Bescherm Google Workspace-accounts met beveiligingsuitdagingen

Beveiligingsuitdagingen zijn extra beveiligingsmaatregelen om de identiteit van een gebruiker te verifiëren. Er zijn twee soorten beveiligingsuitdagingen:

  • Aanmeldingsuitdaging — Als we vermoeden dat een onbevoegde gebruiker probeert in te loggen op een Google Workspace-account, tonen we hem of haar een aanmeldingsuitdaging. Als de gebruiker de gevraagde gegevens niet kan invoeren, wordt de aanmelding geweigerd.
  • IEMAND-VERIFICATIE — Als een gebruiker acties probeert uit te voeren die als gevoelig worden beschouwd, tonen we hem of haar een verificatie-IEMAND-verzoek. Als de gebruiker de gevraagde informatie niet kan invoeren, blokkeren we de gevoelige actie (de gebruiker kan zijn of haar account gewoon blijven gebruiken).

Belangrijk : Google handhaaft 2SV voor beheerdersaccounts. Ga naar ' Over 2SV-handhaving voor beheerders' voor meer informatie.

Voordat je beveiligingsuitdagingen kunt gebruiken

Zorg ervoor dat uw Google Workspace-accounts de benodigde informatie bevatten:

  • Herinner medewerkers eraan een hersteltelefoonnummer en e-mailadres aan hun account toe te voegen. We zullen hen periodiek vragen deze gegevens toe te voegen wanneer ze inloggen op hun account.
  • Voeg medewerkers-ID's toe aan uw gebruikersaccounts. Zie Medewerkers-ID toevoegen als inloguitdaging voor meer informatie.

Soorten inloguitdagingen

De gebruiker bevestigt zijn of haar identiteit met het mobiele apparaat.

De gebruiker kiest zelf hoe hij/zij zijn/haar identiteit wil verifiëren.

Google gebruikt een app die op de telefoon van de gebruiker is geïnstalleerd om diens identiteit te bevestigen.

Google stuurt een sms met een verificatiecode.

Google belt de gebruiker op en geeft een verificatiecode.

De gebruiker voert zijn/haar personeelsnummer in.

Als u het werknemers-ID als inlogvereiste hebt toegevoegd , kunnen gebruikers dit ID gebruiken om hun identiteit te bevestigen.

De gebruiker voert zijn herstel-e-mailadres in.

Een gebruiker kan een herstel-e-mailadres invoeren als inlogvereiste.

Controleer of u het bent bij gevoelige acties.

Wanneer een Google Workspace-gebruiker een gevoelige actie probeert uit te voeren, krijgt die gebruiker soms een verificatieverzoek te zien. Als de gebruiker de gevraagde informatie niet kan invoeren, zal Google de gevoelige actie blokkeren.

'Gevoelige actie geblokkeerd'

Voor de meeste gebruikers die een verificatieverzoek krijgen voor een gevoelige actie, verschijnt een venster met de titel ' Gevoelige actie geblokkeerd' . De gebruiker wordt gevraagd het opnieuw te proberen vanaf een apparaat dat hij of zij normaal gebruikt (zoals een telefoon of laptop) of vanaf de locatie waar hij of zij gewoonlijk inlogt.

'Deze actie kan momenteel niet worden voltooid'

Omdat sommige gebruikers apparaten of beveiligingssleutels hebben die recent aan hun account zijn toegevoegd, kunnen ze hun identiteit niet direct verifiëren als reactie op een beveiligingsuitdaging. Voor deze gebruikers wordt een venster weergegeven met de titel ' Deze actie kan nu niet worden voltooid' . Deze gebruikers kunnen hun identiteit verifiëren nadat een apparaat, telefoonnummer of beveiligingssleutel minimaal 7 dagen aan hun account is gekoppeld.

Voorbeelden van gevoelige acties

Hier volgen enkele voorbeelden van gevoelige acties:

  • Tweestapsverificatie uitschakelen
  • Een app toegang geven tot Google-gegevens
  • Het e-mailadres of telefoonnummer voor accountherstel wijzigen
  • Accountgegevens downloaden
  • De naam op het account wijzigen

Schakel inloguitdagingen in met SSO.

Als uw organisatie gebruikmaakt van externe identiteitsproviders (IdP's) om gebruikers met single sign-on (SSO) te authenticeren via SAML , kunt u deze SSO-gebruikers extra risicogebaseerde inloguitdagingen voorleggen en tweestapsverificatie toepassen (indien geconfigureerd) nadat de IdP een gebruiker tijdens het inloggen heeft geauthenticeerd.

De standaardinstelling voor verificatie na SSO is afhankelijk van het type SSO-gebruiker:

  • Voor gebruikers die inloggen met het oude SSO-profiel van uw organisatie , is de standaardinstelling het overslaan van extra inloguitdagingen en 2SV.
  • Voor gebruikers die inloggen met andere SSO-profielen , is de standaardinstelling het toepassen van aanvullende inloguitdagingen en tweefactorauthenticatie (2SV).

Om de standaardinstellingen voor beide gebruikerstypen te wijzigen, volgt u de stappen in ' SSO-verificatie instellen' hieronder.

