# iOS-beheerprofiel installeren voor Google Workspace ## Twee opties: basisbeheer of geavanceerd beheer Google Workspace biedt twee beheerniveaus voor iOS-apparaten: | Niveau | Vereiste | Mogelijkheden | |---|---|---| | Basisapparaatbeheer | Alleen Google-account koppelen | Apparaat op afstand wissen, accountwachtwoord afdwingen | | Geavanceerd beheer (MDM) | iOS-beheerprofiel installeren | Wachtwoordbeleid, app-beheer, verliesbeveiliging, compliance-controles | Voor zakelijk gebruik is geavanceerd beheer aanbevolen. Met alleen basisbeheer kun je wel een apparaat wissen, maar je hebt geen controle over wachtwoordinstellingen, versleuteling of app-installaties. ## Voordat je begint Voor het instellen van iOS-beheer gelden twee harde vereisten: - Je bent ingelogd als super-administrator. Een gewone beheerder kan het Apple Push-certificaat niet aanvragen of vernieuwen. - Je gebruikt een Chromium-browser (zoals Google Chrome of Edge) om het certificaat te downloaden. In andere browsers mislukt de download. :::warn title="Eerst het APNs-certificaat, dan de rest" Zonder een geldig Apple Push-certificaat (APNs) kun je geen enkel iOS-apparaat in geavanceerd beheer nemen. Regel dit certificaat altijd als eerste stap. ::: ## iOS-beheerprofiel genereren en distribueren In juni 2026 staat de iOS-configuratie in de Admin-console onder **Apparaten > Mobiele apparaten en eindpunten > Instellingen > iOS**. De oudere benaming "Mobiele en desktop-apparaten" verwijst naar hetzelfde onderdeel. :::howto title="iOS-beheerprofiel uitrollen" 1. Ga naar **Apparaten > Mobiele apparaten en eindpunten > Instellingen > iOS**. 2. Stel het **Apple Push-certificaat (APNs)** in als je dat nog niet hebt. Volg de stappen in de console om het certificaat aan te vragen via een bedrijfs-`Apple-ID` op de Apple-portal. 3. Schakel **geavanceerd mobiel beheer** in voor de organisatie-eenheid waarop het van toepassing moet zijn. 4. Laat gebruikers de **Google Device Policy-app** installeren of het beheerprofiel ophalen via de inschrijflink. 5. Distribueer de inschrijving naar gebruikers via een van de onderstaande methoden. ::: Kies de distributiemethode die past bij je organisatie: - **Inschrijflink of e-mail:** stuur gebruikers de link naar de inschrijfpagina van Workspace. - **QR-code:** plaats een QR-code naar de inschrijfpagina op een intern portaal of instructieblad. - **Apple Business Manager:** koppel je organisatie aan Apple Business Manager om bedrijfseigen apparaten automatisch in te schrijven, zonder dat de gebruiker iets hoeft te doen. ### Installatie-instructies voor de gebruiker Op het iOS-apparaat zelf: 1. Open de inschrijflink of de Device Policy-app en log in met het Workspace-account. 2. iOS toont de melding `Profiel gedownload`. Ga naar de app **Instellingen**. 3. Tik bovenaan op **Profiel gedownload**. 4. Tik op **Installeren** en voer de toegangscode van het apparaat in. 5. Bevestig de installatie. Het apparaat is nu ingeschreven. :::tip title="Laat medewerkers zichzelf inschrijven" Maak een instructiepagina in Google Sites of een intern portaal met een QR-code naar de inschrijflink. Zo schrijven medewerkers zich zelf in zonder dat IT elk apparaat in handen hoeft te nemen. ::: ## APNs-certificaat: kritieke vereiste Het APNs-certificaat is de vertrouwde verbinding tussen Google Workspace en de Push Notification-infrastructuur van Apple. Zonder dit certificaat kan Google geen beleid sturen naar iOS-apparaten en krijgen gebruikers geen toegang tot Workspace-apps op beheerde apparaten. Het certificaat verloopt jaarlijks. Als het verloopt, verliezen ingeschreven iOS-apparaten de verbinding met het Workspace-beleid en moeten apparaten in veel gevallen opnieuw worden ingeschreven. Google stuurt waarschuwingen in het Waarschuwingscentrum op **30 dagen, 10 dagen en 1 dag** voor de vervaldatum, en nog een melding zodra het certificaat is verlopen. Een verlopen certificaat kun je niet meer vernieuwen, dus verleng altijd ruim op tijd. Verleng het via **Apparaten > Mobiele apparaten en eindpunten > Instellingen > iOS > Apple Push-certificaat**. :::warn title="Gebruik hetzelfde Apple-ID bij verlengen" Verleng het certificaat met exact hetzelfde Apple-ID dat je voor de oorspronkelijke aanvraag gebruikte. Bij een ander Apple-ID maakt Apple een nieuw certificaat aan en moeten alle apparaten opnieuw worden ingeschreven. ::: ## Beleidsregels voor iOS Na inschrijving stel je beleid in onder **Apparaten > Mobiele apparaten en eindpunten > Instellingen > Universele instellingen** en de specifieke iOS-instellingen. Veelgebruikte instellingen: - **Toegangscode vereisen:** minimale lengte, complexiteitseisen en verloopinterval. - **Gegevensversleuteling:** op iOS standaard actief zodra er een toegangscode is ingesteld. - **Schermvergrendeling:** automatische vergrendeling na een vast aantal minuten. - **iCloud-back-up:** uitschakelen voor apparaten die zakelijke data bevatten. - **Apps blokkeren of toestaan:** beheer welke apps op het apparaat zijn toegestaan. ## Werk en privé scheiden op persoonlijke apparaten Wil je alleen de zakelijke data beheren op een privételefoon en de persoonlijke data met rust laten, gebruik dan **Apple User Enrollment** in combinatie met Apple Business Manager. Daarbij beheert Workspace uitsluitend de werkaccounts en werkapps, en blijft de privégegevens van de medewerker buiten bereik. Voor apparaten met iOS 18 en nieuwer is account-gebaseerde inschrijving (account-driven user enrollment) verplicht. Op iOS 17 en eerder is dat optioneel. Houd hier rekening mee als je een gemengd wagenpark beheert. :::faq ### Kan ik ook persoonlijke apps op een zakelijk beheerd iOS-apparaat installeren? Ja. Standaard iOS-beheer via Google Workspace is geen volledig dichtgetimmerde omgeving zoals supervised mode met Apple Business Manager. Gebruikers kunnen persoonlijke apps installeren naast zakelijke apps. Voor strikte scheiding van werk en privé gebruik je Apple User Enrollment of bedrijfseigen apparaten via Apple Business Manager. ### Wat gebeurt er als een gebruiker het profiel verwijdert? Het apparaat verliest dan de verbinding met Workspace-beheer en wordt in de Admin-console als niet-beheerd gemarkeerd. Afhankelijk van je beleid kun je het account blokkeren wanneer het apparaat niet meer voldoet aan de compliance-eisen. ### Is het APNs-certificaat gratis? Ja. Het APNs-certificaat is gratis en wordt aangevraagd via de portal van Apple. Je hebt wel een Apple-ID nodig. Gebruik een bedrijfs-Apple-ID, niet een persoonlijk account, zodat het beheer niet afhankelijk is van een specifieke medewerker. ### Waarom moet ik super-administrator zijn? Het aanvragen en vernieuwen van het Apple Push-certificaat is een organisatiebrede instelling die alleen voor super-admins beschikbaar is. Een gewone beheerder ziet de optie niet of kan de download niet starten. ### Welke browser heb ik nodig om het certificaat te downloaden? Gebruik een Chromium-browser zoals Google Chrome of Microsoft Edge. In andere browsers kan het downloaden van het certificaat mislukken. ### Wat gebeurt er als het APNs-certificaat verloopt? Ingeschreven iOS-apparaten verliezen de verbinding met het Workspace-beleid en kunnen Workspace-apps op het beheerde apparaat niet meer benaderen. Een verlopen certificaat kun je niet vernieuwen, waardoor je een nieuw certificaat moet aanmaken en apparaten opnieuw moet inschrijven. :::