Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

Onbeheerde apparaten blokkeren met endpoint-verificatie

Met endpoint-verificatie en context-aware access geef je in Google Workspace alleen vertrouwde, conforme apparaten toegang tot bedrijfsdata en blokkeer je onbeheerde toestellen, ook bij thuiswerk.

schedule5 min lezen event1 Jun 2026 updateBijgewerkt 17 wkn open_in_new data_object

Thuiswerken en wisselende apparaten maken één vraag urgent: vanaf welk toestel mag iemand bij de bedrijfsdata? Een wachtwoord en 2-staps-verificatie zeggen iets over wie inlogt, maar niets over waarvandaan of met welk apparaat. Met endpoint-verificatie en context-aware access voeg je die laag toe en sluit je onbeheerde of onveilige toestellen buiten.

Wat endpoint-verificatie doet

Endpoint-verificatie verzamelt signalen over apparaten die toegang hebben tot je Workspace: type, besturingssysteem, versie, schijfversleuteling, schermvergrendeling en of het een beheerd apparaat is. Op laptops en desktops gebeurt dat via de endpoint-verificatie-extensie in Chrome (op Windows, Mac en Linux), op mobiel via de Google-apps. ChromeOS heeft de signalen ingebouwd en vraagt geen extensie.

Met die signalen weet je niet alleen wie inlogt, maar ook of het apparaat aan je eisen voldoet. Dat is de basis voor het blokkeren van onbeheerde toestellen.

info

Endpoint-verificatie is licht

Anders dan volledig mobile device management is endpoint-verificatie relatief licht: het rapporteert apparaatstatus zonder het hele toestel over te nemen. Voor laptops is dit vaak de juiste balans tussen controle en gebruiksgemak. Een aparte helper-app is alleen nodig voor specifieke integraties, zoals CrowdStrike Falcon ZTA of certificaat-gebaseerde toegang, niet voor het verzamelen van standaard apparaatsignalen.

Context-aware access

De echte kracht zit in context-aware access (CAA). Daarmee definieer je toegangsniveaus, bijvoorbeeld alleen toegang vanaf een bedrijfsbeheerd apparaat met schijfversleuteling en schermvergrendeling. Naast apparaatstatus kun je een niveau ook baseren op IP-bereik, land of regio. Die niveaus koppel je vervolgens aan apps zoals Gmail, Drive of de Admin Console zelf.

Voldoet een apparaat niet aan het niveau, dan krijgt de gebruiker geen toegang, ongeacht of het wachtwoord en de 2-staps-verificatie kloppen. Zo sluit je onbeheerde toestellen effectief buiten.

Onbeheerde apparaten blokkeren

Werk van inschakelen, via uitrollen, naar een toegangsniveau dat je gefaseerd hard zet.

Onbeheerde apparaten blokkeren

  1. Ga in de Admin Console naar Apparaten > Mobiel en endpoints > Instellingen > Universeel > Gegevenstoegang > Apparaatsignalen en zet het verzamelen van apparaatsignalen via endpoint-verificatie aan.
  2. Rol de endpoint-verificatie-extensie uit naar je beheerde laptops, bij voorkeur als geforceerde installatie via Chrome-beleid.
  3. Laat gebruikers eerst inloggen en de browser verversen, zodat de apparaatsignalen zijn gesynchroniseerd voordat je een beleid hard afdwingt.
  4. Ga naar Beveiliging > Toegang en gegevensbeheer > Context-aware access en maak een toegangsniveau aan.
  5. Stel de voorwaarden in, bijvoorbeeld bedrijfseigendom, schijfversleuteling en schermvergrendeling, en eventueel een minimale OS-versie.
  6. Wijs het toegangsniveau in monitormodus toe aan de relevante apps en organisatie-eenheden en bekijk de impact in de logs.
  7. Zet het niveau pas op actief en test met een onbeheerd apparaat dat de toegang inderdaad geweigerd wordt.
warning

Wacht op synchronisatie voor je afdwingt

Dwing je een apparaatbeleid af voordat een gebruiker is ingelogd op endpoint-verificatie, dan kan diezelfde gebruiker onterecht geblokkeerd worden, ook als het apparaat wél voldoet. Het synchroniseren van apparaatsignalen duurt enkele seconden. Laat mensen dus eerst inloggen en de pagina verversen voordat je de blokkade activeert.