Gebruiksscenario's voor extra inloguitdagingen met SSO

  • U wilt beveiligingssleutels gebruiken om de toegang tot gevoelige, door Google gehoste bronnen te beschermen voor maximale zekerheid, maar uw huidige identiteitsprovider (IdP) ondersteunt geen beveiligingssleutels.
  • Je wilt de kosten besparen van het gebruik van een externe identiteitsaanbieder, omdat gebruikers in de meeste gevallen toegang hebben tot Google-bronnen.
  • Je wilt geen Google-authenticatie (Google als identiteitsaanbieder), maar je wilt wel gebruikmaken van alle op risico's gebaseerde inloguitdagingen van Google.
  • Je wilt dat Google gevoelige acties binnen het Google-ecosysteem beschermt.

Wat gebeurt er als je extra inloguitdagingen toepast?

Voor een soepele implementatie is het belangrijk uw gebruikers te informeren over het nieuwe beleid en wanneer u van plan bent dit toe te passen. Hieronder ziet u wat er gebeurt wanneer u extra inlogverificaties toepast:

  • Als u al bestaande 2SV-beleidsregels hebt, zoals 2SV-handhaving, zijn die beleidsregels direct van toepassing.
  • Gebruikers die onder het nieuwe beleid vallen en die geregistreerd zijn bij 2SV, krijgen bij het inloggen een 2SV-inloguitdaging te zien.
  • Op basis van de risicoanalyse van Google kunnen gebruikers bij het inloggen te maken krijgen met risicogerelateerde inloguitdagingen.

Stel verificatie na SSO in

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Authenticatie en dan Aanmeldingsuitdagingen .

    Vereist dat u de beheerdersrechten voor gebruikersbeveiliging hebt.

  2. Selecteer aan de linkerkant de organisatie-eenheid waar u het beleid wilt instellen.

    Selecteer voor alle gebruikers de organisatie-eenheid op het hoogste niveau. Organisatie-eenheden nemen in eerste instantie de instellingen van hun bovenliggende eenheid over.

  3. Klik op 'Verificatie na SSO' .
  4. Kies instellingen op basis van hoe u de oude SSO-profielen in uw organisatie gebruikt. U kunt een instelling toepassen voor gebruikers die het oude SSO-profiel van uw organisatie gebruiken én voor gebruikers die zich aanmelden met andere SSO-profielen .
  5. Klik rechtsonder op Opslaan .

    Google maakt een vermelding aan in het beheerdersauditlogboek om elke beleidswijziging aan te geven.

Let op: in zeldzame gevallen zijn de logboekgegevens mogelijk niet voor alle gebeurtenissen aanwezig. We werken aan een oplossing voor dit probleem.

Veelgestelde vragen

Extra beveiligingsvragen en inloguitdagingen | Telefoonverificatie | Een inlog- of beveiligingsuitdaging uitschakelen | Beheerders

Extra beveiligingsvragen en inloguitdagingen

Wanneer krijgt een gebruiker een beveiligingsuitdaging te zien?

Een gebruiker krijgt een inloguitdaging te zien wanneer een verdachte inlogpoging wordt gedetecteerd, bijvoorbeeld wanneer de gebruiker zich niet houdt aan de inlogpatronen die hij of zij in het verleden heeft laten zien. Een gebruiker krijgt een verificatie-uitdaging te zien als hij of zij een risicovolle sessie heeft bij het uitvoeren van een gevoelige actie.

Belangrijk: Google bepaalt welk type beveiligingsuitdaging geschikt is voor een gebruiker op basis van meerdere beveiligings- en gebruiksvriendelijkheidsfactoren. De inloguitdaging met het werknemers-ID wordt bijvoorbeeld mogelijk niet altijd aan een specifieke gebruiker getoond, zelfs als u deze hebt ingeschakeld.

Kan ik als beheerder kiezen welk type inloguitdaging ik mijn gebruikers wil tonen?

Tweestapsverificatie (2SV) is een type inloguitdaging. Als beheerder kunt u 2SV-verificatie verplicht stellen voor uw gebruikers. Hierdoor ontvangen ze geen andere op risico gebaseerde inloguitdaging meer.

Als je tweestapsverificatie (2SV) niet afdwingt voor je gebruikers, of als een gebruiker het niet heeft ingeschakeld, bepaalt Google welk type inloguitdaging geschikt is voor die gebruiker. Het geschikte type inloguitdaging is gebaseerd op meerdere beveiligings- en gebruiksvriendelijkheidsfactoren. Zo wordt de inloguitdaging met het werknemers-ID mogelijk niet altijd aan een specifieke gebruiker getoond, zelfs als je deze hebt ingeschakeld.

Kunnen gebruikers hun herstelgegevens bijwerken?

We gebruiken tweestapsverificatie. Waarom hebben we dan inloguitdagingen nodig?

Tweestapsverificatie (2SV) is een type inloguitdaging. Wanneer uw gebruikers deze functie hebben ingeschakeld, krijgen ze geen nieuwe inloguitdaging te zien. Om diezelfde reden worden in beheerdersrapporten alle tweestapsverificaties weergegeven als inloguitdagingen.

