Deze beveiligingsrichtlijnen zijn bedoeld voor beheerders van Google Workspace en Cloud Identity .
Als beheerder kunt u werkgegevens op de persoonlijke apparaten van gebruikers (BYOD) en op de apparaten van uw organisatie beschermen met behulp van de functies en instellingen voor eindpuntbeheer van Google. Andere beveiligingsfuncties bieden betere accountbescherming, gedetailleerde toegangscontrole en gegevensbescherming. Bekijk de volgende checklist om er zeker van te zijn dat u voldoet aan de beveiligingsdoelen van uw organisatie.
Alle mobiele apparaten
| Wachtwoorden vereisen Bescherm gegevens op beheerde mobiele apparaten door te vereisen dat gebruikers een schermvergrendeling of wachtwoord voor hun apparaat instellen. Voor apparaten met geavanceerd beheer kunt u ook het wachtwoordtype, de sterkte en het minimale aantal tekens instellen. Stel wachtwoordvereisten in voor beheerde mobiele apparaten. |
| Vergrendel of wis bedrijfsgegevens van vermiste apparaten. Wanneer een apparaat zoekraakt of een medewerker uw organisatie verlaat, lopen de werkgegevens op het apparaat risico. U kunt het werkaccount van een gebruiker van het apparaat verwijderen, inclusief alle werkgegevens. Voor apparaten met geavanceerd beheer kunt u het hele apparaat wissen. Deze functie is niet beschikbaar in de gratis versie van Cloud Identity. |
 | Beheer Android-apps die voor uw werk worden gebruikt. Voorkom ongeautoriseerde toegang tot Android-apps die voor uw werk worden gebruikt door ze toe te voegen aan de lijst met web- en mobiele apps, zodat ze beheerd worden. U kunt beheerde beveiligingsapps geforceerd installeren en beheerde apps verwijderen van verloren of gestolen apparaten. Beheerde apps worden automatisch van een apparaat verwijderd wanneer een gebruiker zijn of haar werkaccount verwijdert. |
Mobiele apparaten onder geavanceerd beheer
| Apparaatversleuteling vereisen Versleuteling slaat gegevens op in een vorm die alleen leesbaar is wanneer een apparaat is ontgrendeld. Door het apparaat te ontgrendelen, worden de gegevens ontsleuteld. Versleuteling biedt extra bescherming als een apparaat verloren of gestolen raakt. |
| Apparaatbeperkingen toepassen Je kunt beperken hoe gebruikers gegevens delen en back-ups maken op Android- en Apple iOS-apparaten. Op Android kun je bijvoorbeeld het overdragen van bestanden via USB blokkeren en op iOS-apparaten back-ups naar persoonlijke cloudopslag stoppen. Je kunt ook de toegang tot bepaalde apparaat- en netwerkinstellingen beperken. Zo kun je bijvoorbeeld de camera van het apparaat uitschakelen en voorkomen dat Android-gebruikers hun wifi-instellingen wijzigen. |
| Blokkeer gecompromitteerde apparaten Voorkom dat het werkaccount van een gebruiker synchroniseert met Android- en Apple iOS-apparaten die mogelijk gecompromitteerd zijn. Een apparaat is gecompromitteerd wanneer het gejailbreakt of geroot is – processen die beperkingen op een apparaat opheffen. Gecompromitteerde apparaten kunnen duiden op een potentieel beveiligingsrisico. |
| Blokkeer automatisch Android-apparaten die niet aan uw beleid voldoen. Wanneer een apparaat niet meer voldoet aan het beleid van uw organisatie, kunt u de toegang tot werkgegevens automatisch blokkeren en de gebruiker hiervan op de hoogte stellen. Als u bijvoorbeeld een minimale wachtwoordlengte van 6 tekens hanteert en een gebruiker wijzigt het wachtwoord van zijn apparaat naar 5 tekens, voldoet het apparaat niet meer aan het beleid. |
| Schakel automatisch accountwissen in voor Android-apparaten. Verwijder automatisch werkaccountgegevens en beheerde apps van een Android-apparaat wanneer het gedurende een bepaald aantal dagen inactief is. Dit verkleint het risico op datalekken . |
| Beheer iOS-apps die voor werk worden gebruikt. Voorkom ongeautoriseerde toegang tot iOS-apps die voor uw werk worden gebruikt door ze toe te voegen aan de lijst met web- en mobiele apps en ze als beheerde apps in te stellen. U kunt beheerde apps verwijderen van verloren of gestolen apparaten. Beheerde apps worden automatisch van een apparaat verwijderd wanneer een gebruiker zijn of haar werkaccount verwijdert. |
| Blokkeer potentieel gevaarlijke Android-apps Standaard blokkeert Google apps van onbekende bronnen die niet uit de Play Store komen op Android-apparaten. Apps worden ook automatisch gescand en geblokkeerd door Google Play Protect als ze gevaarlijk zijn. Deze functies verminderen de risico's op datalekken , inbreuken op accounts , data-exfiltratie , dataverwijdering en malware . Zorg ervoor dat 'Installatie van apps uit onbekende bronnen blokkeren' is ingeschakeld en dat 'Gebruikers toestaan Google Play Protect uit te schakelen' is uitgeschakeld voor al uw gebruikers. |
