Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

Sessiecontrole instellen in Google Workspace

Met Google-sessiecontrole bepaal je hoe lang gebruikers ingelogd blijven en wanneer ze opnieuw moeten authenticeren, een belangrijke knop voor gevoelige omgevingen.

schedule5 min lezen event1 Jun 2026 updateBijgewerkt 15 wkn open_in_new data_object

Wat is sessiecontrole

Sessiecontrole bepaalt hoe lang een gebruikerssessie geldig blijft na de laatste authenticatie. Na het verstrijken van de ingestelde duur moet de gebruiker opnieuw inloggen. Dit verkleint het risico dat een gestolen sessiecookie misbruikt wordt.

Standaard staat de webessieduur voor Google-services in Google Workspace op 14 dagen. Voor organisaties met hogere beveiligingseisen is dat vaak te lang. De sessie voor de Admin Console zelf staat overigens vast op 1 uur en kan niet worden gewijzigd.

Webessieduur instellen

Zo stel je de webessieduur in

  1. Ga naar admin.google.com.
  2. Navigeer naar Beveiliging > Toegangs- en gegevensbeheer > Google-sessiecontrole.
  3. Selecteer een organisatie-eenheid of configuratiegroep, of laat de rootorganisatie staan voor een organisatiebrede instelling.
  4. Kies onder Webessieduur een vooraf ingestelde periode, of stel een aangepaste duur in. De aangepaste waarde kan tussen 1 en 24 uur liggen.
  5. Klik op Opslaan.
warning

Beveiliging versus gemak

Korte sessieduren verbeteren de beveiliging maar vergroten het ongemak voor gebruikers. Een sessie van 1 uur betekent dat medewerkers vaak opnieuw moeten inloggen. Weeg dit af tegen de gevoeligheid van de data en gebruik desnoods Context-Aware Access om alleen onbeheerde of risicovolle situaties korter te houden.

Verschil tussen Google-services en Google Cloud

Naast Google-sessiecontrole voor de gewone webessies (Gmail, Drive, Documenten enzovoort) is er een aparte instelling Google Cloud-sessiecontrole. Daarmee dwing je opnieuw authenticeren af voor apps die de Google Cloud-scope gebruiken.

  • Webessieduur (Google-sessiecontrole): bepaalt na hoeveel tijd een gebruiker zich opnieuw moet aanmelden voor reguliere webtoegang.
  • Beleid voor opnieuw authenticeren (Google Cloud-sessiecontrole): vereist opnieuw authenticeren met een frequentie tussen 1 en 24 uur, met als methode een wachtwoord of een beveiligingssleutel. Je kunt vertrouwde apps hiervan uitzonderen.

De frequentie voor opnieuw authenticeren telt niet de inactiviteit mee, het is de vaste tijd die verstrijkt voordat de gebruiker opnieuw moet inloggen.

Sessies per app-type

Workspace onderscheidt verschillende sessietypes die je apart in de gaten houdt:

  • Webessies: sessies in de browser voor Google-apps. Deze worden beïnvloed door de webessieduur.
  • OAuth-tokens: tokens waarmee externe apps namens gebruikers handelen. Die verlopen niet automatisch met de webessieduur, maar je kunt ze intrekken via het beheer van OAuth-toepassingen (App-toegangscontrole).
  • Mobiele accounts: sessies op Android- en iOS-apparaten. Deze beheer je via Apparaatbeheer, niet via Google-sessiecontrole.

Context-Aware Access combineren

Voor geavanceerde sessiecontrole combineer je de sessieduur met Context-Aware Access (CAA). CAA laat je toegang beperken op basis van:

  • Apparaatconformiteit (wel of geen beheerd apparaat).
  • Locatie (toegestaan IP-bereik of land).
  • Aangepaste toegangsniveau-attributen.

Met CAA kun je bijvoorbeeld instellen dat gebruikers op onbeheerde apparaten geen of beperkte toegang krijgen, terwijl beheerde bedrijfsapparaten ruimere toegang houden.

CAA is beschikbaar in onder meer Enterprise Standard en Enterprise Plus, Frontline Standard en Plus, Education Standard en Plus en Cloud Identity Premium. Voor rijkere, browsergebaseerde signalen gebruik je Chrome Enterprise Premium (de vroegere naam BeyondCorp Enterprise).

Sessies van een specifieke gebruiker intrekken

Als een account gecompromitteerd is of een medewerker vertrekt, beëindig je direct alle actieve sessies.

