Apparaatbeheer: checklist voor beveiliging

Deze praktische beveiligingstips zijn bedoeld voor beheerders van Google Workspace en Cloud Identity.

Als beheerder kunt u werkgegevens beschermen op de persoonlijke apparaten (BYOD) van uw gebruikers en op apparaten die eigendom zijn van uw organisatie, door functies en instellingen van Google-eindpuntbeheer te gebruiken. Andere beveiligingsfuncties bieden meer accountbeveiliging, gedetailleerd toegangsbeheer en gegevensbescherming. Bekijk de volgende checklist om te zorgen dat u aan de beveiligingsdoelstellingen voor apparaten van uw organisatie voldoet.

Alle mobiele apparaten

Wachtwoord vereisen

Bescherm gegevens op beheerde mobiele apparaten door te vereisen dat gebruikers de schermvergrendeling of een wachtwoord instellen op hun apparaat. Voor apparaten met geavanceerd beheer kunt u ook het type, de sterkte en het minimum aantal tekens voor wachtwoorden instellen.

Wachtwoordvereisten instellen voor beheerde mobiele apparaten

Bedrijfsgegevens van apparaten die zijn kwijtgeraakt wissen of vergrendelen

Als een apparaat is verloren of als een gebruiker uw organisatie verlaat, lopen de werkgegevens op het apparaat risico. U kunt het werkaccount van een gebruiker van het apparaat wissen, inclusief alle werkgegevens. Voor apparaten met geavanceerd beheer kunt u het hele apparaat wissen. Deze functie is niet beschikbaar in de gratis versie van Cloud Identity.

Android-apps beheren die worden gebruikt voor het werk

Voorkom ongeautoriseerde toegang tot Android-apps die op het werk worden gebruikt door ze toe te voegen aan de lijst Web- en mobiele apps om de apps beheerd te maken. U kunt beheerde beveiligingsapps afgedwongen installeren en beheerde apps verwijderen van verloren of gestolen apparaten. Beheerde apps worden automatisch verwijderd van een apparaat als een gebruiker het werkaccount verwijdert.

Mobiele apps beheren voor uw organisatie

Mobiele apparaten met geavanceerd beheer

	Apparaatversleuteling vereisen Met versleuteling worden gegevens zo opgeslagen dat deze alleen kunnen worden gelezen wanneer een apparaat is ontgrendeld. Als het apparaat wordt ontgrendeld, worden de gegevens ontsleuteld. Versleuteling biedt bescherming als een apparaat is verloren of gestolen. Apparaatversleuteling vereisen
	Beperkingen toepassen op apparaten U kunt bepalen hoe gebruikers gegevens delen en er een back-up van maken op Android- en Apple iOS-apparaten. In Android kunt u bijvoorbeeld instellen dat gegevens niet mogen worden overgezet via USB. Op iOS-apparaten kunt u instellen dat er geen back-ups mogen worden gemaakt in de persoonlijke cloudopslag. U kunt ook de toegang tot sommige apparaat- en netwerkinstellingen beperken. U kunt bijvoorbeeld de camera van het apparaat uitschakelen en instellen dat Android-gebruikers hun wifi-instellingen niet kunnen wijzigen. Instellingen toepassen op mobiele Android-apparaten Instellingen toepassen op mobiele iOS-apparaten Geavanceerde instellingen toepassen
	Gehackte apparaten blokkeren Zorg dat het werkaccount van een gebruiker niet meer kan worden gesynchroniseerd met Android- en Apple iOS-apparaten die wellicht zijn gehackt. Een apparaat is gehackt als het is jailbroken of geroot, processen waarmee bepaalde beperkingen van het apparaat worden verwijderd. Gehackte apparaten kunnen op een mogelijk beveiligingsrisico duiden. Gehackte apparaten blokkeren
	Android-apparaten die niet aan uw beleid voldoen automatisch blokkeren Als een apparaat niet meer voldoet aan het beleid van uw organisatie, kunt u het automatisch laten blokkeren voor werkgegevens en een melding laten verzenden naar de gebruiker. U heeft bijvoorbeeld afgedwongen dat de minimale wachtwoordlengte 6 tekens moet zijn. Een gebruiker wijzigt het apparaatwachtwoord, waarna het nog maar 5 tekens bevat. Het apparaat voldoet dan niet meer aan uw wachtwoordbeleid. Apparaatbeheerregels instellen
	Automatisch wissen van account inschakelen voor Android-apparaten Automatisch gegevens uit werkaccounts en beheerde apps verwijderen van een Android-apparaat als het een bepaald aantal dagen inactief is. Zo loopt u minder risico op datalekken. Instellingen toepassen op mobiele Android-apparaten
	iOS-apps beheren die worden gebruikt voor het werk Voorkom ongeautoriseerde toegang tot iOS-apps die worden gebruikt voor het werk door ze toe te voegen aan de lijst Web- en mobiele apps en de apps beheerd te maken. U kunt beheerde apps verwijderen van verloren of gestolen apparaten. Beheerde apps worden automatisch verwijderd van een apparaat als een gebruiker het werkaccount verwijdert. Mobiele apps beheren voor uw organisatie
	Potentieel gevaarlijke Android-apps blokkeren Standaard blokkeert Google niet-Play Store-apps van onbekende bronnen op mobiele Android-apparaten. Apps worden ook automatisch gescand, en geblokkeerd als ze gevaarlijk zijn, door Google Play Protect. Door deze functies loopt u minder risico op datalekken, inbreuk op accounts, gegevensonderschepping, gegevensverwijdering en malware. Zorg dat Installatie van apps van onbekende bronnen blokkeren is ingeschakeld en Gebruikers toestaan Google Play Protect uit te schakelen is uitgeschakeld voor al uw gebruikers. Instellingen toepassen op mobiele Android-apparaten

