Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

Geavanceerd beveiligingsprogramma voor Workspace

Het Geavanceerd beveiligingsprogramma van Google biedt de sterkste bescherming voor high-risk gebruikers in Workspace. Leer hoe je het inschakelt, welke factoren je gebruikt en wat het blokkeert.

schedule5 min lezen event1 Jun 2026 updateBijgewerkt 15 wkn open_in_new data_object

Wat is het Geavanceerd beveiligingsprogramma?

Het Geavanceerd beveiligingsprogramma (Advanced Protection Program) van Google is de sterkste beveiligingsoptie die beschikbaar is. Het is ontworpen voor gebruikers met een hoog risicoprofiel: executives, journalisten, politici, beveiligingsonderzoekers en anderen die doelwit kunnen zijn van gerichte aanvallen.

Het programma omvat:

  • Verplichte phishing-bestendige authenticatie met een passkey of een fysieke beveiligingssleutel (FIDO2) als tweede factor
  • Blokkering van niet-geverifieerde derde-partij apps
  • Uitgebreide scans van e-mailbijlagen vóór bezorging
  • Versterkte accountherstelprocessen die bewust langzamer, maar veiliger zijn
warning

Bedoeld voor een selecte groep

Het Geavanceerd beveiligingsprogramma is bedoeld voor een kleine groep high-risk gebruikers. De extra beperkingen, met name de blokkering van derde-partij apps, kunnen de dagelijkse workflow verstoren. Bespreek de gevolgen met gebruikers voordat je ze inschrijft.

Wat is er nieuw in 2026?

Sinds maart 2026 hoeven gebruikers niet langer per se een fysieke beveiligingssleutel te kopen. Ze kunnen zich nu ook inschrijven met een passkey op een toestel dat ze al bezitten, zoals een telefoon of laptop. Dat maakt het programma toegankelijker voor mensen die op reis zijn of geen fysieke sleutel kunnen aanschaffen, terwijl de phishing-bestendige bescherming behouden blijft.

Een fysieke beveiligingssleutel blijft een uitstekende, en voor sommige organisaties verplicht gestelde, optie. Een passkey is een volwaardig alternatief.

Vereisten

  • Een phishing-bestendige tweede factor per gebruiker: een passkey op een vertrouwd toestel of een fysieke beveiligingssleutel (FIDO2)
  • Een back-up-herstelfactor: een tweede passkey, een reserve-beveiligingssleutel of een herstel-telefoonnummer en herstel-e-mailadres
  • Verificatie in twee stappen ingeschakeld voor de betrokken gebruikers

Aanbevolen hardware zijn de Titan Security Keys van Google of andere FIDO2-compatibele sleutels. De huidige Titan-sleutel kost ongeveer 25 tot 35 dollar (circa 30 tot 45 euro) en kan tot 250 passkeys opslaan.

lightbulb

Twee factoren als vangnet

Registreer altijd minstens twee factoren, bijvoorbeeld een passkey op je telefoon plus een fysieke reserve-sleutel. Bewaar de reserve-sleutel op een veilige fysieke locatie, los van je dagelijkse toestel. Raken alle factoren kwijt, dan is accountherstel een tijdrovend proces.

Beschikbaarheid per editie

Het inschrijven van gebruikers in het Geavanceerd beveiligingsprogramma kan in alle Workspace-edities. Enkele aanvullende voordelen verschillen wel per editie:

  • Uitgebreide scans van bijlagen vóór bezorging zijn beschikbaar voor alle edities.
  • De Security Sandbox, die verdachte bijlagen in een geïsoleerde omgeving uitvoert, is alleen beschikbaar in de Enterprise-editie.

Controleer dus niet alleen of je gebruikers kunt inschrijven, maar ook welke detectievoordelen je editie biedt.

Gebruikers inschrijven via de Admin Console

Je hebt een super-admin-account nodig. Schakel vooraf verificatie in twee stappen in voor de betrokken gebruikers, en bekijk je instellingen voor toegang van derde-partij apps onder Beveiliging > Toegang en gegevensbeheer > API-beheer.

Inschrijving inschakelen

  1. Log in op de Admin Console via admin.google.com met een super-admin-account.
  2. Ga naar Beveiliging > Authenticatie > Geavanceerd beveiligingsprogramma.
  3. Selecteer de gebruikers of organisatie-eenheden die je wilt laten inschrijven.
  4. Schakel de inschrijving voor die groep in.
  5. Communiceer de overgangstermijn: hoeveel tijd hebben gebruikers om een passkey of beveiligingssleutel te registreren.

Gebruikers voorbereiden

Communiceer duidelijk voordat je gebruikers inschrijft. Leg uit:

  • wat het programma inhoudt en waarom zij worden ingeschreven
  • welke derde-partij apps mogelijk niet meer werken
  • hoe ze een passkey of hardware-sleutel registreren
  • wat te doen als ze hun factor verliezen

Een passkey of beveiligingssleutel registreren

Tweede factor toevoegen

  1. De gebruiker gaat naar myaccount.google.com/security.
  2. Klik op Verificatie in twee stappen.
  3. Kies Passkeys en beveiligingssleutels en klik op Maak een passkey of Beveiligingssleutel toevoegen.
  4. Voor een passkey: volg de prompt op het toestel (vingerafdruk, gezicht of pincode). Voor een sleutel: steek hem in de USB-poort of koppel via NFC.
  5. Volg de instructies op het scherm.
  6. Registreer een tweede factor als back-up.

Wat het programma blokkeert

Beperkingen voor derde-partij apps

Apps die via OAuth toegang vragen tot Gmail, Drive of andere Workspace-services worden geblokkeerd, tenzij ze voldoen aan de programma-vereisten. De uitzondering zijn first-party Google-apps en specifiek goedgekeurde apps.

Dat betekent dat tools zoals Slack, Zoom, Salesforce en andere OAuth-integraties niet meer werken op ingeschreven accounts, tenzij ze op de door Google goedgekeurde lijst staan.

Strikte aanmeldingsvereisten

  • Een phishing-bestendige factor (passkey of beveiligingssleutel) is verplicht bij het aanmelden.
  • Sms-codes, codes uit authenticator-apps en back-up codes worden niet meer geaccepteerd als tweede factor.
  • Bij elk nieuw apparaat of elke nieuwe browser moet de gebruiker zich opnieuw verifiëren met de sterke factor.

Accountherstel

Accountherstel bij verlies van alle factoren is bewust trager dan normaal:

  • Het herstelproces kan meerdere dagen duren.
  • Google verifieert de identiteit via meerdere stappen.
  • Een beheerder kan het herstelproces starten voor werknemersaccounts.

Juist daarom is een geregistreerde back-up-factor zo belangrijk: daarmee voorkom je dat een gebruiker dagenlang buitengesloten raakt.

Kunnen gebruikers zich zelf inschrijven?

Ja. Individuele gebruikers kunnen het programma activeren via myaccount.google.com. Beheerders kunnen het ook afdwingen via de Admin Console voor specifieke groepen of organisatie-eenheden.

Moet ik nog een fysieke beveiligingssleutel kopen?

Niet per se. Sinds 2026 kun je je inschrijven met een passkey op een toestel dat je al hebt. Een fysieke sleutel blijft een goede optie en kan door een organisatie verplicht worden gesteld, maar is geen absolute voorwaarde meer.

Werkt Google Workspace Sync for Microsoft Outlook nog na inschrijving?

Nee. GWSMO (Google Workspace Sync for Microsoft Outlook) is een derde-partij app die door het programma wordt geblokkeerd. Gebruikers schakelen over naar de Gmail-webinterface of de Google Workspace-add-in voor Outlook.

Kan de beheerder het programma uitschakelen voor een gebruiker?

Ja. Beheerders kunnen de inschrijving intrekken via de Admin Console. De gebruiker verliest dan de extra bescherming, maar krijgt ook de normale app-functionaliteit terug.

Hoeveel kosten hardware-sleutels?

Google Titan Security Keys kosten ongeveer 25 tot 35 dollar (circa 30 tot 45 euro) per sleutel. Voor sommige high-risk groepen heeft Google sleutels gratis verstrekt. Gezien het risico van een account-overname is dit een kleine investering.

Is het programma beschikbaar voor alle Workspace-edities?

Het inschrijven van gebruikers kan in alle edities. Sommige aanvullende detectievoordelen verschillen wel: uitgebreide scans van bijlagen gelden voor alle edities, terwijl de Security Sandbox alleen in de Enterprise-editie beschikbaar is.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

2-stapsverificatie afdwingen voor je organisatie

2-stapsverificatie (2SV) blokkeert vrijwel alle geautomatiseerde accountaanvallen. Als beheerder stel je 2SV verplicht voor alle of specifieke gebruikers via de Admin Console.

schedule5 min label4 gedeelde tags
Lees verder arrow_forward

Hardware-beveiligingssleutels beheren in Google Workspace

Hardware-beveiligingssleutels bieden de sterkste 2SV-bescherming door phishing volledig te blokkeren. Leer hoe je ze uitrolt, beheert en afdwingt in Google Workspace.

schedule5 min label4 gedeelde tags
Lees verder arrow_forward

Passkeys gebruiken als authenticatie in Google Workspace

Passkeys vervangen wachtwoorden door een phishing-resistente login met biometrie of pincode. Zo schakel je ze in en beheer je ze in Google Workspace.

schedule5 min label4 gedeelde tags
Lees verder arrow_forward

MFA uitrollen voor je hele Workspace-organisatie

Faseplan om verplichte 2-stapsverificatie in te voeren in Google Workspace zonder dat je helpdesk omvalt.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Beheerderswaarschuwingen instellen in Google Workspace

Met beheerderswaarschuwingen ontvang je automatisch een melding bij beveiligingsincidenten, verdacht gedrag of systeemwijzigingen, zodat je proactief reageert zonder handmatig logs te controleren.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward