggen met het SSO-profiel voor uw organisatie is de standaardinstelling dat aanvullende inlogcontroles en verificatie in 2 stappen worden overgeslagen.
  • Voor gebruikers die inloggen met andere SSO-profielen worden standaard aanvullende inlogcontroles en verificatie in 2 stappen toegepast.

Volg de stappen in Verificatie na SSO instellen hieronder om de standaardinstellingen voor beide gebruikerstypen te wijzigen.

Gebruiksvoorbeelden voor aanvullende inlogcontroles met SSO
  • U wilt beveiligingssleutels gebruiken om de toegang tot gevoelige, door Google gehoste bronnen zo optimaal mogelijk te beschermen en beveiligingssleutels worden niet ondersteund door uw huidige IdP.
  • U wilt de kosten van een identiteitsprovider besparen, omdat gebruikers in de meeste gevallen bronnen van Google gebruiken.
  • U wilt geen Google-verificatie (Google als identiteitsprovider) gebruiken, maar u wilt alle op risico's gebaseerde inlogcontroles van Google gebruiken.
  • U wilt dat Google gevoelige acties in het Google-ecosysteem beschermt.
Wat er gebeurt als u aanvullende inlogcontroles toepast
Informeer uw gebruikers over het nieuwe beleid en vanaf wanneer het wordt toegepast, om de implementatie soepel te laten verlopen. Als u aanvullende inlogcontroles toevoegt bij het inloggen, gebeurt het volgende:
  • Als er bestaand beleid is voor verificatie in 2 stappen, zoals beleid waardoor verificatie in 2 stappen wordt afgedwongen, wordt dit beleid meteen van kracht.
  • Gebruikers voor wie het nieuwe beleid geldt en die zijn ingeschreven voor verificatie in 2 stappen, zien een inlogcontrole met verificatie in 2 stappen bij het inloggen.
  • Op basis van de risicoanalyse van inloggen bij Google kunnen gebruikers op risico's gebaseerde inlogcontroles zien bij het inloggen.
Verificatie na SSO instellen
  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Beveiligingand thenVerificatieand thenInlogchallenges.
  3. Selecteer links de organisatie-eenheid waarvoor u het beleid wilt instellen.

    Selecteer de organisatie op het hoogste niveau als u wilt dat de instellingen gelden voor alle gebruikers. Een organisatie-eenheid neemt in eerste instantie de instellingen over van de bovenliggende organisatie-eenheid.

  4. Klik op Verificatie na SSO.
  5. Kies instellingen volgens de manier waarop u SSO-profielen gebruikt in uw organisatie. U kunt een instelling toepassen op gebruikers die het SSO-profiel van uw organisatie gebruiken en voor gebruikers die inloggen met andere SSO-profielen.
  6. Klik rechtsonder op Opslaan.

    Google maakt een invoer in het controlelogboek voor beheerders waarin staat dat een beleid is gewijzigd.

Opmerking: In zeldzame gevallen zijn misschien niet voor alle gebeurtenissen logboekgebeurtenisgegevens aanwezig. We werken aan een oplossing voor dit probleem.

Veelgestelde vragen

Extra beveiligingsvragen en inlogcontroles  |  Telefonische verificatie  |  Een inlogcontrole of beveiligingsopdracht uitzetten  |  Beheerders

Extra beveiligingsvragen en inlogcontroles

Wanneer ziet een gebruiker een beveiligingsopdracht?

Een gebruiker krijgt een inlogcontrole wanneer een verdachte inlogpoging wordt gedetecteerd, bijvoorbeeld als de gebruiker niet de inlogpatronen volgt die hij normaal volgt.Een gebruiker krijgt een 'bevestigen dat u het bent'-controle te zien als hij een risicovolle sessie uitvoert bij een gevoelige actie.

Belangrijk: Google bepaalt op basis van gebruiksgemak en meerdere beveiligingsfactoren welk type beveiligingsopdracht een gebruiker te zien krijgt. Een specifieke gebruiker krijgt bijvoorbeeld mogelijk niet de inlogcontrole met de werknemers-ID te zien, ook niet als u dit heeft aangezet.

Kan ik als beheerder kiezen welk type inlogcontrole mijn gebruikers te zien krijgen?

Verificatie in 2 stappen is een type inlogcontrole. Als beheerder kunt u de inlogcontrole met verificatie in 2 stappen afdwingen voor uw gebruikers. Ze krijgen dan geen andere op risico's gebaseerde inlogcontrole te zien.

Als u verificatie in 2 stappen niet afdwingt voor gebruikers of als het niet aanstaat voor een gebruiker, bepaalt Google welk type inlogcontrole de gebruiker te zien krijgt. Het type inlogcontrole wordt bepaald op basis van gebruiksgemak en meerdere beveiligingsfactoren. Een specifieke gebruiker krijgt bijvoorbeeld mogelijk niet de inlogcontrole met de werknemers-ID te zien, ook niet als u dit heeft aangezet.

Kunnen gebruikers hun herstelgegevens updaten? We gebruiken verificatie in 2 stappen. Waarom hebben we inlogcontroles nodig?

Verificatie in 2 stappen is een type inlogcontrole. Als verificatie in 2 stappen aanstaat voor uw gebruikers, zien ze geen andere inlogcontrole. Daarom wordt in de beheerdersrapporten een inlogcontrole genoteerd elke keer dat verificatie in 2 stappen wordt gebruikt.

Hoe werken inlogcontroles wanneer SSO is aangezet?

Dit hangt af van hoe u SSO heeft ingesteld in uw organisatie:

  • Als u een SSO-profiel heeft ingesteld voor uw organisatie: Inlogcontroles staan standaard niet aan. U kunt echter verificatie na SSO instellen om extra op risico's gebaseerde verificatiecontroles en verificatie in 2 stappen toe te staan als deze zijn ingesteld.
  • Als u een ander SSO-profiel gebruikt, worden aanvullende inlogcontroles (waaronder verificatie in 2 stappen, indien ingesteld) automatisch toegepast.
Is deze functie beschikbaar in de Education-versies?

Ja, alle versies van Google Workspace bevatten extra beveiligingsvragen en inlogcontroles.

Wanneer vindt Google een inlogpoging verdacht?

We bepalen of een inlogpoging verdacht is wanneer ons risicoanalysesysteem identificeert dat een inlogpoging buiten het normale gedragspatroon van een gebruiker valt. Bijvoorbeeld als een gebruiker inlogt vanaf een ongewone locatie of op een manier die geassocieerd wordt met misbruik.

Telefonische verificatie

Als mijn gebruikers geen zakelijk telefoonnummer hebben, is er dan een andere manier om hun account te verifiëren?

Ja, er zijn verschillende typen inlogcontroles. Welke inlogcontrole gebruikers zien, is afhankelijk van de gegevens die beschikbaar zijn in hun account. Zo moeten ze bijvoorbeeld hun werknemers-ID of herstelmailadres invoeren. Als gebruikers geen toegang hebben tot hun telefoon, kunnen ze inloggen met een back-upcode. Zie Inloggen met back-upcodes voor meer informatie.

Hoe kan een gebruiker het herstelmailadres of -telefoonnummer wijzigen dat is gekoppeld aan het account?

De gebruiker kan de herstelgegevens updaten in de accountinstellingen.

Kan een gebruiker ervoor kiezen andere criteria te bevestigen dan het hersteltelefoonnummer?

Als gebruikers geen hersteltelefoonnummer invoeren, zien ze een andere inlogcontroles. Ze moeten dan bijvoorbeeld hun herstelmailadres of werknemers-ID invoeren.

Een inlogcontrole of 'bevestigen dat u het bent'-controle uitzetten

Kan ik de inlogcontrole of 'bevestigen dat u het bent'-controle uitzetten als de gebruiker zijn identiteit niet kan bevestigen?

Ja, een beheerder kan een inlogcontrole of 'bevestigen dat u het bent'-controle 10 minuten uitzetten. 

In sommige situaties kan een geautoriseerde gebruiker zijn identiteit niet bevestigen. De gebruiker heeft bijvoorbeeld geen bereik op zijn telefoon, waardoor deze de verificatiecode niet kan ontvangen. Of hij is zijn werknemers-ID vergeten of kwijt. Als dit gebeurt, kunt u als hoofdbeheerder de logincontrole of 'bevestigen dat u het bent'-controle gedurende 10 minuten uitzetten zodat de gebruiker kan inloggen of de gevoelige actie kan voltooien. Wees voorzichtig bij het uitzetten van inlogcontroles of 'bevestigen dat u het bent'-controle, omdat het account gedurende de periode van 10 minuten minder goed beveiligd is tegen accountkaping.

Kan ik de inlogcontrole of 'bevestigen dat u het bent'-controle uitzetten voor mijn organisatie?

Nee, u kunt deze functie niet voor uw hele organisatie uitzetten. U kunt dit slechts tijdelijk uitzetten en alleen per gebruiker.

Kan de gebruiker dit zelf uitzetten via de accountinstellingen?

Nee, alleen een beheerder kan de inlogcontroles of beveiligingsopdrachten tijdelijk uitzetten.

Inlogcontroles voor beheerders

Hoe krijgt een beheerder opnieuw toegang tot het account als deze zijn identiteit niet kan bevestigen?

Als beheerder kunt u weer toegang krijgen tot uw account door de aanwijzingen op de inlogpagina te volgen en uw wachtwoord te resetten.

Als u een Google Workspace-beheerder bent en problemen ondervindt om in te loggen op uw beheerdersaccount, gaat u naar Beheerderstoegang tot uw account herstellen voor instructies.

Wat als een hoofdbeheerder zijn identiteit niet kan bevestigen?

Als een hoofdbeheerder zijn identiteit niet kan bevestigen, kan een andere hoofdbeheerder (indien beschikbaar) de inlogcontrole tijdelijk voor hem uitzetten, zoals beschreven in de stappen hierboven.

De hoofdbeheerder kan ook de inlogcontrole overslaan door zijn wachtwoord te resetten.

Opmerking: De optie om het wachtwoord automatisch te resetten, is niet beschikbaar voor alle hoofdbeheerders. Zie Opties voor herstel toevoegen aan uw beheerdersaccount voor meer informatie over het herstellen van beheerdersaccounts.

Was dit nuttig?

Hoe kunnen we dit verbeteren?
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
8301588036440058697
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false