Hoe werken inloguitdagingen als ik SSO heb ingeschakeld?

Het hangt ervan af hoe je SSO in je organisatie hebt geconfigureerd:

  • Als u een ouder SSO-profiel voor uw organisatie hebt geconfigureerd , zijn inloguitdagingen standaard niet ingeschakeld. U kunt echter verificatie na SSO instellen om aanvullende op risico gebaseerde authenticatie-uitdagingen en tweestapsverificatie (2SV) toe te staan, indien geconfigureerd.
  • Als u een ander SSO-profiel gebruikt , worden eventuele extra inloguitdagingen (inclusief 2SV, indien geconfigureerd) automatisch toegepast.

Is deze functie beschikbaar in de educatieve edities?

Ja, alle Google Workspace-edities bevatten extra beveiligingsvragen en inloguitdagingen.

Wanneer beschouwt Google een inlogpoging als verdacht?

We bepalen of een aanmelding verdacht is wanneer ons risicoanalysesysteem een ​​poging detecteert die afwijkt van het normale gebruikersgedrag. Een gebruiker kan bijvoorbeeld proberen in te loggen vanaf een ongebruikelijke locatie of op een manier die met misbruik in verband wordt gebracht.

Telefoonverificatie

Als mijn gebruikers geen zakelijke telefoon hebben, is er dan een andere manier om hun accounts te verifiëren?

Ja, er zijn verschillende soorten inloguitdagingen. Afhankelijk van de beschikbare informatie voor een gebruikersaccount, krijgt de gebruiker een andere inloguitdaging te zien, zoals het invoeren van het personeelsnummer of het herstel-e-mailadres. Als een gebruiker geen toegang heeft tot zijn of haar telefoon, kan hij of zij back-upcodes gebruiken om in te loggen. Zie 'Inloggen met back-upcodes' voor meer informatie.

Hoe kan een gebruiker het hersteltelefoonnummer of -e-mailadres dat aan zijn account is gekoppeld, bijwerken?

De gebruiker kan de herstelgegevens bijwerken via de accountinstellingen .

Kan een gebruiker ervoor kiezen om andere verificatiecriteria dan zijn hersteltelefoonnummer te gebruiken?

Als de gebruiker geen hersteltelefoonnummer invoert, gelden andere inlogvereisten, zoals het invoeren van het herstel-e-mailadres of het gebruik van het personeelsnummer.

Het uitschakelen van een inloguitdaging of een verificatie-of-u-het-bent-uitdaging

Als de gebruiker zijn of haar identiteit niet kan verifiëren, kan ik dan de inlog- of verificatie-uitdaging uitschakelen?

Ja, een beheerder kan een inlog- of verificatie-uitdaging gedurende 10 minuten uitschakelen .

In sommige situaties kan een geautoriseerde gebruiker zijn of haar identiteit niet verifiëren. Bijvoorbeeld omdat er geen telefoonbereik is en de verificatiecode niet kan worden ontvangen. Of omdat de gebruiker zijn of haar personeelsnummer niet meer weet of kan vinden. Als superbeheerder kunt u in dat geval de inlog- of verificatie-uitdaging gedurende 10 minuten uitschakelen, zodat de gebruiker zich kan aanmelden of de gevoelige actie kan voltooien. Wees voorzichtig bij het uitschakelen van de inlog- of verificatie-uitdaging, aangezien het account gedurende deze 10 minuten minder goed beveiligd is tegen accountkapers.

Kan ik de inlog- of verificatie-uitdagingen voor mijn organisatie uitschakelen?

Nee, u kunt deze functie niet voor uw hele organisatie uitschakelen. U kunt deze alleen tijdelijk per gebruiker uitschakelen.

Kan de gebruiker dit zelf uitschakelen via de accountinstellingen?

Nee, alleen een beheerder kan de aanmeldings- of beveiligingsuitdagingen tijdelijk uitschakelen.

Aanmeldingsuitdagingen voor beheerders

Hoe kan een beheerder die zijn of haar identiteit niet kan verifiëren, opnieuw toegang krijgen tot het account?

Als beheerder kunt u weer toegang krijgen tot uw account door de instructies op de inlogpagina te volgen om uw wachtwoord opnieuw in te stellen.

Als u een Google Workspace-beheerder bent en problemen ondervindt met het inloggen op uw beheerdersaccount, raadpleeg dan de instructies in 'Beheerderstoegang tot uw account herstellen' .

Wat als een superbeheerder zijn of haar identiteit niet kan verifiëren?

Als een gebruiker met superbeheerdersrechten zijn of haar identiteit niet kan verifiëren, kan een andere superbeheerder (indien beschikbaar) de inloguitdaging tijdelijk uitschakelen, zoals beschreven in de bovenstaande stappen.

Als alternatief kan de superbeheerder de inloguitdaging omzeilen door zijn of haar wachtwoord te resetten.

Opmerking: De automatische optie voor het opnieuw instellen van wachtwoorden is niet beschikbaar voor alle superbeheerders. Zie 'Herstelopties toevoegen aan uw beheerdersaccount' voor meer informatie over het herstellen van beheerdersaccounts.