Computers die toegang hebben tot werkgegevens
| Schakel eindpuntverificatie in. Wanneer laptops en desktops worden beheerd met eindpuntverificatie, kunt u contextbewuste toegang gebruiken om de gegevens van uw organisatie te beschermen en meer informatie te verkrijgen over de apparaten die toegang hebben tot die gegevens. |
| Beperk Google Drive voor desktops tot apparaten die eigendom zijn van het bedrijf. Met Drive voor desktop kunnen gebruikers Drive-bestanden bewerken op hun Mac- of Windows-computer, zonder browser. Om de blootstelling van de gegevens van uw organisatie te beperken, kunt u Drive voor desktop alleen toestaan op apparaten die eigendom zijn van het bedrijf en die in uw inventaris staan vermeld. Beperk de schijf voor desktops tot apparaten die eigendom zijn van het bedrijf. |
| De Google-referentieprovider voor Windows (GCPW) instellen Laat gebruikers zich aanmelden bij Windows 10-computers met hun zakelijke Google-account. GCPW biedt tweestapsverificatie en aanmelduitdagingen. Gebruikers kunnen ook toegang krijgen tot Google Workspace-services en andere apps met single sign-on (SSO) zonder hun Google-gebruikersnaam en -wachtwoord opnieuw te hoeven invoeren. |
| Beperk gebruikersrechten op Windows-computers die eigendom zijn van het bedrijf. Met Windows-apparaatbeheer kunt u bepalen wat gebruikers kunnen doen op hun door het bedrijf beheerde Windows 10-computers. U kunt het beheerdersrechtenniveau van gebruikers voor Windows instellen. Daarnaast kunt u Windows-beveiligings-, netwerk-, hardware- en software-instellingen toepassen. |
Meer beveiligingsopties voor alle apparaten
| Voorkom ongeautoriseerde toegang tot het account van een gebruiker. Vereis een aanvullend identiteitsbewijs wanneer gebruikers zich aanmelden bij hun Google-account met tweestapsverificatie (2SV). Dit bewijs kan een fysieke beveiligingssleutel zijn, een beveiligingssleutel die in het apparaat van de gebruiker is ingebouwd, een beveiligingscode die via sms of telefoon wordt verzonden, en meer. Wanneer Google vermoedt dat een onbevoegde probeert toegang te krijgen tot een gebruikersaccount, stellen we die persoon een extra beveiligingsvraag of -uitdaging. Bij gebruik van Google Endpoint Management kunnen we gebruikers bijvoorbeeld vragen hun identiteit te verifiëren met hun beheerde mobiele apparaat (het apparaat dat ze normaal gesproken gebruiken om toegang te krijgen tot hun werkaccount). Extra beveiligingsuitdagingen verkleinen de kans dat een onbevoegde inbreekt in gebruikersaccounts aanzienlijk. |
| Gebruik contextbewuste toegang om voorwaardelijk toegang tot Google-apps te verlenen. U kunt verschillende toegangsniveaus instellen op basis van de identiteit van een gebruiker en de context van het verzoek (land/regio, beveiligingsstatus van het apparaat, IP-adres). U kunt bijvoorbeeld de toegang tot een Google-app (web en mobiel) op mobiele apparaten blokkeren als het apparaat zich buiten een specifiek land/regio bevindt, of als het apparaat niet voldoet aan uw encryptie- en wachtwoordvereisten. Een ander voorbeeld is dat u een externe medewerker alleen toegang kunt geven tot Google-webapps op Chromebooks die door het bedrijf worden beheerd. |
| Bepaal welke apps toegang hebben tot de gegevens van Google Workspace. Stel in welke mobiele apps door uw organisatie worden beheerd. U kunt ook specificeren tot welke services een app toegang heeft met behulp van app-toegangsbeheer. Dit voorkomt dat kwaadwillende apps gebruikers misleiden en hen per ongeluk toegang geven tot hun werkgegevens. App-toegangsbeheer is apparaat-onafhankelijk en blokkeert de toegang door ongeautoriseerde apps op zowel BYOD-apparaten als apparaten in bedrijfseigendom. |
| Identificeer gevoelige gegevens in Google Drive, Docs, Sheets, Slides en Gmail. Bescherm gevoelige gegevens, zoals door de overheid uitgegeven persoonsidentificatienummers, door beleid voor gegevensverliespreventie (DLP) in te stellen. Dit beleid kan veel voorkomende gegevenstypen detecteren en u kunt ook aangepaste inhoudsdetectoren maken om aan specifieke bedrijfsbehoeften te voldoen. DLP beschermt gegevens op bron- en applicatieniveau en is van toepassing op alle apparaten en toegangsmethoden. |
Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.