# Endpoint-apparaatbeheer activeren in Google Workspace Gebruikers benaderen Workspace vanaf laptops, telefoons en tablets, vaak hun eigen apparaten. Elk van die apparaten is een mogelijke route waarlangs bedrijfsdata weglekt. Endpoint-apparaatbeheer geeft je grip op die apparaten zonder dat je ze fysiek in handen hoeft te hebben. ## Basis versus geavanceerd beheer Workspace kent twee niveaus van apparaatbeheer. Basisbeheer staat voor de meeste edities standaard aan en biedt fundamentele functies: je ziet welke apparaten toegang hebben en je kunt het bedrijfsaccount op afstand van een apparaat afmelden. Gebruikers hoeven hiervoor geen beheer-app te installeren. Geavanceerd beheer voegt aanzienlijk meer controle toe. Denk aan het verplichten van een schermvergrendeling, het afdwingen van versleuteling, het beheren van apps op mobiele apparaten en het selectief wissen van alleen bedrijfsdata zonder de persoonlijke gegevens van de gebruiker aan te raken. Voor iOS-apparaten heb je hiervoor een Apple-pushcertificaat nodig. :::info title="Per organisatie-eenheid instellen" Je kiest het beheerniveau per organisatie-eenheid. Zo kun je geavanceerd beheer afdwingen voor de OU met directie en gevoelige functies, terwijl een OU met tijdelijke krachten op basisbeheer blijft. Dit voorkomt dat je onnodig zware eisen oplegt waar dat niet nodig is. ::: ## Endpointbeheer activeren :::howto title="Geavanceerd beheer inschakelen stap voor stap" 1. Ga in de Admin Console naar **Apparaten > Mobiel en endpoints > Instellingen > Universele instellingen**. 2. Selecteer in de zijbalk de organisatie-eenheid waarvoor je het instelt en klik op **Overschrijven** als de OU nu nog overerft. 3. Open de sectie **Algemeen** en kies onder **Mobiel beheer** het gewenste niveau. 4. Kies **Geavanceerd** als je alle ondersteunde apparaten onder geavanceerd beheer wilt brengen, of **Aangepast** om dit alleen voor bepaalde platforms zoals Android of iOS aan te zetten. 5. Klik op **Opslaan** en informeer de betrokken gebruikers over wat er voor hen verandert. ::: Krijg je bij het opslaan de melding dat je synchronisatie op mobiel moet aanzetten, klik dan op **Ga naar Sync op mobiel** en vink de apparaattypen aan die werkdata mogen synchroniseren. ## Wat verandert er voor de gebruiker Bij geavanceerd beheer merkt de gebruiker dat er eisen worden gesteld. Op een mobiel apparaat moet hij meestal de app Google Apparaatbeleid (Device Policy) installeren voordat hij zijn bedrijfsaccount kan blijven gebruiken. Op Android volgt vaak een extra stap om een werkprofiel in te richten. Communiceer dit vooraf, anders leidt het tot verwarring en supportvragen. :::warn title="Kondig de uitrol aan" Geavanceerd beheer kan vereisen dat gebruikers hun apparaat opnieuw registreren of een werkprofiel instellen. Rol dit niet zonder aankondiging uit. Een gebruiker die ineens niet meer bij zijn werkmail kan omdat zijn apparaat niet voldoet, opent direct een supportticket. Plan de uitrol en communiceer de stappen. ::: ## Op afstand wissen Een van de belangrijkste functies van geavanceerd beheer is op afstand wissen. Raakt een apparaat kwijt of vertrekt een medewerker, dan wis je de bedrijfsdata op afstand. Bij selectief wissen verwijder je alleen het werkprofiel en de bedrijfsgegevens, zodat de persoonlijke foto's en apps van de gebruiker intact blijven. :::tip title="Kies selectief wissen bij eigen apparaten" Gebruik bij voorkeur selectief wissen in plaats van het hele apparaat resetten, zeker bij apparaten die de gebruiker zelf bezit. Selectief wissen verwijdert alleen wat van het bedrijf is. Dat respecteert de privacy van de medewerker en voorkomt discussie over gewiste persoonlijke gegevens. ::: ## Beleid afdwingen Met geavanceerd beheer kun je beleid afdwingen zoals een minimale wachtwoordsterkte, automatische schermvergrendeling na inactiviteit en verplichte versleuteling. Apparaten die niet voldoen, krijgen geen toegang tot bedrijfsdata tot ze in lijn zijn met het beleid. ## Samenhang met andere beveiliging Apparaatbeheer is de basis waarop andere beveiligingsfuncties leunen. Context-aware access kan bijvoorbeeld eisen dat een apparaat beheerd en versleuteld is. Zonder endpointbeheer kun je die apparaatvoorwaarden niet beoordelen. Het loont dus om apparaatbeheer goed in te richten voordat je verdergaat met geavanceerdere toegangsregels. :::faq ### Moet ik geavanceerd beheer voor iedereen aanzetten? Niet per se. Stel het beheerniveau per organisatie-eenheid in en pas geavanceerd beheer toe waar de gevoeligheid van de data dat rechtvaardigt. Voor minder kritische groepen kan basisbeheer volstaan. ### Kan ik persoonlijke data van een gebruiker wissen? Met selectief wissen verwijder je alleen het werkprofiel en de bedrijfsgegevens. Persoonlijke foto's, apps en gegevens van de gebruiker blijven intact. Gebruik dit bij apparaten in eigendom van de medewerker. ### Werkt apparaatbeheer op zowel Android als iOS? Ja. Geavanceerd beheer ondersteunt zowel Android als iOS, met platformafhankelijke mogelijkheden. Op Android verloopt het vaak via een werkprofiel, en voor iOS is een Apple-pushcertificaat vereist. ### Heb ik geavanceerd beheer nodig voor context-aware access? Voor apparaatgebaseerde voorwaarden in context-aware access is endpointbeheer nodig, omdat de apparaatstatus anders niet te beoordelen is. ### Welke editie heb ik nodig voor geavanceerd beheer? Geavanceerd mobiel beheer zit onder meer in Business Plus, Enterprise Standard en Enterprise Plus, en in diverse Education- en Frontline-edities. Basisbeheer is in vrijwel alle edities beschikbaar. ### Hoeven gebruikers bij basisbeheer iets te installeren? Nee. Bij basisbeheer is geen aparte beheer-app nodig. Pas bij geavanceerd beheer installeren gebruikers de app Google Apparaatbeleid. :::