# Best practices voor adminrolbeheer in Google Workspace

## Waarom adminrolbeheer kritiek is

Beheerdersaccounts zijn de sleutels van je Workspace-omgeving. Een gecompromitteerd beheerdersaccount kan de hele organisatie treffen: gebruikers verwijderen, e-mail onderscheppen of beveiligingsinstellingen uitschakelen.

Goede best practices voor rolbeheer verminderen dit risico door:

- Het aanvalsoppervlak te verkleinen (minder accounts met veel rechten).
- De schade te beperken bij compromittatie (minste privilege).
- De auditbaarheid te verbeteren (duidelijk wie wat mag).

## Superbeheerder spaarzaam gebruiken

De superbeheerder-rol geeft volledige controle over de Workspace-organisatie. Beperk het aantal superbeheerders tot maximaal twee of drie personen, bij voorkeur:

- Een primaire superbeheerder (hoofd IT of IT-manager).
- Een noodtoegangsaccount (break-glass account, zie hieronder).
- Eventueel een secundaire operationele beheerder.

:::warn title="Gebruik superbeheerder niet voor dagelijks werk"
Log voor routinetaken in met een account met beperktere rechten. Gebruik je superbeheerder-account alleen wanneer dat echt nodig is. Zo beperk je het venster waarin een gekaapte sessie maximale schade kan aanrichten.
:::

## Aangepaste rollen aanmaken

Google Workspace levert vooraf ingebouwde rollen zoals Helpdeskbeheerder, Groepenbeheerder en Gebruikersbeheerder. Voldoen die niet precies, maak dan een aangepaste rol met exact de privileges die de taak vereist. Je kunt tot 750 aangepaste rollen per organisatie aanmaken.

:::howto title="Aangepaste rol aanmaken in de Admin Console"
1. Ga naar [admin.google.com](https://admin.google.com).
2. Navigeer naar **Account** > **Beheerdersrollen**.
3. Klik op **Nieuwe rol aanmaken**.
4. Geef de rol een duidelijke naam en beschrijving.
5. Selecteer alleen de privileges die de rol nodig heeft.
6. Klik op **Rol aanmaken**.
7. Wijs de rol toe aan de juiste gebruikers, eventueel beperkt tot specifieke organisatie-eenheden.
:::

Voorbeelden van nuttige aangepaste rollen:

- **Helpdesk-beheerder**: wachtwoord resetten en gebruikers blokkeren, geen instellingen wijzigen.
- **Groepenbeheerder**: groepen aanmaken en beheren, geen andere rechten.
- **Rapportagelezer**: rapporten en auditlogs inzien, geen acties uitvoeren.
- **Apparaatbeheerder**: MDM-beheer, geen gebruikers- of instellingenbeheer.

:::tip title="Beperk rollen tot organisatie-eenheden"
Wijs een rol niet standaard toe over de hele organisatie. Beperk hem waar mogelijk tot de organisatie-eenheid waarvoor de beheerder verantwoordelijk is. Een helpdesk voor de afdeling Sales hoeft geen wachtwoorden van de directie te kunnen resetten.
:::

## Break-glass noodaccount

Een break-glass account is een superbeheerderaccount dat alleen in noodgevallen gebruikt wordt, bijvoorbeeld als het primaire superbeheerderaccount vergrendeld of gecompromitteerd is.

Eigenschappen van een goed break-glass account:

- Sterk, uniek wachtwoord, bewaard in een fysieke kluis of offline wachtwoordmanager.
- Gekoppeld aan een herstel-e-mailadres buiten de Workspace-organisatie.
- 2-stapsverificatie met een hardwaresleutel die ook buiten de organisatie bewaard wordt.
- Wordt nooit voor dagelijks werk gebruikt.
- Wordt elk kwartaal getest om te verifiëren dat het werkt.

## Beheerderacties monitoren

Elke beheerderactie wordt gelogd. Controleer regelmatig:

1. Open **Rapporten** > **Auditlogboek** > **Beheerder**.
2. Filter op acties zoals roltoewijzing, gebruikersverwijdering en instellingswijzigingen.
3. Stel een waarschuwing in voor onverwachte rolwijzigingen.

## Periodieke rolreview

Plan elk kwartaal een rolreview:

1. Exporteer de lijst van beheerders en hun rollen.
2. Trek rollen in van medewerkers die van functie gewisseld zijn.
3. Controleer of aangepaste rollen nog de juiste privileges bevatten.
4. Verwijder ongebruikte rollen.

:::faq
### Kan ik een beheerdersrol instellen die automatisch verloopt?
De Admin Console biedt geen ingebouwde automatische vervaldatum voor beheerdersrollen. Je wijst rollen handmatig toe en trekt ze handmatig in. Voor tijdgebonden toegang gebruik je de Admin SDK om rollen via een script weer in te trekken, of je werkt met groepslidmaatschappen met een vervaldatum (beschikbaar op Enterprise- en Cloud Identity Premium-abonnementen).

### Hoe weet ik welke beheerder wat gedaan heeft?
Via het beheerdersauditlog onder Rapporten. Elke actie is gekoppeld aan het beheerderaccount dat de actie uitvoerde, inclusief tijdstip en doelobject.

### Kunnen beheerders hun eigen rol uitbreiden?
Nee, tenzij ze superbeheerder zijn. Reguliere beheerders kunnen geen rollen of privileges toewijzen die ze zelf niet bezitten.

### Wat doe ik als een beheerder ontslag neemt?
Trek direct alle beheerdersrollen van dat account in en blokkeer het account. Verwijder het account op de laatste werkdag en controleer het auditlog op recente activiteit.

### Hoeveel superbeheerders heb ik minimaal nodig?
Minimaal twee, zodat je nooit volledig buitengesloten raakt als een account uitvalt. Houd het bij voorkeur op twee of drie, plus een apart break-glass noodaccount.
:::