Chrome-beleid: apparaat, gebruiker of browser
Google Admin biedt drie lagen waarop je Chrome-beleid instelt. Het is belangrijk om te begrijpen welke laag wanneer actief is, want dat bepaalt of een instelling echt afgedwongen wordt.
| Niveau | Wat het beheert | Wanneer actief |
|---|---|---|
| Apparaatbeleid | De Chromebook zelf, ongeacht wie inlogt | Altijd, ook op het inlogscherm |
| Gebruikersbeleid | De Chrome-sessie van een specifieke gebruiker | Alleen wanneer de gebruiker is ingelogd met een Workspace-account |
| Browserbeleid (CBCM) | Chrome op Windows, macOS en Linux | Vereist inschrijving via Chrome Browser Cloud Management |
Begin met gebruikersbeleid voor de meeste instellingen. Apparaatbeleid gebruik je voor zaken als netwerkconfiguratie, gast-modus en kiosk-instellingen.
Test eerst in een aparte OU
Test nieuw beleid altijd eerst in een aparte organisatie-eenheid met een kleine groep testapparaten of testgebruikers. Beleid dat per ongeluk de browser blokkeert, raakt meteen alle gebruikers in die OU.
Extensies beheren
Extensies zijn een veelvoorkomende behoefte. Je wilt voorkomen dat gebruikers willekeurige extensies installeren die data doorsturen, maar specifieke, goedgekeurde extensies wil je juist afdwingen.
Extensies toestaan, blokkeren of forceren
- Ga naar Admin-console > Apparaten > Chrome > Apps en extensies.
- Selecteer de organisatie-eenheid.
- Klik op het plusje rechtsonder om een extensie toe te voegen via de Chrome Web Store-ID of URL.
- Kies de installatiemethode: Geforceerd (automatisch geinstalleerd, kan niet verwijderd worden), Toegestaan (gebruikers installeren zelf) of Geblokkeerd (kan niet geinstalleerd worden).
- Stel optioneel een beheerde configuratie in als de extensie een JSON-configuratieschema ondersteunt.
- Sla op. De wijziging synchroniseert binnen enkele minuten naar de apparaten.
Wil je alle niet-expliciet-toegestane extensies blokkeren? Ga dan naar Instellingen > Gebruikers en browsers > Extensies en zet de standaardinstallatiemethode op Geblokkeerd. Voeg daarna alleen de goedgekeurde extensies toe aan de allowlist. Dit is de veiligste basisaanpak: standaard alles dicht, en bewust openzetten wat nodig is.
Websitebeleid en contentfilters
Chrome-beleid biedt ingebouwde website-filtering via twee lijsten:
- URLAllowlist: altijd toestaan, ook als de blokkeerlijst actief is. De allowlist wint van de blocklist.
- URLBlocklist: altijd blokkeren.
Ga naar Admin-console > Apparaten > Chrome > Instellingen > Gebruikers en browsers > URL-blokkering en voeg patronen toe, bijvoorbeeld *://*.socialmedia.com/* om een heel domein te blokkeren.
Voorbeelden van patronen:
*blokkeert alle URL's. Gebruik dit als startpunt in combinatie met een allowlist.https://*.jouwdomein.nlmatcht een specifiek schema en alle subdomeinen.jouwdomein.nl:8080matcht een specifieke poort.
Beveiligingsinstellingen
Belangrijke beveiligingsinstellingen die je via beleid afdwingt:
- Safe Browsing: ga naar Instellingen > Gebruikers en browsers > Safe Browsing en zet dit op de uitgebreide (Enhanced) modus voor maximale bescherming.
- Wachtwoordbeheer: schakel de ingebouwde wachtwoordmanager in, of forceer een externe wachtwoordmanager als extensie.
- Automatische updates: stel via Apparaatbeleid > Automatisch bijwerken het updatekanaal in (Stable voor productie, Beta voor een IT-testgroep) en eventueel een minimale of maximale versie.
- Inlogbeperking: beperk via Apparaatbeleid > Aanmeldingsinstellingen welke accounts mogen inloggen. Gebruik
*@jouwdomein.nlom alleen Workspace-accounts van je eigen domein toe te laten.
Begin niet met een totale blokkade
Een te brede blocklist of een te strikte inlogbeperking sluit gebruikers in een keer buiten. Rol streng beleid stapsgewijs uit per OU en houd chrome://policy bij de hand om te zien wat er daadwerkelijk actief is.
Chrome Browser Cloud Management (CBCM)
Voor Chrome op Windows en macOS (dus niet-Chromebooks) gebruik je Chrome Browser Cloud Management. Dit koppelt de browser aan je Workspace-account, zodat dezelfde Admin-console het beheer regelt.
CBCM activeren en uitrollen
- Ga naar Admin-console > Apparaten > Chrome > Beheerde browsers (bij Chrome Enterprise Core staat dit onder Chrome browser > Beheerde browsers).
- Klik bovenaan op Inschrijven en kopieer de enrollment-token. De eerste keer accepteer je de servicevoorwaarden.
- Distribueer de token via een GPO of registersleutel op Windows, of via een MDM-profiel op macOS.
- Na de eerste start registreert de browser zichzelf en valt hij onder het beleid van de gekozen OU.
De enrollment-token wordt alleen tijdens de inschrijving gebruikt. Je kunt hem daarna in de Admin-console intrekken zonder dat de al ingeschreven browsers hun registratie verliezen.
Werkt Chrome-beleid ook als de gebruiker niet is ingelogd in Google?
Gebruikersbeleid werkt alleen wanneer de gebruiker is ingelogd met een Workspace-account in Chrome. Bij anoniem browsen of inloggen met een persoonlijk account is het gebruikersbeleid niet actief. Gebruik CBCM voor apparaatgebonden beleid op Windows en macOS, los van wie er is ingelogd.
Hoe lang duurt het voordat nieuw beleid actief is?
Chrome controleert standaard ongeveer elke 4 uur op nieuwe beleidswijzigingen. Wil je het meteen toepassen, ga dan in Chrome naar chrome://policy en klik op Beleid opnieuw laden. Op Chromebooks gaat het vaak sneller: het beleid synchroniseert meestal binnen enkele minuten na inloggen.
Kan ik het actieve beleid exporteren voor documentatie?
Ja. Via chrome://policy in de browser zie je alle actieve beleidsregels per bron, dus gebruikersbeleid, apparaatbeleid en extensies. Je kunt de pagina kopieren of een screenshot maken. De Admin-console biedt zelf geen kant-en-klare export van een beleidsoverzicht.
Wat is het verschil tussen een allowlist en een blocklist?
De allowlist staat URL's of extensies expliciet toe, de blocklist blokkeert ze. Bij URL-filtering wint de allowlist altijd van de blocklist, zodat je een breed blok kunt instellen en gericht uitzonderingen kunt toevoegen.
Geldt Chrome-beleid ook op gedeelde apparaten?
Apparaatbeleid geldt op een Chromebook altijd, ook in gast-modus of op het inlogscherm. Gebruikersbeleid laadt pas zodra iemand inlogt met een Workspace-account, dus stem je instellingen daarop af bij gedeeld gebruik.