Gefaseerd uitrollen

Begin in monitormodus of met een kleine groep. Een te strenge regel die meteen voor iedereen geldt, kan halve organisaties buitensluiten. Bekijk eerst welke apparaten al voldoen, communiceer wat gebruikers moeten doen, en zet de blokkade pas hard nadat de meeste toestellen conform zijn.

warning

Sluit jezelf niet uit

Een verkeerd geconfigureerd toegangsniveau kan ook beheerders buitensluiten, inclusief jezelf. Zorg altijd voor een noodprocedure of een uitgezonderde admin-account, anders kom je niet meer in de Admin Console.

Beheerd versus onbeheerd

Maak helder onderscheid. Beheerde apparaten zijn bij je organisatie geregistreerd en vallen onder beleid. Onbeheerde apparaten zijn persoonlijke of onbekende toestellen. Je kunt onbeheerde apparaten volledig blokkeren, of ze beperkte toegang geven, bijvoorbeeld alleen webmail zonder downloads.

lightbulb

Blokkeren is niet altijd nodig

Vaak volstaat het om onbeheerde apparaten alleen lichte, web-only toegang te geven zonder de mogelijkheid om bestanden lokaal op te slaan. Zo blijft thuiswerken op een privélaptop mogelijk zonder dat data weglekt.

Onderhoud en monitoring

Apparaatstatus verandert: updates, nieuwe toestellen, vertrekkende medewerkers. Controleer regelmatig het apparaatoverzicht in de Admin Console, ruim oude registraties op en stel je toegangsniveaus bij wanneer je beveiligingseisen veranderen. Houd via de audit-logs zicht op geweigerde toegangspogingen, zodat je verkeerd geconfigureerde niveaus snel opmerkt.

Wat is het verschil tussen endpoint-verificatie en MDM?

Endpoint-verificatie rapporteert apparaatstatus en is relatief licht. Volledige mobile device management neemt meer controle over het toestel over, met onder andere remote wipe en profielbeheer. Voor laptops volstaat endpoint-verificatie vaak.

Kan ik onbeheerde apparaten gedeeltelijk toelaten?

Ja. Met context-aware access geef je onbeheerde apparaten bijvoorbeeld alleen web-only toegang zonder downloads, in plaats van ze volledig te blokkeren.

Sluit ik mezelf als admin ook buiten?

Dat kan gebeuren bij een te strenge regel. Houd altijd een uitgezonderde admin-account of noodprocedure achter de hand voordat je een toegangsniveau hard afdwingt op de Admin Console.

Werkt dit ook bij thuiswerken?

Juist dan. Context-aware access kijkt naar de apparaatstatus, niet alleen naar het netwerk, dus je geeft vertrouwde apparaten toegang ongeacht of iemand op kantoor of thuis zit.

Waarom wordt een conform apparaat soms toch geweigerd?

Meestal omdat de apparaatsignalen nog niet gesynchroniseerd waren toen het beleid werd afgedwongen. Laat de gebruiker inloggen op endpoint-verificatie en de pagina verversen, en wacht enkele seconden voordat je opnieuw test.

Welke voorwaarden kan ik in een toegangsniveau zetten?

Onder meer apparaateigendom, schijfversleuteling, schermvergrendeling, een minimale OS-versie, IP-bereik en land of regio. Je kunt meerdere voorwaarden combineren tot één niveau.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

BYOD-beleid instellen voor persoonlijke apparaten in Workspace

Een BYOD-beleid regelt hoe medewerkers veilig met hun privételefoon of -laptop bij Workspace-data kunnen, met beheer op app-niveau zodat je bedrijfsdata beschermt zonder het hele privétoestel over te nemen.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Zero Trust-model implementeren in Google Workspace

Bouw een Zero Trust-architectuur in Google Workspace met context-aware access, sterke 2FA, apparaatvertrouwen en least privilege, gebaseerd op identiteit en context in plaats van netwerklocatie.

schedule6 min label2 gedeelde tags
Lees verder arrow_forward

Privileged Access Management in Google Workspace

Privileged Access Management beschermt de krachtigste accounts in je omgeving: de beheerders. Leer hoe je beheerdersrechten beperkt, scheidt en monitort met aparte admin-accounts, minimale superbeheerders, fijnmazige rollen en phishing-resistente authenticatie.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

Reports API gebruiken voor Workspace-statistieken

Haal audit-logs en gebruiksrapporten op met de Admin SDK Reports API voor security-monitoring, compliance en capaciteitsplanning.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

OAuth-apps beheren en ongewenste toegang intrekken

Met app access control bepaal je in Google Workspace welke OAuth-apps toegang krijgen tot mail en Drive, en trek je verleende tokens in om grip te houden op je data.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward