# Admin-checklist voor nieuwe Google Workspace-omgevingen

Een nieuwe Google Workspace-omgeving inrichten doe je het liefst een keer goed. Fouten in de basis, zoals een verkeerd ingesteld domein of vergeten beveiliging, kosten later veel tijd. In dit artikel krijg je een complete admin-checklist die je in de juiste volgorde door de opzet leidt.

[[TOC]]

## Begin met domein en DNS

De fundering van je Workspace is je domein. Voordat er ook maar een mailtje binnenkomt, moet Google weten dat het domein van jou is en moet de mailrouting kloppen.

De eerste stap is domeinverificatie. Google geeft je een TXT-record dat je bij je domeinregistrar toevoegt. Daarmee bewijs je dat je eigenaar bent. Daarna stel je de MX-records in die mail naar Google routeren. Zonder correcte MX-records komt er geen mail aan.

:::warn title="Wijzig MX pas bij de echte overstap"
Wijzig MX-records pas als je klaar bent om over te schakelen, want vanaf dat moment gaat alle mail naar Google. Doe je dit te vroeg, terwijl accounts nog niet bestaan, dan bouncet binnenkomende mail. Plan de MX-wijziging als een bewuste overstapstap, niet als eerste handeling.
:::

Vergeet ook de e-mailbeveiligingsrecords niet: SPF, DKIM en DMARC. Deze bewijzen dat mail echt van jouw domein komt en voorkomen dat je mail in spam belandt of dat iemand jouw domein misbruikt.

## Richt beveiliging meteen in

Beveiliging achteraf toevoegen is moeilijker dan het vanaf het begin goed doen. Stel daarom de beveiliging in voordat je gebruikers toelaat. Houd er rekening mee dat Google tweestapsverificatie voor beheerdersaccounts inmiddels verplicht stelt en deze verplichting stapsgewijs uitrolt, dus zet dit hoe dan ook aan.

:::howto title="Beveiligingsbasis inrichten"
1. Dwing **tweestapsverificatie** af voor de hele organisatie, met een korte aanmeldperiode voor nieuwe gebruikers.
2. Beveilig de super admin-accounts met **security keys of passkeys** en het geavanceerde beschermingsprogramma.
3. Stel een wachtwoordbeleid in met eisen aan lengte en sterkte.
4. Configureer welke apps en services aan staan en zet ongebruikte uit.
5. Stel beheerdersmeldingen in voor verdachte activiteit.
6. Richt een noodherstelaccount in voor het geval je buitengesloten raakt.
:::

:::tip title="Bewaar herstelcodes en een tweede admin"
Maak minstens twee super admin-accounts aan en bewaar de herstelcodes en een fysieke security key op een veilige plek buiten de omgeving. Raakt één admin buitengesloten, dan kan de ander altijd nog naar binnen. Sinds tweestapsverificatie verplicht is voor admins, is dit het verschil tussen een korte hapering en een dagenlange lockout.
:::

## Structuur: organisatie-eenheden en groepen

Voordat je honderden gebruikers aanmaakt, denk je na over de structuur. Organisatie-eenheden bepalen welke instellingen voor welke groepen gelden. Je kunt bijvoorbeeld een afdeling andere app-toegang geven dan een andere.

:::info title="Houd je OU-structuur ondiep"
Houd je structuur van organisatie-eenheden niet te diep. Elke laag maakt beheer complexer omdat instellingen overerven van boven naar beneden. Begin simpel, met een paar hoofdeenheden, en voeg diepte toe alleen als je echt verschillende instellingen nodig hebt.
:::

Groepen gebruik je voor mail en voor het delen van toegang. Een groep kan een distributielijst zijn voor mail, maar ook een manier om in een keer toegang te geven aan een hele afdeling.

## Gebruikers, rollen en apps

Nu de fundering staat, voeg je gebruikers toe. Voor een paar mensen doe je dat handmatig, voor veel mensen gebruik je een bulkupload via een CSV-bestand of een koppeling met je personeelssysteem.

De volgorde van de hele opzet ziet er zo uit:

| Stap | Wat je doet |
| --- | --- |
| Domein | Verifieer het domein en stel MX, SPF, DKIM en DMARC in |
| Beveiliging | Dwing tweestapsverificatie af en beveilig de admins |
| Structuur | Maak organisatie-eenheden en groepen aan |
| Gebruikers | Voeg accounts toe, handmatig of via bulkupload |
| Rollen | Wijs beheerdersrollen toe volgens least privilege |
| MX-overstap | Zet als laatste de mailstroom om naar Google |

Wijs beheerdersrollen toe volgens het principe van minimale rechten. Niet iedereen die helpt hoeft super admin te zijn. Gebruik gedelegeerde rollen voor specifieke taken, zoals een helpdeskrol die alleen wachtwoorden mag resetten.

:::tip title="Test eerst met een proefgebruiker"
Maak voor je gaat uitrollen een testgebruiker aan en doorloop daarmee de hele ervaring: inloggen, mail ontvangen, een document delen, een Meet starten. Zo ontdek je configuratiefouten voordat echte gebruikers ertegenaan lopen. Een half uur testen bespaart een dag aan helpdeskvragen.
:::

## Wie doet wat

In de meeste organisaties verdeel je het werk tussen de uitvoerende beheerder en de IT-manager die het beleid bewaakt.

| Rol | Verantwoordelijkheid |
| --- | --- |
| Beheerder | Werkt de checklist stap voor stap af en documenteert elke keuze, zodat een collega later kan zien hoe de omgeving is opgebouwd |
| IT-manager | Bewaakt dat de checklist compleet is en past bij het beleid, keurt de structuur goed en zorgt dat beveiliging en compliance vanaf dag een kloppen |

## Veelgestelde vragen

:::faq
### In welke volgorde moet ik de checklist afwerken?
Begin met domeinverificatie, dan beveiliging, dan structuur, dan gebruikers en als laatste de MX-wijziging als je echt overschakelt. De MX-wijziging is bewust laat omdat die de mailstroom omzet.

### Hoeveel organisatie-eenheden heb ik nodig?
Zo weinig mogelijk. Maak alleen een aparte eenheid als een groep echt andere instellingen nodig heeft. Veel organisaties komen toe met een handvol eenheden. Te veel maakt beheer onnodig ingewikkeld.

### Moet ik SPF, DKIM en DMARC echt instellen?
Ja. Zonder deze records belandt je mail eerder in spam en is je domein kwetsbaar voor misbruik. Het instellen kost wat moeite maar is essentieel voor betrouwbare e-mail.

### Kan ik gebruikers in bulk toevoegen?
Ja, via een CSV-upload in de Admin-console of via een koppeling met je personeelssysteem. Voor meer dan een handvol gebruikers is bulk veel sneller en minder foutgevoelig dan handmatig.

### Is tweestapsverificatie nu verplicht?
Voor beheerdersaccounts maakt Google tweestapsverificatie verplicht en rolt dit stapsgewijs uit. Super admins krijgen ongeveer drie maanden van tevoren bericht, andere admins korter. Zet het daarom direct aan en zorg dat je een tweede admin en herstelopties hebt voordat de verplichting ingaat.

### Wat moet ik klaarzetten om een lockout te voorkomen?
Maak minstens twee super admin-accounts, bewaar de herstelcodes veilig, registreer een fysieke security key of passkey en richt een noodherstel-e-mailadres in. Zo blijf je binnen ook als één account problemen geeft.
:::

Lees ook [[workspace-tenant-instellingen|tenant-brede instellingen]] en [[workspace-domeinen-mx|domeinen en MX-records]] voor de details per onderdeel.