# Chrome-beleidsregels instellen voor browsers en apparaten

## Chrome-beleid: apparaat, gebruiker of browser

Google Admin biedt drie lagen waarop je Chrome-beleid instelt. Het is belangrijk om te begrijpen welke laag wanneer actief is, want dat bepaalt of een instelling echt afgedwongen wordt.

| Niveau | Wat het beheert | Wanneer actief |
|---|---|---|
| Apparaatbeleid | De Chromebook zelf, ongeacht wie inlogt | Altijd, ook op het inlogscherm |
| Gebruikersbeleid | De Chrome-sessie van een specifieke gebruiker | Alleen wanneer de gebruiker is ingelogd met een Workspace-account |
| Browserbeleid (CBCM) | Chrome op Windows, macOS en Linux | Vereist inschrijving via Chrome Browser Cloud Management |

Begin met gebruikersbeleid voor de meeste instellingen. Apparaatbeleid gebruik je voor zaken als netwerkconfiguratie, gast-modus en kiosk-instellingen.

:::tip title="Test eerst in een aparte OU"
Test nieuw beleid altijd eerst in een aparte organisatie-eenheid met een kleine groep testapparaten of testgebruikers. Beleid dat per ongeluk de browser blokkeert, raakt meteen alle gebruikers in die OU.
:::

## Extensies beheren

Extensies zijn een veelvoorkomende behoefte. Je wilt voorkomen dat gebruikers willekeurige extensies installeren die data doorsturen, maar specifieke, goedgekeurde extensies wil je juist afdwingen.

:::howto title="Extensies toestaan, blokkeren of forceren"
1. Ga naar **Admin-console > Apparaten > Chrome > Apps en extensies**.
2. Selecteer de organisatie-eenheid.
3. Klik op het plusje rechtsonder om een extensie toe te voegen via de Chrome Web Store-ID of URL.
4. Kies de installatiemethode: **Geforceerd** (automatisch geinstalleerd, kan niet verwijderd worden), **Toegestaan** (gebruikers installeren zelf) of **Geblokkeerd** (kan niet geinstalleerd worden).
5. Stel optioneel een beheerde configuratie in als de extensie een JSON-configuratieschema ondersteunt.
6. Sla op. De wijziging synchroniseert binnen enkele minuten naar de apparaten.
:::

Wil je alle niet-expliciet-toegestane extensies blokkeren? Ga dan naar **Instellingen > Gebruikers en browsers > Extensies** en zet de standaardinstallatiemethode op **Geblokkeerd**. Voeg daarna alleen de goedgekeurde extensies toe aan de allowlist. Dit is de veiligste basisaanpak: standaard alles dicht, en bewust openzetten wat nodig is.

## Websitebeleid en contentfilters

Chrome-beleid biedt ingebouwde website-filtering via twee lijsten:

- **URLAllowlist:** altijd toestaan, ook als de blokkeerlijst actief is. De allowlist wint van de blocklist.
- **URLBlocklist:** altijd blokkeren.

Ga naar **Admin-console > Apparaten > Chrome > Instellingen > Gebruikers en browsers > URL-blokkering** en voeg patronen toe, bijvoorbeeld `*://*.socialmedia.com/*` om een heel domein te blokkeren.

Voorbeelden van patronen:

- `*` blokkeert alle URL's. Gebruik dit als startpunt in combinatie met een allowlist.
- `https://*.jouwdomein.nl` matcht een specifiek schema en alle subdomeinen.
- `jouwdomein.nl:8080` matcht een specifieke poort.

## Beveiligingsinstellingen

Belangrijke beveiligingsinstellingen die je via beleid afdwingt:

- **Safe Browsing:** ga naar **Instellingen > Gebruikers en browsers > Safe Browsing** en zet dit op de uitgebreide (Enhanced) modus voor maximale bescherming.
- **Wachtwoordbeheer:** schakel de ingebouwde wachtwoordmanager in, of forceer een externe wachtwoordmanager als extensie.
- **Automatische updates:** stel via **Apparaatbeleid > Automatisch bijwerken** het updatekanaal in (Stable voor productie, Beta voor een IT-testgroep) en eventueel een minimale of maximale versie.
- **Inlogbeperking:** beperk via **Apparaatbeleid > Aanmeldingsinstellingen** welke accounts mogen inloggen. Gebruik `*@jouwdomein.nl` om alleen Workspace-accounts van je eigen domein toe te laten.

:::warn title="Begin niet met een totale blokkade"
Een te brede blocklist of een te strikte inlogbeperking sluit gebruikers in een keer buiten. Rol streng beleid stapsgewijs uit per OU en houd `chrome://policy` bij de hand om te zien wat er daadwerkelijk actief is.
:::

## Chrome Browser Cloud Management (CBCM)

Voor Chrome op Windows en macOS (dus niet-Chromebooks) gebruik je Chrome Browser Cloud Management. Dit koppelt de browser aan je Workspace-account, zodat dezelfde Admin-console het beheer regelt.

:::howto title="CBCM activeren en uitrollen"
1. Ga naar **Admin-console > Apparaten > Chrome > Beheerde browsers** (bij Chrome Enterprise Core staat dit onder **Chrome browser > Beheerde browsers**).
2. Klik bovenaan op **Inschrijven** en kopieer de enrollment-token. De eerste keer accepteer je de servicevoorwaarden.
3. Distribueer de token via een GPO of registersleutel op Windows, of via een MDM-profiel op macOS.
4. Na de eerste start registreert de browser zichzelf en valt hij onder het beleid van de gekozen OU.
:::

De enrollment-token wordt alleen tijdens de inschrijving gebruikt. Je kunt hem daarna in de Admin-console intrekken zonder dat de al ingeschreven browsers hun registratie verliezen.

:::faq
### Werkt Chrome-beleid ook als de gebruiker niet is ingelogd in Google?
Gebruikersbeleid werkt alleen wanneer de gebruiker is ingelogd met een Workspace-account in Chrome. Bij anoniem browsen of inloggen met een persoonlijk account is het gebruikersbeleid niet actief. Gebruik CBCM voor apparaatgebonden beleid op Windows en macOS, los van wie er is ingelogd.

### Hoe lang duurt het voordat nieuw beleid actief is?
Chrome controleert standaard ongeveer elke 4 uur op nieuwe beleidswijzigingen. Wil je het meteen toepassen, ga dan in Chrome naar `chrome://policy` en klik op Beleid opnieuw laden. Op Chromebooks gaat het vaak sneller: het beleid synchroniseert meestal binnen enkele minuten na inloggen.

### Kan ik het actieve beleid exporteren voor documentatie?
Ja. Via `chrome://policy` in de browser zie je alle actieve beleidsregels per bron, dus gebruikersbeleid, apparaatbeleid en extensies. Je kunt de pagina kopieren of een screenshot maken. De Admin-console biedt zelf geen kant-en-klare export van een beleidsoverzicht.

### Wat is het verschil tussen een allowlist en een blocklist?
De allowlist staat URL's of extensies expliciet toe, de blocklist blokkeert ze. Bij URL-filtering wint de allowlist altijd van de blocklist, zodat je een breed blok kunt instellen en gericht uitzonderingen kunt toevoegen.

### Geldt Chrome-beleid ook op gedeelde apparaten?
Apparaatbeleid geldt op een Chromebook altijd, ook in gast-modus of op het inlogscherm. Gebruikersbeleid laadt pas zodra iemand inlogt met een Workspace-account, dus stem je instellingen daarop af bij gedeeld gebruik.
:::