Sessies van een gebruiker beëindigen

  1. Ga naar Directory > Gebruikers en selecteer de gebruiker.
  2. Open het gedeelte Beveiliging.
  3. Kies de optie om in te loggen ongedaan te maken (afhankelijk van je console heet dit Uitloggen of Aanmeldingscookies opnieuw instellen).
  4. Bevestig de actie.

Dit beëindigt alle actieve webessies van die gebruiker onmiddellijk. De gebruiker moet bij de volgende poging opnieuw inloggen. Overweeg om tegelijk het wachtwoord te resetten en gekoppelde OAuth-tokens in te trekken bij een vermoeden van compromittering.

Sessieactiviteit monitoren

Via Rapporten > Auditlogs > Aanmelden zie je alle aanmeldingen, inclusief tijdstip, apparaat, locatie en of 2-staps-verificatie gebruikt werd. Gebruik deze log om ongebruikelijke sessies te detecteren.

Stel een melding in via de Beheerderswaarschuwingen voor verdachte aanmeldingen, zodat je proactief kunt reageren in plaats van pas achteraf iets te merken.

lightbulb

Begin streng en versoepel daarna

Het is makkelijker om met een korte sessieduur te starten en die te verruimen op basis van klachten, dan om eerst lang toe te staan en later in te perken. Test een nieuwe instelling eerst op een kleine organisatie-eenheid voordat je hem organisatiebreed uitrolt.

Geldt de webessieduur ook voor de mobiele Gmail-app?

Mobiele apps gebruiken OAuth-tokens die afzonderlijk worden beheerd. De instelling voor webessieduur geldt vooral voor webgebaseerde toegang in de browser, niet voor de native mobiele apps.

Kunnen gebruikers de sessieduur omzeilen met "Aangemeld blijven"?

Nee. De sessieduur die de beheerder instelt, overschrijft de gebruikersvoorkeur om aangemeld te blijven.

Wat is het verschil tussen Google-sessiecontrole en Google Cloud-sessiecontrole?

Google-sessiecontrole regelt de webessieduur voor gewone Workspace-apps. Google Cloud-sessiecontrole dwingt opnieuw authenticeren af voor apps die de Google Cloud-scope gebruiken, met een eigen frequentie en methode.

Wat als ik de sessieduur te kort instel en de productiviteit eronder lijdt?

Verhoog de sessieduur, of gebruik Context-Aware Access met ruimere toegang voor conforme apparaten en strengere regels voor onbeheerde apparaten.

Worden externe Workspace-gebruikers (gasten) ook beïnvloed?

Externe gebruikers die apps van jouw organisatie benaderen vallen onder OAuth-tokenbeheer. Gastaccounts hebben hun eigen sessieregels onder hun eigen organisatie.

Heb ik een speciale licentie nodig voor sessiecontrole?

De basis webessieduur is in alle edities beschikbaar. Context-Aware Access en geavanceerdere controles vereisen een hogere editie zoals Enterprise Standard of Plus, of Chrome Enterprise Premium voor browsergebaseerde signalen.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Passkeys gebruiken als authenticatie in Google Workspace

Passkeys vervangen wachtwoorden door een phishing-resistente login met biometrie of pincode. Zo schakel je ze in en beheer je ze in Google Workspace.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

Beheerderswaarschuwingen instellen in Google Workspace

Met beheerderswaarschuwingen ontvang je automatisch een melding bij beveiligingsincidenten, verdacht gedrag of systeemwijzigingen, zodat je proactief reageert zonder handmatig logs te controleren.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

2-stapsverificatie afdwingen voor je organisatie

2-stapsverificatie (2SV) blokkeert vrijwel alle geautomatiseerde accountaanvallen. Als beheerder stel je 2SV verplicht voor alle of specifieke gebruikers via de Admin Console.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

Inlogauditlogs analyseren in Google Workspace

Het aanmeldlog registreert elke aanmelding in je Workspace-organisatie. Leer hoe je het analyseert om verdacht gedrag te detecteren en beveiligingsincidenten te onderzoeken.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward

Hardware-beveiligingssleutels beheren in Google Workspace

Hardware-beveiligingssleutels bieden de sterkste 2SV-bescherming door phishing volledig te blokkeren. Leer hoe je ze uitrolt, beheert en afdwingt in Google Workspace.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward