Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

OAuth-apps beheren en ongewenste toegang intrekken

Met app access control bepaal je in Google Workspace welke OAuth-apps toegang krijgen tot mail en Drive, en trek je verleende tokens in om grip te houden op je data.

schedule4 min lezen event1 Jun 2026 updateBijgewerkt 17 wkn open_in_new data_object

Een medewerker koppelt een handige tool aan zijn Workspace-account, geeft toestemming voor toegang tot Gmail en Drive, en klaar. Maar die tool houdt die toegang, ook als niemand er nog naar omkijkt. Vermenigvuldig dat met honderden gebruikers en je hebt een onzichtbaar toegangsnetwerk. OAuth-app-beheer geeft je daar grip op.

Hoe OAuth-toegang werkt

Wanneer een gebruiker een externe app koppelt, vraagt die app via OAuth toestemming voor bepaalde scopes: lezen van mail, beheren van Drive-bestanden, versturen namens de gebruiker. De gebruiker geeft toestemming en de app krijgt een token waarmee het herhaaldelijk toegang heeft, zonder steeds opnieuw in te loggen.

Dat is handig, maar ook een risico. Een gecompromitteerde of kwaadaardige app met brede scopes kan veel data benaderen. En tokens blijven geldig tot ze worden ingetrokken.

info

Scopes bepalen de impact

De gevoeligheid van een OAuth-koppeling zit in de scopes. Toegang tot alleen de basisprofielgegevens is laag risico; volledige lees- en schrijftoegang tot Gmail en Drive is hoog risico. Beoordeel apps op de scopes die ze vragen, niet alleen op de naam.

App access control

Met app access control bepaal je centraal wat externe apps mogen. Je vindt dit in de Admin Console onder Security, Access and data control, API controls, App access control (klik op Manage Third-Party App Access). Per app of per dienst stel je het toegangsniveau in:

  • Trusted: de app krijgt toegang tot alle Google Workspace-diensten en scopes, ook beperkte.
  • Specific Google data: de app krijgt alleen toegang tot de scopes die jij expliciet opgeeft.
  • Limited: de app krijgt alleen toegang tot niet-beperkte diensten.
  • Blocked: de app krijgt geen enkele toegang tot Google-data.

Apps die je niet hebt ingesteld, worden standaard geblokkeerd. Vraagt een gebruiker toegang tot zo'n app, dan komt het verzoek in een lijst die jij kunt goedkeuren, blokkeren of negeren.

lightbulb

Werk met een allowlist

Hanteer voor gevoelige scopes een allowlist-aanpak: blokkeer standaard alle apps en sta alleen expliciet goedgekeurde toe. Dat is veiliger dan reageren op risico's nadat apps al toegang hebben gekregen.

Verleende toegang controleren

In de Admin Console zie je een overzicht van apps die toegang hebben en hoeveel gebruikers ze koppelden. Loop dit periodiek na. Apps met brede scopes en weinig gebruikers, of apps die je niet herkent, verdienen extra aandacht.

Ongewenste OAuth-toegang intrekken

  1. Ga naar Security, Access and data control, API controls.
  2. Open het overzicht van apps met toegang en bekijk de gevraagde scopes.
  3. Identificeer apps die je niet herkent of die te brede toegang hebben.
  4. Stel de app onder App access control op Blocked.
  5. Trek bestaande tokens in zodat de huidige toegang direct vervalt.
  6. Informeer betrokken gebruikers en bied indien nodig een goedgekeurd alternatief.

Toegang intrekken

Een app blokkeren voorkomt nieuwe koppelingen, maar bestaande tokens moet je actief intrekken om lopende toegang te stoppen. Doe beide bij een verdachte of ongewenste app. Bij een vermoeden van misbruik trek je de toegang direct in en onderzoek je wat de app heeft benaderd, bijvoorbeeld via het securityonderzoekvenster en de logboeken.

warning

Blokkeer niet blind

Het blokkeren van een veelgebruikte app kan workflows verstoren als gebruikers erop leunen. Communiceer voor je een breed gebruikte app blokkeert, en bied waar mogelijk een goedgekeurd alternatief, anders zoeken gebruikers riskante omwegen.

Beleid en bewustwording

Stel een beleid op voor welke apps gebruikers mogen koppelen en maak duidelijk hoe ze een nieuwe app laten goedkeuren. Combineer techniek met bewustwording: gebruikers die begrijpen waarom je apps controleert, koppelen bewuster en melden eerder iets verdachts.

Wat is een OAuth-scope?

Een scope is het specifieke recht dat een app vraagt, bijvoorbeeld mail lezen of Drive-bestanden beheren. De scopes bepalen hoeveel toegang en dus hoeveel risico een koppeling met zich meebrengt.

Stopt een app blokkeren de bestaande toegang?

Niet automatisch. Blokkeren voorkomt nieuwe koppelingen, maar bestaande tokens moet je apart intrekken om lopende toegang direct te stoppen.

Hoe weet ik welke apps toegang hebben?

In de Admin Console onder Security, Access and data control, API controls staat een overzicht van gekoppelde apps, de gevraagde scopes en het aantal gebruikers. Loop dit periodiek na.

Wat is een allowlist-aanpak?

Je blokkeert standaard alle apps voor gevoelige scopes en staat alleen expliciet goedgekeurde apps toe. Dat is veiliger dan achteraf reageren op apps die al toegang hebben.

Welke toegangsniveaus zijn er per app?

Trusted geeft toegang tot alle diensten, Specific Google data tot alleen de scopes die je opgeeft, Limited alleen tot niet-beperkte diensten, en Blocked tot niets.

Welke rechten heb ik nodig om dit in te stellen?

Je hebt de beheerdersrechten voor service-instellingen nodig. Vraag je organisatiebeheerder om deze rol als je de API controls niet ziet.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Break-glass admin-account aanmaken in Google Workspace

Een break-glass admin-account is een noodaccount met supergebruikersrechten dat je alleen gebruikt als je reguliere beheerders zijn buitengesloten. Je beveiligt het met fysieke beveiligingssleutels, bewaart de gegevens offline in een kluis en monitort elk gebruik via reporting rules.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward

Reports API gebruiken voor Workspace-statistieken

Haal audit-logs en gebruiksrapporten op met de Admin SDK Reports API voor security-monitoring, compliance en capaciteitsplanning.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

De Security Investigation Tool gebruiken voor incidentonderzoek

De Security Investigation Tool (SIT) is het centrale onderzoeksinstrument in de Admin Console: doorzoek logs over Gmail, Drive, apparaten en aanmeldingen, koppel events aan elkaar en voer direct herstelacties uit zoals het schorsen van accounts.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward

Wat doe je als een beheerder zichzelf heeft buitengesloten?

Een buitengesloten beheerder herstel je het snelst via een tweede beheerder of break-glass-account dat de 2SV reset. Ontbreekt die, dan gebruik je Googles accountherstel met domeinverificatie via DNS, dat enkele dagen kan duren.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

Best practices voor super admins in Google Workspace

Een super admin in Google Workspace heeft de sleutels tot het hele koninkrijk. Leer de belangrijkste best practices: beperk het aantal super admins, dwing security keys of passkeys af, gebruik gedelegeerde rollen, en richt een herstelaccount in.

schedule6 min label2 gedeelde tags
Lees verder arrow_forward