# Chromebooks inschrijven voor bedrijfsbeheer

## Waarom Chromebooks inschrijven

Een niet-ingeschreven Chromebook is een persoonlijk apparaat. De gebruiker beheert het zelf, kan elk account koppelen, elk beleid uitschakelen en de inhoud kan niet centraal gewist worden bij verlies.

Na inschrijving (enrollment) heeft de beheerder volledige controle:

- Beleidsregels toepassen (netwerkinstellingen, apps verplicht installeren, websites blokkeren).
- Apparaat op afstand blokkeren of wissen.
- Updates beheren via release-kanalen.
- Rapporten bekijken: aanmeldingen, hardware-status, activiteit.

Ingeschreven apparaten zijn gekoppeld aan de organisatie, niet aan een persoon. Als een medewerker vertrekt, wijs je het apparaat toe aan een nieuwe gebruiker zonder het opnieuw in te stellen.

:::warn title="Eerst inschrijven, dan inloggen"
Je moet een Chromebook inschrijven voordat iemand zich erop aanmeldt. Logt een gebruiker eerst in, dan moet je het apparaat wissen (Powerwash) en de enrollment opnieuw starten.
:::

## Handmatige enrollment

:::howto title="Chromebook handmatig inschrijven"
1. Zet de Chromebook aan. Als het apparaat al geconfigureerd is, wis het dan eerst via **Instellingen > Geavanceerd > Instellingen resetten > Powerwash**.
2. Doorloop de setup tot het scherm waar je een gebruiksoptie kiest. Druk op **Ctrl+Alt+E** om direct naar het enrollment-scherm te springen.
3. Het enterprise-enrollmentscherm verschijnt. Voer het e-mailadres in van een beheerder of een speciaal enrollment-account.
4. Voer het wachtwoord in. Vul indien gevraagd een asset-ID en locatie in en kies het juiste licentietype.
5. Bevestig de enrollment. Het apparaat wordt ingeschreven en herstart automatisch.
6. Na herstart logt de eindgebruiker in met zijn Workspace-account. Het beleid wordt automatisch toegepast.
:::

:::tip title="Gebruik een apart enrollment-account"
Maak een apart enrollment-account aan (bijvoorbeeld `enrollment@joudomein.nl`) met alleen de rechten om apparaten in te schrijven. Zo hoef je geen volledige beheerdersgegevens in te voeren op elk apparaat en beperk je het risico als een apparaat verkeerd geconfigureerd raakt.
:::

## Zero-touch enrollment voor bulkuitrol

Bij grote aantallen Chromebooks is handmatige enrollment te tijdrovend. Google biedt zero-touch enrollment: apparaten die je koopt bij een gecertificeerde reseller of fabrikant worden direct gekoppeld aan jouw Workspace-account. De eindgebruiker hoeft alleen maar in te loggen; de enrollment gebeurt automatisch bij de eerste keer opstarten.

**Vereisten voor zero-touch enrollment:**

1. Koop Chromebooks bij een pre-provisioning-partner (reseller, distributeur of fabrikant) die zero-touch enrollment ondersteunt.
2. Maak in de Admin-console een zero-touch-token aan en deel dit met de partner. Houd ook je Workspace-klant-ID bij de hand (te vinden in Admin-console > Account > Accountinstellingen).
3. De partner registreert de apparaten zodat Google ze aan jouw domein koppelt.
4. Zodra het apparaat voor het eerst opstart en verbinding maakt met internet, wordt het automatisch ingeschreven, zonder Ctrl+Alt+E.

Controleer in Admin-console > Apparaten > Chrome > Apparaten of de apparaten zichtbaar zijn na inschrijving.

## Organisatie-eenheden en apparaatbeheer

Na enrollment wijs je apparaten toe aan een organisatie-eenheid (OU). Beleid wordt per OU ingesteld. Zo geef je Chromebooks op de salesafdeling andere apps dan die in de productie.

Ga naar Admin-console > Apparaten > Chrome > Apparaten. Selecteer een apparaat en kies **Verplaatsen naar OU**. Selecteer de gewenste OU. Het beleid van die OU wordt binnen enkele minuten toegepast.

