Beveiligingsopdrachten zijn aanvullende beveiligingsmaatregelen om de identiteit van een gebruiker te verifiëren. Er zijn twee soorten beveiligingsopdrachten:
- Inlogcontrole: Als we vermoeden dat een onbevoegde gebruiker probeert in te loggen op een Google Workspace-account, laten we een inlogcontrole zien. Als de gebruiker de gevraagde gegevens niet kan invoeren, wordt de gebruiker niet ingelogd op het account.
- 'Bevestigen dat u het bent'-controle: Als een gebruiker probeert acties uit te voeren die als gevoelig worden beschouwd, krijgt deze gebruiker een 'bevestigen dat u het bent'-controle te zien. Als de gebruiker de gevraagde informatie niet kan invoeren, staan we de gevoelige actie niet toe (de persoon kan zijn account gewoon blijven gebruiken).
Voordat u beveiligingsopdrachten kunt gebruiken
Zorg ervoor dat uw Google Workspace-accounts de informatie bevatten die we nodig hebben:
- Herinner werknemers eraan een hersteltelefoonnummer en herstelmailadres toe te voegen aan hun account. We vragen ze periodiek om deze gegevens toe te voegen als ze inloggen op hun account.
- Voeg werknemers-ID's toe aan uw gebruikersaccounts. Zie Werknemers-ID toevoegen als inlogcontrole.
Typen inlogcontroles
De gebruiker kiest hoe de identiteit wordt geverifieerd
Google gebruikt een app die op de telefoon van de gebruiker is geïnstalleerd om de identiteit van de gebruiker te bevestigen
Google stuurt een sms met een verificatiecode
Google belt de telefoon en verstrekt een verificatiecode
Controles om te bevestigen dat u het bent voor gevoelige acties
Als een Google Workspace-gebruiker een gevoelige actie probeert uit te voeren, moet die gebruiker soms een controle uitvoeren om zijn identiteit te bevestigen. Als de gebruiker de gevraagde informatie niet kan invullen, staat Google de gevoelige actie niet toe.
De meeste gebruikers die een controle moeten uitvoeren om te bevestigen wie ze zijn om een gevoelige actie te kunnen uitvoeren, zien een venster met de titel Gevoelige actie geblokkeerd. De gebruiker krijgt de opdracht om het opnieuw te proberen vanaf een apparaat dat normaal wordt gebruikt (zoals een telefoon of laptop) of op de locatie waar meestal wordt ingelogd.
Omdat sommige gebruikers apparaten of beveiligingssleutels hebben die onlangs aan hun account zijn toegevoegd, kunnen ze hun identiteit niet meteen laten verifiëren bij een beveiligingscontrole. Deze gebruikers zien een venster met de titel Kan deze actie nu niet voltooien. Deze gebruikers kunnen hun identiteit laten verifiëren nadat een apparaat, telefoonnummer of beveiligingssleutel minstens 7 dagen aan hun account is gekoppeld.
Hier volgen enkele voorbeelden van gevoelige acties:
- Verificatie in 2 stappen uitzetten
- Een app toegang geven tot Google-gegevens
- Het herstelmailadres of -telefoonnummer voor je account wijzigen
- Accountgegevens downloaden
- De naam van het account wijzigen
Inlogcontroles met SSO aanzetten
Als uw organisatie externe identiteitsproviders (IdP's) gebruikt om Single sign-on-gebruikers (SSO) te verifiëren via SAML, kunt u deze SSO-gebruikers aanvullende risicogebaseerde inlogcontroles geven en verificatie in 2 stappen toepassen (indien ingesteld), nadat de IdP een gebruiker verifieert tijdens het inloggen.
De standaardinstelling voor verificatie na SSO hangt af van het SSO-gebruikerstype:
- Voor gebruikers die inloggen met het SSO-profiel voor uw organisatie is de standaardinstelling dat aanvullende inlogcontroles en verificatie in 2 stappen worden overgeslagen.
- Voor gebruikers die inloggen met andere SSO-profielen worden standaard aanvullende inlogcontroles en verificatie in 2 stappen toegepast.
Volg de stappen in Verificatie na SSO instellen hieronder om de standaardinstellingen voor beide gebruikerstypen te wijzigen.
- U wilt beveiligingssleutels gebruiken om de toegang tot gevoelige, door Google gehoste bronnen zo optimaal mogelijk te beschermen en beveiligingssleutels worden niet ondersteund door uw huidige IdP.
- U wilt de kosten van een identiteitsprovider besparen, omdat gebruikers in de meeste gevallen bronnen van Google gebruiken.
- U wilt geen Google-verificatie (Google als identiteitsprovider) gebruiken, maar u wilt alle op risico's gebaseerde inlogcontroles van Google gebruiken.
- U wilt dat Google gevoelige acties in het Google-ecosysteem beschermt.
- Als er bestaand beleid is voor verificatie in 2 stappen, zoals beleid waardoor verificatie in 2 stappen wordt afgedwongen, wordt dit beleid meteen van kracht.
- Gebruikers voor wie het nieuwe beleid geldt en die zijn ingeschreven voor verificatie in 2 stappen, zien een inlogcontrole met verificatie in 2 stappen bij het inloggen.
- Op basis van de risicoanalyse van inloggen bij Google kunnen gebruikers op risico's gebaseerde inlogcontroles zien bij het inloggen.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu
Beveiliging
Verificatie
- Selecteer links de organisatie-eenheid waarvoor u het beleid wilt instellen.
Selecteer de organisatie op het hoogste niveau als u wilt dat de instellingen gelden voor alle gebruikers. Een organisatie-eenheid neemt in eerste instantie de instellingen over van de bovenliggende organisatie-eenheid.
- Klik op Verificatie na SSO.
- Kies instellingen volgens de manier waarop u SSO-profielen gebruikt in uw organisatie. U kunt een instelling toepassen op gebruikers die het SSO-profiel van uw organisatie gebruiken en voor gebruikers die inloggen met andere SSO-profielen.
- Klik rechtsonder op Opslaan.
Google maakt een invoer in het controlelogboek voor beheerders waarin staat dat een beleid is gewijzigd.
Opmerking: In zeldzame gevallen zijn misschien niet voor alle gebeurtenissen logboekgebeurtenisgegevens aanwezig. We werken aan een oplossing voor dit probleem.
Veelgestelde vragen
Extra beveiligingsvragen en inlogcontroles | Telefonische verificatie | Een inlogcontrole of beveiligingsopdracht uitzetten | Beheerders
Extra beveiligingsvragen en inlogcontroles
Wanneer ziet een gebruiker een beveiligingsopdracht?Een gebruiker krijgt een inlogcontrole wanneer een verdachte inlogpoging wordt gedetecteerd, bijvoorbeeld als de gebruiker niet de inlogpatronen volgt die hij normaal volgt.Een gebruiker krijgt een 'bevestigen dat u het bent'-controle te zien als hij een risicovolle sessie uitvoert bij een gevoelige actie.
Belangrijk: Google bepaalt op basis van gebruiksgemak en meerdere beveiligingsfactoren welk type beveiligingsopdracht een gebruiker te zien krijgt. Een specifieke gebruiker krijgt bijvoorbeeld mogelijk niet de inlogcontrole met de werknemers-ID te zien, ook niet als u dit heeft aangezet.
Verificatie in 2 stappen is een type inlogcontrole. Als beheerder kunt u de inlogcontrole met verificatie in 2 stappen afdwingen voor uw gebruikers. Ze krijgen dan geen andere op risico's gebaseerde inlogcontrole te zien.
Als u verificatie in 2 stappen niet afdwingt voor gebruikers of als het niet aanstaat voor een gebruiker, bepaalt Google welk type inlogcontrole de gebruiker te zien krijgt. Het type inlogcontrole wordt bepaald op basis van gebruiksgemak en meerdere beveiligingsfactoren. Een specifieke gebruiker krijgt bijvoorbeeld mogelijk niet de inlogcontrole met de werknemers-ID te zien, ook niet als u dit heeft aangezet.
Ja. Zie Een hersteltelefoonnummer of herstelmailadres instellen voor meer informatie.
Verificatie in 2 stappen is een type inlogcontrole. Als verificatie in 2 stappen aanstaat voor uw gebruikers, zien ze geen andere inlogcontrole. Daarom wordt in de beheerdersrapporten een inlogcontrole genoteerd elke keer dat verificatie in 2 stappen wordt gebruikt.
