Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

Inlogchallenge instellen in Google Workspace

De inlogchallenge vraagt gebruikers bij verdachte aanmeldingen om extra verificatie, ook als 2-stapsverificatie niet verplicht is. Zo bescherm je accounts tegen ongebruikelijke toegangspogingen.

schedule5 min lezen event1 Jun 2026 updateBijgewerkt 15 wkn open_in_new data_object

Wat is een inlogchallenge

De inlogchallenge van Google is een adaptief beveiligingsmechanisme. Wanneer een aanmelding afwijkt van het normale patroon van een gebruiker, vraagt Google automatisch om extra verificatie voordat de aanmelding wordt toegestaan. Denk aan:

  • Aanmelden vanuit een onbekend land of IP-adres.
  • Aanmelden op een nieuw of onbekend apparaat.
  • Aanmelden na een lange periode van inactiviteit.
  • Meerdere mislukte aanmeldpogingen vooraf.

De inlogchallenge is een aanvulling op 2-stapsverificatie (2SV). Zelfs gebruikers zonder 2SV krijgen een challenge als de aanmelding risicovol lijkt. Belangrijk: dit is geen instelling die je per organisatie aan of uit zet. De challenge staat altijd aan en Google bepaalt centraal wanneer hij verschijnt.

info

Standaard ingeschakeld

De risicogebaseerde inlogchallenge is standaard actief voor elk Workspace-account. Je kunt hem niet voor je hele organisatie uitschakelen, alleen tijdelijk per gebruiker (zie verderop). Dat is een bewuste keuze van Google om accountovernames tegen te gaan.

Hoe de inlogchallenge werkt

Bij een verdachte aanmelding onderbreekt Google het inlogproces en toont een verificatiestap. Afhankelijk van de beschikbare gegevens van de gebruiker kan dit zijn:

  • Bevestiging via een eerder ingelogd apparaat (Google-prompt), een SMS of een telefoonoproep.
  • Een verificatiecode naar het herstel-e-mailadres.
  • De werknemers-ID, als je die challenge hebt ingeschakeld en de ID in het profiel staat.

Google kiest zelf welke verificatie het meest geschikt is. Ook als je werknemers-ID hebt ingeschakeld, wordt die challenge niet bij elke verdachte aanmelding gevraagd. Houd er ook rekening mee dat de klassieke beveiligingsvraag niet meer als challenge wordt gebruikt; zorg daarom dat gebruikers actuele herstelgegevens of een werknemers-ID hebben.

Werknemers-ID als extra challenge toevoegen

Een werknemers-ID is moeilijker te raden of te phishen dan veel andere verificatiemethoden. Je kunt hem instellen als optionele challenge, maar alleen als de ID in het profiel van de gebruiker is ingevuld.

Werknemers-ID als inlogchallenge inschakelen

  1. Zorg eerst dat de werknemers-ID's in de gebruikersprofielen staan. Vul dit handmatig in via Directory > Gebruikers of synchroniseer het met Google Cloud Directory Sync vanuit Active Directory of een LDAP-bron.
  2. Ga naar admin.google.com en open Beveiliging > Verificatie > Inloguitdagingen.
  3. Selecteer links de organisatie-eenheid waarvoor je de challenge wilt instellen.
  4. Vink Werknemers-ID gebruiken om mijn gebruikers veiliger te maken aan.
  5. Klik op Opslaan.
warning

Vul de ID's eerst in

Schakel de werknemers-ID-challenge pas in als de ID's daadwerkelijk in de profielen staan. Anders kan Google de challenge niet aanbieden en valt de gebruiker terug op andere verificatiemethoden. Voor deze instelling heb je het beheerdersrecht voor gebruikersbeveiliging nodig.

Herstelgegevens up-to-date houden

Als een gebruiker geen herstelinformatie heeft, kan Google bij een inlogchallenge geen verificatiecode sturen. Zonder 2SV en zonder herstelgegevens kan dat tot buitensluiting leiden.

Verplicht of stimuleer daarom dat gebruikers hun herstel-e-mailadres en telefoonnummer invullen. Bekijk wie nog gegevens mist via Rapporten > Gebruikersrapporten > Beveiliging en let op de kolommen voor herstel-e-mail en hersteltelefoonnummer. Stuur gebruikers zonder herstelgegevens een melding om dit aan te vullen.

Legacy-apps en automatisering

Sommige legacy-applicaties of scriptomgevingen werken niet goed met inlogchallenges. Schakel de challenge daarom niet uit (dat kan ook niet voor de hele organisatie), maar gebruik een geschikte authenticatiemethode:

  • OAuth 2.0: de moderne standaard voor apps van derde partijen.
  • Serviceaccounts: voor geautomatiseerde processen die namens je organisatie draaien.
  • App-wachtwoorden: alleen nog voor oudere apps die geen moderne authenticatie ondersteunen; vermijd dit waar mogelijk.

