Ga naar Veelgestelde vragen over Advanced Protection voor meer veelgestelde vragen over het Advanced Protection-programma.
Authenticatiegedrag
We gebruiken een externe identiteitsprovider (IdP), zoals Okta, voor onze primaire authenticatie. Vervolgens maken we gebruik van federatie met Google. Is het Advanced Protection Program (APP) voor ons geschikt?
Ja. U kunt het Advanced Protection Program gebruiken met accounts die via SAML federeren met een identiteitsprovider (IdP). Wanneer gebruikers met deze accounts zich aanmelden voor het Advanced Protection Program, vereisen we het gebruik van een beveiligingssleutel nadat de gebruiker zich bij de IdP heeft aangemeld. Houd er rekening mee dat SAML-gebruikers de optie 'Apparaat onthouden' kunnen selecteren om beveiligingsuitdagingen in een browser of op een apparaat te voorkomen.
Waarom hebben we twee sleutels nodig?
Wanneer u zich aanmeldt voor het Geavanceerde Beveiligingsprogramma, moet u een alternatieve aanmeldmethode selecteren. Dit zorgt ervoor dat u veilig toegang tot uw account kunt krijgen als uw toegangscode of beveiligingssleutel verloren of beschadigd raakt. U kunt een herstel-e-mailadres en -telefoonnummer of een extra toegangscode of beveiligingssleutel als alternatieve aanmeldmethode gebruiken.
Moeten gebruikers bij elke aanmelding een beveiligingssleutel of wachtwoord invoeren?
Gebruikers worden onthouden op het apparaat of in de browser waarmee ze zich aanmelden bij Google Workspace, en er worden geen tweestapsverificatie (2SV)-uitdagingen meer uitgevoerd bij toekomstige aanmeldingen op dezelfde browser of hetzelfde apparaat. Het gedrag is hetzelfde als voor gebruikers die niet zijn ingeschreven voor het Geavanceerde Beveiligingsprogramma.
Hoe kun je beveiligingssleutels en wachtwoorden gebruiken op iPhones?
Je kunt een beveiligingssleutel aan je account toevoegen op een iPhone of iPad met iOS 13.3 of hoger en Safari. Ga naar Een sleutel aan je account toevoegen voor meer informatie.
Om een toegangscode voor iOS of macOS aan te maken, moet je iCloud Keychain inschakelen. Zie Wat heb ik nodig om een toegangscode aan te maken? voor meer informatie.
Als een Google-account alleen met beveiligingssleutels werkt, hoe kunnen gebruikers dan inloggen op een apparaat dat geen beveiligingssleutels ondersteunt?
Steeds meer browsers, applicaties en services ondersteunen webgebaseerde authenticatie en bieden native ondersteuning voor beveiligingssleutels. Er zijn echter een aantal situaties waarin u geen beveiligingssleutels kunt gebruiken. Dit zijn platforms zoals Internet Explorer of native mobiele apps die gebruikmaken van ingebedde WebViews. Ook als u Chrome Remote Desktop gebruikt op een extern werkstation, kunt u mogelijk geen beveiligingssleutel in de externe USB-poort steken. In deze gevallen zijn er twee opties:
Wachtwoorden – Sinds de toevoeging van wachtwoorden ondersteunt de beperking 'Alleen beveiligingssleutel' nu zowel beveiligingssleutels als wachtwoorden als tweestapsverificatiemethode (2SV). Gebruikers kunnen een wachtwoord aanmaken op een apart apparaat (bijvoorbeeld een mobiele telefoon) en dit gebruiken om in te loggen op hun account op het apparaat dat geen beveiligingssleutels ondersteunt.
Beveiligingscodes – Gebruikers kunnen eenmalige codes genereren met behulp van een beveiligingssleutel of wachtwoord op een platform dat dit ondersteunt. Zowel het apparaat dat met de beveiligingssleutel of het wachtwoord wordt gebruikt om de beveiligingscode te genereren als het apparaat dat wordt gebruikt om met de beveiligingscode in te loggen, moeten zich op hetzelfde netwerk bevinden. De codes zijn 15 minuten geldig.
Beveiligingscodes zijn optioneel voor gebruikers in het Advanced Protection Program. De opties voor beveiligingscodes vindt u op dezelfde plek in de beheerdersconsole als de inschrijvingsinstellingen. Het gebruik van beveiligingssleutels of wachtwoorden is veiliger dan het gebruik van beveiligingscodes, en we raden beheerders aan voorzichtig te zijn bij het toestaan van het gebruik van beveiligingscodes.
Toegang tot applicaties
Waarom wordt de toegang tot apps beperkt?
Standaard worden apps die toegang tot risicovolle Gmail- en Google Drive-accounts vereisen, geblokkeerd. Uitzonderingen hierop zijn alle Google-apps, native iOS-apps van Apple en de Mozilla Thunderbird-mailclient.
Moeten gebruikers niet expliciet toestemming geven voor elke app? Wat is dan de toegevoegde waarde?
Gebruikers kunnen worden misleid om toegang te verlenen tot apps met een hoog risico. Het Advanced Protection Program is bedoeld om de gebruikers met het hoogste risico te beschermen, dus we willen deze dreiging van app-phishing aanpakken.
Sommige apps zijn essentieel voor ons bedrijf. Hoe kan ik het gebruik ervan toestaan?
Beheerders kunnen de toegang van bepaalde verbonden apps goedkeuren. De door de beheerder opgestelde lijst met goedgekeurde apps wordt gehanteerd en elke app die als hoog risico wordt beschouwd (zie de vorige antwoorden) en niet op de door de beheerder goedgekeurde lijst staat, wordt geblokkeerd.
We gebruiken GCDS en GSPS om identiteiten en wachtwoorden te synchroniseren met onze lokale bron van waarheid. Worden ze geblokkeerd of krijgen ze toegang?
Apps van Google zelf, waaronder GCDS en GSPS, hebben toegang zonder tussenkomst van een beheerder.
Gmail-scan
Welke extra beveiligingsfuncties van Gmail krijgen gebruikers van het Advanced Protection Program?
Gebruikers van het Advanced Protection Program met de juiste licenties krijgen uitgebreidere scans vóór levering en de Security Sandbox wordt ingeschakeld. Uitgebreidere scans vóór levering zijn beschikbaar voor alle edities. Security Sandbox is alleen beschikbaar voor gebruikers van de Enterprise-editie.
Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.