Computers met toegang tot werkgegevens

	Eindpuntverificatie inschakelen Als laptops en desktops worden beheerd met eindpuntverificatie, kunt u contextbewuste toegang gebruiken om de gegevens van uw organisatie te beschermen en meer informatie te krijgen over de apparaten die toegang hebben tot die gegevens. Eindpuntverificatie inschakelen
	Google Drive voor desktop beperken tot apparaten die eigendom zijn van het bedrijf Met Drive voor desktop kunnen gebruikers op hun Mac- of Windows-computer buiten een browser aan Drive-bestanden werken. Als u de blootstelling van de gegevens van uw organisatie wilt beperken, kunt u instellen dat Drive voor desktop alleen mag worden uitgevoerd op apparaten die eigendom zijn van het bedrijf die in uw inventaris staan. Drive voor desktop beperken tot apparaten die eigendom zijn van het bedrijf
	Google-referentieprovider voor Windows (GCPW) instellen Sta gebruikers toe in te loggen op Windows 10-computers met hun Google-account voor het werk. GCPW bevat verificatie in 2 stappen en inlogchallenges. Gebruikers hebben ook toegang tot Google Workspace-services en Single sign-on-apps (SSO) zonder dat ze hun Google-gebruikersnaam en -wachtwoord opnieuw hoeven in te voeren. Overzicht: Google-referentieprovider voor Windows
	Gebruikersrechten beperken op Windows-computers die eigendom zijn van het bedrijf Met Windows-apparaatbeheer kunt u bepalen wat gebruikers kunnen doen op Windows 10-computers die eigendom zijn van het bedrijf. U kunt het niveau van beheerdersrechten voor gebruikers in Windows instellen U kunt ook de instellingen voor beveiliging, netwerken, hardware en software van Windows toepassen. Windows-apparaatbeheer inschakelen Windows-instellingen toepassen

Meer beveiligingsopties voor alle apparaten

	Ongeautoriseerde toegang tot het account van een gebruiker voorkomen Stel in dat gebruikers aanvullend bewijs van hun identiteit moeten geven als ze inloggen op hun Google-account met verificatie in 2 stappen. Dit bewijs kan een fysieke beveiligingssleutel zijn, een beveiligingssleutel die is ingebouwd in het apparaat van de gebruiker, een beveiligingscode die de gebruiker krijgt via sms of oproep, en meer. Als Google vermoedt dat een onbevoegde persoon probeert toegang te krijgen tot het account van een gebruiker, wordt een extra beveiligingsvraag of challenge weergegeven. Als u Google-eindpuntbeheer gebruikt, kunnen gebruikers worden gevraagd hun identiteit te bevestigen met hun beheerde mobiele apparaat (het apparaat dat ze normaal gebruiken om toegang te krijgen tot hun bedrijfsaccount). Als u extra challenges instelt, is er veel minder risico dat ongeautoriseerde personen gebruikersaccounts hacken. Verificatie in 2 stappen instellen De identiteit van een gebruiker verifiëren met een inlogchallenge
	Contextbewuste toegang gebruiken om gebruikers alleen toegang te geven tot Google-apps als ze voldoen aan bepaalde voorwaarden U kunt verschillende toegangsniveaus instellen op basis van de identiteit van een gebruiker en de context van het verzoek (land/regio, apparaatbeveiligingsstatus, IP-adres). U kunt bijvoorbeeld de toegang van mobiele apparaten tot een Google-app (op het web en mobiel) blokkeren als het apparaat zich niet in een specifiek land of specifieke regio bevindt of als het apparaat niet voldoet aan bepaalde versleutelings- en wachtwoordvereisten. Een ander voorbeeld is dat u opdrachtnemers alleen toegang geeft tot Google-web-apps op door het bedrijf beheerde Chromebooks. Overzicht van contextbewuste toegang
	Bepalen welke apps toegang hebben tot Google Workspace-gegevens Stel in welke mobiele apps worden beheerd door uw organisatie. U kunt ook bepalen tot welke services een app toegang heeft met app-toegangscontrole. Zo voorkomt u dat schadelijke apps gebruikers misleiden om ze toegang te geven tot hun werkgegevens. App-toegangscontrole is niet afhankelijk van specifieke apparaten en blokkeert de toegang door ongeautoriseerde apps op BYOD-apparaten en apparaten die eigendom zijn van het bedrijf. Beheerde apps instellen voor Android-apparaten iOS-apps aanbevelen en beheren Bepalen welke apps van derden en interne apps toegang hebben tot Google Workspace-gegevens
	Gevoelige gegevens identificeren in Google Drive, Documenten, Spreadsheets, Presentaties en Gmail Bescherm gevoelige gegevens, zoals burgerservicenummers, door beleid voor 'Gegevensverlies voorkomen' (Data Loss Prevention, DLP) in te stellen. Dit beleid kan veel veelgebruikte gegevenstypen detecteren. U kunt ook aangepaste contentdetectoren maken om te voldoen aan vereisten specifiek voor uw bedrijf. DLP beschermt gegevens op bron- en app-niveau en geldt voor alle apparaten en toegangsmethoden. Gevoelige gegevens beschermen met DLP

_{Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.}

Was dit nuttig?

Hoe kunnen we dit verbeteren?