Een gebruiker tijdelijk deblokkeren

Komt een gebruiker niet door de challenge, bijvoorbeeld omdat hij geen herstelapparaat bij de hand heeft, dan kun je de challenge kort uitzetten of het wachtwoord opnieuw instellen.

Inlogchallenge tijdelijk uitschakelen voor een gebruiker

  1. Ga naar Directory > Gebruikers en open het betreffende account.
  2. Klik op Beveiliging.
  3. Klik op Inloguitdaging en daarna op Uitschakelen voor 10 minuten.
  4. Laat de gebruiker binnen dat tijdvenster inloggen.

Lukt inloggen ook daarna niet, dan kun je het wachtwoord van de gebruiker opnieuw instellen om toegang te verlenen tot een sessie die door een mislukte verificatie is geblokkeerd.

Aanmeldingen monitoren

Via Rapporten > Auditlogs > Aanmelding zie je alle aanmeldingen en of er een challenge is verstuurd. Filter op aanmeldgebeurtenissen om verdachte pogingen in beeld te krijgen. Stel daarnaast een beheerderswaarschuwing in voor mislukte challenges, zodat je snel kunt reageren bij mogelijk gecompromitteerde accounts.

Inlogchallenge en gefedereerde identiteit (SSO)

Gebruik je SSO met een externe identiteitsprovider (IdP), dan verloopt de eerste authenticatie via die IdP. Google kan voor het Google-deel van de sessie alsnog een verificatie tonen. Onder Beveiliging > Verificatie > Inloguitdagingen vind je de instelling voor verificatie na SSO (post-SSO verification). Zorg dat je SSO-configuratie de herstelstromen correct afhandelt.

Kunnen beheerders een inlogchallenge handmatig triggeren?

Niet direct. Een beheerder kan wel een sessie intrekken, waarna de gebruiker bij de volgende aanmelding opnieuw wordt beoordeeld door het risico-algoritme van Google.

Wat als een gebruiker de challenge niet kan voltooien?

Schakel de challenge tijdelijk uit voor die gebruiker (10 minuten) via Directory, Gebruikers, Beveiliging, Inloguitdaging. Lukt het daarna nog niet, dan kun je het wachtwoord opnieuw instellen om toegang te verlenen tot de geblokkeerde sessie.

Is de inlogchallenge anders dan 2-stapsverificatie?

Ja. 2SV vraag je in bij elke aanmelding zodra je het verplicht stelt. De inlogchallenge is adaptief en verschijnt alleen bij aanmeldingen die Google als risicovol beoordeelt.

Kan ik de drempel voor wat als verdacht geldt aanpassen?

Nee. Google beheert het risico-algoritme centraal en je kunt de gevoeligheid niet via de console instellen. Je kunt de bescherming wel versterken door 2SV te verplichten en werknemers-ID als challenge toe te voegen.

Kan ik de inlogchallenge voor mijn hele organisatie uitzetten?

Nee. Dat is bewust niet mogelijk. Je kunt de challenge alleen tijdelijk per gebruiker uitschakelen, voor 10 minuten.

Welke verificaties kan de challenge vragen?

Een bevestiging via een eerder gebruikt apparaat, SMS of telefoonoproep, een code naar het herstel-e-mailadres, of de werknemers-ID als je die hebt ingeschakeld. Google kiest zelf de meest geschikte methode.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Overzicht van het Google Workspace Admin-dashboard

Het Google Workspace Admin-dashboard op admin.google.com is je centrale plek om gebruikers, beveiliging, apps en rapporten te beheren; dit artikel laat zien hoe het is opgebouwd en hoe je snel je weg vindt.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

Context-aware access instellen in Google Workspace

Context-aware access verleent of weigert toegang tot Workspace-apps op basis van context zoals identiteit, locatie, apparaatstatus en IP-adres, ingesteld via toegangsniveaus in de Admin Console.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward

Workspace-auditlogs in BigQuery analyseren

Exporteer Google Workspace-auditlogs naar BigQuery en schrijf SQL-queries voor beveiligingsanalyse, gebruiksrapportages en compliance-monitoring.

schedule6 min label2 gedeelde tags
Lees verder arrow_forward

Gebruiker ontvangt geen verificatiecode: oplossingen

Een verificatiecode die niet aankomt ligt meestal aan een verkeerd of verouderd telefoonnummer, een netwerkprobleem, vol sms-geheugen of vertraging bij de provider. Controleer het nummer, probeer een spraakoproep en val terug op back-upcodes of een authenticator-app.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward

Chrome-beleid instellen via de Google Admin Console

Chrome-beleid stel je centraal in via de Admin Console onder Apparaten > Chrome, per organisatie-eenheid: geforceerde extensies, opstart-URL's, beveiligingsopties en meer, zonder dat je lokaal op elk toestel iets hoeft te doen.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward