De identiteit van een gebruiker verifiëren met een extra beveiligingslaag

Als we vermoeden dat een onbevoegde persoon probeert toegang te krijgen tot het account van een van uw gebruikers, krijgt de persoon een extra beveiligingsvraag of inlogchallenge te zien. Er kan bijvoorbeeld een verificatiecode worden gestuurd naar de telefoon van de echte gebruiker. Als de persoon de beveiligingsvraag niet kan beantwoorden of de inlogchallenge niet kan uitvoeren, krijgt deze geen toegang tot het account.

Alles openen   |   Alles sluiten

Typen inlogchallenges

Google bepaalt op basis van meerdere beveiligingsfactoren welke inlogchallenge een gebruiker te zien krijgt.

Inlogchallenges voor mobiele apparaten
  • De gebruiker wordt gevraagd op Ja en vervolgens op een nummer op de telefoon te tikken.
  • De gebruiker ontvangt een sms of wordt gebeld op het herstelapparaat met een verificatiecode en instructies om toegang te krijgen tot het account.

Als uw organisatie Google-eindpuntbeheer gebruikt, kunnen gebruikers worden gevraagd hun identiteit te bevestigen met hun beheerde mobiele apparaat (het apparaat dat ze normaal gebruiken om toegang te krijgen tot hun bedrijfsaccount). Zie Apparaten beheren met Google-eindpuntbeheer voor meer informatie.

Gebruikers zien een van deze schermen als ze worden gevraagd hun identiteit te bevestigen met hun mobiele apparaat:
Inlogchallenge met werknemers-ID
U kunt de werknemers-ID als inlogchallenge gebruiken. Werknemers-ID's zijn moeilijker te raden of via phishing te verkrijgen dan veel andere identiteitschallenges. Als u de inlogchallenge met werknemers-ID wilt gebruiken, moet u zorgen dat de ID aan het account van uw gebruikers is gekoppeld. Zie Werknemers-ID toevoegen als inlogchallenge voor meer informatie.
Gebruikers zien dit scherm als Google ze vraagt hun identiteit te bevestigen via hun werknemers-ID:
Inlogchallenge via het herstelmailadres
De verdachte gebruiker moet een secundair e-mailadres (herstelmailadres) invoeren als inlogchallenge. Gebruikers zien dit scherm als Google ze vraagt hun identiteit te bevestigen via hun herstelmailadres:

Voordat u inlogchallenges kunt gebruiken

Voordat we de identiteit van een gebruiker kunnen verifiëren via een herstelmailadres of -telefoonnummer, moet de gebruiker deze gegevens opgeven. Wanneer een gebruiker inlogt, ziet hij een bericht waarin hem wordt gevraagd een herstelmailaccount of -telefoonnummer op te geven. Het bericht wordt regelmatig weergegeven totdat de gebruiker zijn gegevens opgeeft. Als u de inlogchallenge met werknemers-ID gebruikt, moet u zorgen dat de ID aan het account van uw gebruikers is gekoppeld. Zie Werknemers-ID toevoegen als inlogchallenge voor meer informatie.

Inlogchallenges met SSO aanzetten

Veel klanten gebruiken identiteitsproviders (IdP's) van derden om gebruikers te verifiëren die Single sign-on (SSO) via SAML gebruiken. De IdP van derden verifieert de gebruikers. Gebruikers zien dan geen aanvullende op risico's gebaseerde inlogchallenges. Verificatie in 2 stappen van Google wordt genegeerd. Dit is het standaardgedrag.

U kunt beleid instellen om aanvullende op risico's gebaseerde challenges en verificatie in 2 stappen (indien geconfigureerd) toe te staan. Als Google een geldige SAML-verklaring (verificatiegegevens over de gebruiker) ontvangt van de IdP wanneer de gebruiker inlogt, kan Google de gebruiker aanvullende challenges laten zien.

Gebruiksvoorbeelden voor aanvullende inlogchallenges met SSO
  • U wilt beveiligingssleutels gebruiken om de toegang tot gevoelige, door Google gehoste bronnen zo optimaal mogelijk te beschermen en beveiligingssleutels worden niet ondersteund door uw huidige IdP.
  • U wilt de kosten van een identiteitsprovider besparen, omdat gebruikers in de meeste gevallen bronnen van Google gebruiken.
  • U wilt geen Google-verificatie (Google als identiteitsprovider) gebruiken, maar u wilt alle op risico's gebaseerde inlogchallenges van Google gebruiken.
Wat er gebeurt als u aanvullende inlogchallenges toepast
Informeer uw gebruikers over het nieuwe beleid en vanaf wanneer het wordt toegepast, om de implementatie soepel te laten verlopen. Als u aanvullende inlogchallenges toevoegt bij het inloggen, gebeurt het volgende:
  • Als er bestaand beleid is voor verificatie in 2 stappen, zoals beleid waardoor verificatie in 2 stappen wordt afgedwongen, wordt dit beleid meteen van kracht.
  • Gebruikers voor wie het nieuwe beleid geldt en die zijn ingeschreven voor verificatie in 2 stappen, zien een inlogchallenge met verificatie in 2 stappen bij het inloggen.
  • Op basis van de risicoanalyse van inloggen bij Google kunnen gebruikers op risico's gebaseerde inlogchallenges zien bij het inloggen.
Verificatie na SSO instellen
  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga op de homepage van de Beheerdersconsole naar Beveiligingand thenInlogchallenges.
  3. Selecteer links de organisatie-eenheid waarvoor u het beleid wilt instellen.
    Selecteer de organisatie op het hoogste niveau als u wilt dat het beleid geldt voor alle gebruikers. Een organisatie-eenheid neemt in eerste instantie de instellingen over van de bovenliggende organisatie-eenheid.
  4. Klik op Verificatie na SSO.
  5. Selecteer Voor inlogpogingen met SSO kan aanvullende verificatie (indien nodig) of verificatie in 2 stappen (indien geconfigureerd) worden vereist.
    Google maakt een invoer in het controlelogboek voor beheerders waarin staat dat het beleid is gewijzigd. Met het nieuwe beleid kan Google op risico's gebaseerde inlogchallenges weergeven, evenals verificatie in 2 stappen als dit is ingesteld. Aanvullende verificatie wordt standaard overgeslagen.
  6. Klik rechtsonder op Opslaan.

Veelgestelde vragen

Extra beveiligingsvragen en inlogchallenges  |  Telefonische verificatie  |  Een inlogchallenge uitzetten  |  Beheerders

Extra beveiligingsvragen en inlogchallenges

Wanneer ziet een gebruiker een beveiligingsvraag of inlogchallenge?

Een gebruiker ziet een inlogchallenge als een verdachte inlogpoging wordt gedetecteerd, bijvoorbeeld als de gebruiker niet de gebruikelijke inlogpatronen volgt.

Belangrijk: Google bepaalt op basis van gebruiksgemak en meerdere beveiligingsfactoren welk type inlogchallenge een gebruiker te zien krijgt. Een specifieke gebruiker krijgt bijvoorbeeld mogelijk niet de inlogchallenge met de werknemers-ID te zien, ook niet als u dit heeft aangezet.

Kan ik als beheerder kiezen welk type inlogchallenge mijn gebruikers te zien krijgen?

Verificatie in 2 stappen is een type inlogchallenge. Als beheerder kunt u de inlogchallenge met verificatie in 2 stappen afdwingen voor uw gebruikers. Ze krijgen dan geen andere op risico's gebaseerde inlogchallenge te zien.

Als u verificatie in 2 stappen niet afdwingt voor gebruikers of als het niet aanstaat voor een gebruiker, bepaalt Google welk type inlogchallenge de gebruiker te zien krijgt. Het type inlogchallenge wordt bepaald op basis van gebruiksgemak en meerdere beveiligingsfactoren. Een specifieke gebruiker krijgt bijvoorbeeld mogelijk niet de inlogchallenge met de werknemers-ID te zien, ook niet als u dit heeft aangezet.

Kunnen gebruikers hun herstelgegevens updaten? We gebruiken verificatie in 2 stappen. Waarom hebben we inlogchallenges nodig?

Verificatie in 2 stappen is een type inlogchallenge. Als verificatie in 2 stappen aanstaat voor uw gebruikers, zien ze geen andere inlogchallenge. Daarom wordt in de beheerdersrapporten een inlogchallenge genoteerd elke keer dat verificatie in 2 stappen wordt gebruikt.

Hoe werken inlogchallenges als SSO aanstaat?

Standaard staan inlogchallenges uit voor organisaties met Single sign-on (SSO). Met de instelling 'Verificatie na SSO' in de Beheerdersconsole kunt u beleid instellen om aanvullende op risico's gebaseerde verificatiechallenges en verificatie in 2 stappen toe te staan, als dit is geconfigureerd.

Is deze functie beschikbaar in de Education-versies?

Ja, alle versies van Google Workspace bevatten extra beveiligingsvragen en inlogchallenges.

Wanneer vindt Google een inlogpoging verdacht?