Dit hangt af van hoe u SSO heeft ingesteld in uw organisatie:
- Als u een SSO-profiel heeft ingesteld voor uw organisatie: Inlogcontroles staan standaard niet aan. U kunt echter verificatie na SSO instellen om extra op risico's gebaseerde verificatiecontroles en verificatie in 2 stappen toe te staan als deze zijn ingesteld.
- Als u een ander SSO-profiel gebruikt, worden aanvullende inlogcontroles (waaronder verificatie in 2 stappen, indien ingesteld) automatisch toegepast.
Ja, alle versies van Google Workspace bevatten extra beveiligingsvragen en inlogcontroles.
We bepalen of een inlogpoging verdacht is wanneer ons risicoanalysesysteem identificeert dat een inlogpoging buiten het normale gedragspatroon van een gebruiker valt. Bijvoorbeeld als een gebruiker inlogt vanaf een ongewone locatie of op een manier die geassocieerd wordt met misbruik.
Telefonische verificatie
Als mijn gebruikers geen zakelijk telefoonnummer hebben, is er dan een andere manier om hun account te verifiëren?Ja, er zijn verschillende typen inlogcontroles. Welke inlogcontrole gebruikers zien, is afhankelijk van de gegevens die beschikbaar zijn in hun account. Zo moeten ze bijvoorbeeld hun werknemers-ID of herstelmailadres invoeren. Als gebruikers geen toegang hebben tot hun telefoon, kunnen ze inloggen met een back-upcode. Zie Inloggen met back-upcodes voor meer informatie.
De gebruiker kan de herstelgegevens updaten in de accountinstellingen.
Als gebruikers geen hersteltelefoonnummer invoeren, zien ze een andere inlogcontroles. Ze moeten dan bijvoorbeeld hun herstelmailadres of werknemers-ID invoeren.
Een inlogcontrole of 'bevestigen dat u het bent'-controle uitzetten
Kan ik de inlogcontrole of 'bevestigen dat u het bent'-controle uitzetten als de gebruiker zijn identiteit niet kan bevestigen?Ja, een beheerder kan een inlogcontrole of 'bevestigen dat u het bent'-controle 10 minuten uitzetten.
In sommige situaties kan een geautoriseerde gebruiker zijn identiteit niet bevestigen. De gebruiker heeft bijvoorbeeld geen bereik op zijn telefoon, waardoor deze de verificatiecode niet kan ontvangen. Of hij is zijn werknemers-ID vergeten of kwijt. Als dit gebeurt, kunt u als hoofdbeheerder de logincontrole of 'bevestigen dat u het bent'-controle gedurende 10 minuten uitzetten zodat de gebruiker kan inloggen of de gevoelige actie kan voltooien. Wees voorzichtig bij het uitzetten van inlogcontroles of 'bevestigen dat u het bent'-controle, omdat het account gedurende de periode van 10 minuten minder goed beveiligd is tegen accountkaping.
Nee, u kunt deze functie niet voor uw hele organisatie uitzetten. U kunt dit slechts tijdelijk uitzetten en alleen per gebruiker.
Nee, alleen een beheerder kan de inlogcontroles of beveiligingsopdrachten tijdelijk uitzetten.
Inlogcontroles voor beheerders
Hoe krijgt een beheerder opnieuw toegang tot het account als deze zijn identiteit niet kan bevestigen?Als beheerder kunt u weer toegang krijgen tot uw account door de aanwijzingen op de inlogpagina te volgen en uw wachtwoord te resetten.
Als u een Google Workspace-beheerder bent en problemen ondervindt om in te loggen op uw beheerdersaccount, gaat u naar Beheerderstoegang tot uw account herstellen voor instructies.
Als een hoofdbeheerder zijn identiteit niet kan bevestigen, kan een andere hoofdbeheerder (indien beschikbaar) de inlogcontrole tijdelijk voor hem uitzetten, zoals beschreven in de stappen hierboven.
De hoofdbeheerder kan ook de inlogcontrole overslaan door zijn wachtwoord te resetten.
Opmerking: De optie om het wachtwoord automatisch te resetten, is niet beschikbaar voor alle hoofdbeheerders. Zie Opties voor herstel toevoegen aan uw beheerdersaccount voor meer informatie over het herstellen van beheerdersaccounts.