Standaardinstellingen die je per OU beheert:

- **Geforceerde re-enrollment**: als een gebruiker de Chromebook wist, wordt hij automatisch opnieuw ingeschreven bij de volgende keer opstarten.
- **Beperkte aanmelding**: alleen accounts uit jouw domein mogen inloggen.
- **Gast-browsersessie**: aan of uit.
- **Netwerkinstellingen**: wifi-configuraties automatisch uitrollen.

## Licenties: wat je nodig hebt

Dit is het meest misverstane onderdeel. Een Google Workspace-abonnement alleen is niet genoeg om Chromebooks te beheren. Voor elk apparaat dat je vanuit de Admin-console beheert heb je een ChromeOS-beheerlicentie nodig.

| Licentie | Wat het biedt | Looptijd |
| --- | --- | --- |
| ChromeOS Enterprise Upgrade | Volledig apparaatbeheer voor bedrijven | Jaarlijks (standalone) of voor de levensduur (gebundeld in het apparaat) |
| ChromeOS Education Upgrade | Apparaatbeheer voor onderwijs | Doorgaans permanent |
| Kiosk & Signage Upgrade | Beheer van kiosk- en digital-signage-apparaten | Jaarlijks |

Veel zakelijke Chromebooks (Chromebook Enterprise-modellen) hebben de Enterprise Upgrade al ingebouwd voor de hele levensduur van het apparaat. Heb je gewone Chromebooks gekocht, dan koop je een losse upgrade per apparaat. Je kunt niet meer apparaten inschrijven dan je upgrades hebt; bij te weinig licenties krijg je een foutmelding en mislukt de enrollment.

Controleer in Admin-console > Facturering of je voldoende licenties hebt voor het aantal apparaten dat je wilt beheren.

:::warn title="Account-type bepaalt de functies"
Schrijf je een apparaat met een Enterprise Upgrade in onder een onderwijsaccount (of andersom), dan kun je sommige functies die exclusief zijn voor het andere accounttype niet gebruiken. Stem het licentietype en je Workspace-accounttype dus op elkaar af.
:::

:::faq
### Heb ik genoeg aan mijn Google Workspace-abonnement om Chromebooks te beheren?
Nee. Een Workspace-abonnement geeft je de Admin-console, maar voor het beheren van elk afzonderlijk ChromeOS-apparaat heb je een aparte ChromeOS Enterprise Upgrade, Education Upgrade of Kiosk & Signage Upgrade nodig, per apparaat.

### Kan ik een al geconfigureerde Chromebook inschrijven?
Ja, maar je moet de Chromebook eerst wissen via een Powerwash (Instellingen, Geavanceerd, Instellingen resetten). Enrollment werkt alleen vanuit een schone staat. Sla eerst alle data van de gebruiker op in Google Drive.

### Wat gebeurt er als een medewerker een ingeschreven Chromebook mee naar huis neemt?
De Chromebook blijft ingeschreven en valt onder het beleid van de organisatie, ook thuis. Beleidsregels zoals een geforceerde VPN of website-filtering zijn dan ook actief op het thuisnetwerk. Overweeg een aparte OU voor thuiswerkers met een lichter beleid.

### Kan ik een Chromebook uitschrijven?
Ja, als beheerder kun je een Chromebook uitschrijven via Admin-console, Apparaten, Chrome. Het apparaat verliest dan alle organisatiegebonden instellingen en wordt een persoonlijk apparaat. Forceer daarna een Powerwash om alle organisatiedata te verwijderen.

### Wat is het verschil tussen handmatige en zero-touch enrollment?
Bij handmatige enrollment druk je per apparaat op Ctrl+Alt+E en voer je inloggegevens in. Bij zero-touch koppelt de reseller of fabrikant de apparaten vooraf aan jouw domein, zodat ze zichzelf inschrijven bij de eerste keer opstarten. Zero-touch is bedoeld voor grootschalige uitrol.
:::