We bepalen of een inlogpoging verdacht is wanneer ons risicoanalysesysteem identificeert dat een inlogpoging buiten het normale gedragspatroon van een gebruiker valt. Bijvoorbeeld als een gebruiker inlogt vanaf een ongewone locatie of op een manier die geassocieerd wordt met misbruik.

Telefonische verificatie

Als mijn gebruikers geen zakelijk telefoonnummer hebben, is er dan een andere manier om hun account te verifiëren?

Ja, er zijn verschillende typen inlogchallenges. Welke inlogchallenge gebruikers zien, is afhankelijk van de gegevens die beschikbaar zijn in hun account. Zo moeten ze bijvoorbeeld hun werknemers-ID of herstelmailadres invoeren. Als gebruikers geen toegang hebben tot hun telefoon, kunnen ze inloggen met een back-upcode. Zie Inloggen met back-upcodes voor meer informatie.

Hoe kan een gebruiker het herstelmailadres of -telefoonnummer wijzigen dat is gekoppeld aan het account?

De gebruiker kan de herstelgegevens updaten in de accountinstellingen.

Kan een gebruiker ervoor kiezen andere criteria te bevestigen dan het hersteltelefoonnummer?

Als gebruikers geen hersteltelefoonnummer invoeren, zien ze een andere inlogchallenge. Ze moeten dan bijvoorbeeld hun herstelmailadres of werknemers-ID invoeren.

Een inlogchallenge uitzetten

Kan ik de inlogchallenge uitzetten als gebruikers hun identiteit niet kunnen bevestigen?

In sommige situaties kan een geautoriseerde gebruiker zijn identiteit niet bevestigen. De gebruiker heeft bijvoorbeeld geen bereik op zijn telefoon, waardoor deze de verificatiecode niet kan ontvangen. Of hij is zijn werknemers-ID vergeten of kwijt.

Als dit gebeurt, kunt u als beheerder de inlogchallenge tijdelijk uitzetten, zodat de gebruiker kan inloggen:

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga op de homepage van de Beheerdersconsole naar Gebruikers.
  3. Klik op de rij voor het gebruikersaccount om de pagina met gebruikersgegevens weer te geven.
  4. Klik op Beveiliging.
  5. Klik op Inlogchallenge.
  6. Klik op 10 minuten uitzetten.

Het kan enkele minuten duren voordat deze wijziging van kracht wordt voor het gebruikersaccount. Daarna staat de inlogchallenge 10 minuten uit, zodat de gebruiker kan inloggen. 

Tip: U kunt ook het wachtwoord van gebruikers wijzigen om ze toegang te geven tot een sessie die is afgesloten omdat ze hun identiteit niet konden bevestigen.

Kan ik de inlogchallenges uitzetten voor mijn organisatie?

Nee, u kunt deze functie niet voor uw hele organisatie uitzetten. U kunt dit slechts tijdelijk uitzetten en alleen per gebruiker.

Kan de gebruiker dit zelf uitzetten via de accountinstellingen?

Nee, alleen een beheerder kan de inlogchallenges tijdelijk uitzetten.

Inlogchallenges voor beheerders

Hoe krijgen beheerders opnieuw toegang tot hun account als ze hun identiteit niet kunnen bevestigen?

Als beheerder kunt u de inlogchallenge overslaan en de toegang tot uw account herstellen door uw wachtwoord te resetten. Klik onderaan het scherm met de Inlogchallenge op de link Klik hier om uw wachtwoord te resetten.

Wat als een hoofdbeheerder zijn identiteit niet kan bevestigen?

Als een hoofdbeheerder zijn identiteit niet kan bevestigen, kan een andere hoofdbeheerder (indien beschikbaar) de inlogchallenge tijdelijk voor hem uitzetten, zoals beschreven in de stappen hierboven.

De hoofdbeheerder kan ook de inlogchallenge overslaan door zijn wachtwoord te resetten. Klik onderaan het scherm met de Inlogchallenge op de link Klik hier om uw wachtwoord te resetten.

Opmerking: De optie om het wachtwoord automatisch te resetten, is niet beschikbaar voor alle hoofdbeheerders. Zie Opties voor herstel toevoegen aan uw beheerdersaccount voor meer informatie over het herstellen van beheerdersaccounts.

Was dit nuttig?
Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Log in voor extra supportopties om uw probleem snel op te lossen

Zoeken
Zoekopdracht verwijderen
Zoeken sluiten
Google-apps
Hoofdmenu
Zoeken in het Helpcentrum
true
73010
false