Voor beheerders die Chrome-beleid beheren via de Google-beheerdersconsole.
Als Chrome Enterprise-beheerder kun je verificatie in 2 stappen of verificatie in meerdere stappen (MFA) binnen je organisatie implementeren en afdwingen dat gebruikers regelmatig inloggen op hun Chrome OS-apparaten.
Dit betekent dat je gebruikers regelmatig in 2 of meer stappen moeten inloggen op hun account en biedt extra beveiliging voor je organisatie.
Wat zijn verificatiestappen?
Een verificatiestap is een stuk informatie dat in een proces wordt gebruikt om de identiteit van een gebruiker te verifiëren voor beveiligingsdoeleinden.
Verificatiestappen kunnen worden ingedeeld in 3 groepen:
- iets wat je weet, zoals een wachtwoord of pincode
- iets wat je hebt, zoals een beveiligingssleutel of een smartphone
- iets wat je bent, biometrische gegevens, zoals vingerafdrukken en gezichtsherkenning
Als gebruikers inloggen met verificatie in 2 stappen of MFA, moeten ze alle vereiste verificatiemethoden bieden, anders krijgen ze geen toegang.
Hieronder staan voorbeelden van verificatie:
- verificatie in 2 stappen als een gebruiker een account toevoegt aan een ChromeOS-apparaat
- verificatie in 2 stappen als een gebruiker inlogt op het gebruikersaccount
- verificatie in 2 stappen als een gebruiker een ChromeOS-apparaat ontgrendelt
- verificatie zonder wachtwoord als een gebruiker een vingerafdruk of pincode gebruikt om het vergrendelscherm op een ChromeOS-apparaat ontgrendelt
Zie Uw bedrijf veilig houden met verificatie in twee stappen voor meer informatie over waarom en wanneer u verificatie in 2 stappen moet gebruiken in uw organisatie.
Voordat u begint
- Als je een bestaande Chrome-implementatie hebt, moet je je gebruikers van tevoren op de hoogte stellen. Laat ze weten dat ze op een bepaalde datum moeten inloggen op hun beheerde Google-account.
Stap 1: Het beleid selecteren
Voor gebruikers die inloggen op hun ChromeOS-apparaat zonder SAML Single sign-on (SSO), gebruik je het volgende beleid:
Als gebruikers inloggen op hun ChromeOS-apparaat met SAML Single sign-on (SSO), gebruik je het volgende beleid:
Stap 2: Het beleid beoordelen
Je kunt een of meer van de volgende beleidsregels instellen:
| Beleid | Beschrijving en instellingen |
|---|---|
| GaiaOfflineSigninTimeLimitDays |
Hiermee wordt de frequentie van afgedwongen online inloggen ingesteld op het inlogscherm voor gebruikers die inloggen op hun Chrome OS-apparaat zonder SAML Single sign-on (SSO). Vul een waarde in dagen in:
Als je dit veld leeg laat, hoeven gebruikers niet regelmatig online in te loggen. |
| GaiaLockScreenOfflineSigninTimeLimitDays |
Hiermee wordt de frequentie van afgedwongen online inloggen ingesteld op het vergrendelscherm voor gebruikers die inloggen op hun Chrome OS-apparaat zonder SAML Single sign-on (SSO). Vul een waarde in dagen in:
Als je dit veld leeg laat, hoeven gebruikers niet regelmatig online in te loggen om het vergrendelscherm te ontgrendelen. |
| SAMLOfflineSigninTimeLimit |
Hiermee wordt de frequentie van afgedwongen online inlogstromen ingesteld voor accounts met SAML-gebaseerde Single sign-on op het inlogscherm. Kies een optie voor de inlogfrequentie. Als je Nooit selecteert, hoeven gebruikers nooit online in te loggen. |
| SamlLockScreenOfflineSigninTimeLimitDays |
Hiermee wordt de frequentie van afgedwongen online inloggen ingesteld op het vergrendelscherm voor gebruikers die SAML gebruiken. Vul een waarde in dagen in:
Als je dit veld leeg laat, hoeven gebruikers niet regelmatig online in te loggen om het vergrendelscherm te ontgrendelen. |
Stap 3: Het beleid instellen
Klik hieronder voor de stappen, afhankelijk van hoe je dit beleid wilt beheren.
Kan zich aanmelden voor ingelogde gebruikers op elk apparaat. Zie Begrijpen wanneer de instellingen gelden voor meer informatie.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu
Apparaten
Chrome
Als je je hebt aangemeld voor Cloudbeheer voor de Chrome-browser, ga je naar Menu
Chrome-browser
-
Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling voor iedereen geldt. Selecteer anders een onderliggende organisatie-eenheid.
-
Ga naar Beveiliging.
-
Doe het volgende voor gebruikers zonder SAML SSO:
-
Klik op Online inlogfrequentie voor Google, voer een waarde in dagen in en klik op Opslaan:
-
0: Gebruikers moeten altijd online inloggen.
-
1-365: Na de ingestelde frequentie moeten gebruikers online inloggen de volgende keer dat ze een sessie starten.
-
-
Klik op Online ontgrendelfrequentie voor Google, vul een waarde in dagen in en klik op Opslaan:
-
0: Gebruikers moeten altijd online inloggen op het vergrendelscherm.
-
1-365: Na de ingestelde frequentie moeten gebruikers online inloggen de volgende keer dat ze het vergrendelscherm ontgrendelen.
-
-
-
Doe het volgende voor gebruikers met SAML SSO:
-
Klik op Inlogfrequentie voor SAML Single sign-on, stel een frequentieperiode in voor afgedwongen online inloggen en klik op Opslaan.
-
Klik op Ontgrendelingsfrequentie voor SAML Single sign-on, voer een waarde in dagen in en klik op Opslaan:
-
0: Gebruikers moeten altijd online inloggen op het vergrendelscherm.
-
1-365: Na de ingestelde frequentie moeten gebruikers online inloggen de volgende keer dat ze het vergrendelscherm ontgrendelen.
-
-
Stap 4: Controleren of het beleid is toegepast
Nadat je Chrome-beleid heeft toegepast, moeten gebruikers de Chrome-browser opnieuw starten voordat de instelling van kracht wordt. Je kunt op de apparaten van gebruikers controleren of het beleid juist wordt toegepast.
- Ga op een beheerd Chrome-apparaat naar chrome://policy.
- Klik op Beleid opnieuw laden.
- Vink het vakje aan voor Beleid zonder ingestelde waarde bekijken.
- Indien van toepassing, zorg dat voor GaiaOfflineSigninTimeLimitDays, GaiaLockScreenOfflineSigninTimeLimitDays, SAMLOfflineSigninTimeLimit en SamlLockScreenOfflineSigninTimeLimitDays de Status is ingesteld op OK.
- Klik voor elk beleid op Waarde tonen en controleer of de velden hetzelfde zijn als je hebt ingesteld voor het beleid.