# Onbeheerde apparaten blokkeren met endpoint-verificatie

Thuiswerken en wisselende apparaten maken één vraag urgent: vanaf welk toestel mag iemand bij de bedrijfsdata? Een wachtwoord en 2-staps-verificatie zeggen iets over wie inlogt, maar niets over waarvandaan of met welk apparaat. Met endpoint-verificatie en context-aware access voeg je die laag toe en sluit je onbeheerde of onveilige toestellen buiten.

## Wat endpoint-verificatie doet

Endpoint-verificatie verzamelt signalen over apparaten die toegang hebben tot je Workspace: type, besturingssysteem, versie, schijfversleuteling, schermvergrendeling en of het een beheerd apparaat is. Op laptops en desktops gebeurt dat via de endpoint-verificatie-extensie in Chrome (op Windows, Mac en Linux), op mobiel via de Google-apps. ChromeOS heeft de signalen ingebouwd en vraagt geen extensie.

Met die signalen weet je niet alleen wie inlogt, maar ook of het apparaat aan je eisen voldoet. Dat is de basis voor het blokkeren van onbeheerde toestellen.

:::info title="Endpoint-verificatie is licht"
Anders dan volledig mobile device management is endpoint-verificatie relatief licht: het rapporteert apparaatstatus zonder het hele toestel over te nemen. Voor laptops is dit vaak de juiste balans tussen controle en gebruiksgemak. Een aparte helper-app is alleen nodig voor specifieke integraties, zoals CrowdStrike Falcon ZTA of certificaat-gebaseerde toegang, niet voor het verzamelen van standaard apparaatsignalen.
:::

## Context-aware access

De echte kracht zit in context-aware access (CAA). Daarmee definieer je toegangsniveaus, bijvoorbeeld alleen toegang vanaf een bedrijfsbeheerd apparaat met schijfversleuteling en schermvergrendeling. Naast apparaatstatus kun je een niveau ook baseren op IP-bereik, land of regio. Die niveaus koppel je vervolgens aan apps zoals Gmail, Drive of de Admin Console zelf.

Voldoet een apparaat niet aan het niveau, dan krijgt de gebruiker geen toegang, ongeacht of het wachtwoord en de 2-staps-verificatie kloppen. Zo sluit je onbeheerde toestellen effectief buiten.

## Onbeheerde apparaten blokkeren

Werk van inschakelen, via uitrollen, naar een toegangsniveau dat je gefaseerd hard zet.

:::howto title="Onbeheerde apparaten blokkeren"
1. Ga in de Admin Console naar **Apparaten > Mobiel en endpoints > Instellingen > Universeel > Gegevenstoegang > Apparaatsignalen** en zet het verzamelen van apparaatsignalen via endpoint-verificatie aan.
2. Rol de endpoint-verificatie-extensie uit naar je beheerde laptops, bij voorkeur als geforceerde installatie via Chrome-beleid.
3. Laat gebruikers eerst inloggen en de browser verversen, zodat de apparaatsignalen zijn gesynchroniseerd voordat je een beleid hard afdwingt.
4. Ga naar **Beveiliging > Toegang en gegevensbeheer > Context-aware access** en maak een toegangsniveau aan.
5. Stel de voorwaarden in, bijvoorbeeld bedrijfseigendom, schijfversleuteling en schermvergrendeling, en eventueel een minimale OS-versie.
6. Wijs het toegangsniveau in **monitormodus** toe aan de relevante apps en organisatie-eenheden en bekijk de impact in de logs.
7. Zet het niveau pas op actief en test met een onbeheerd apparaat dat de toegang inderdaad geweigerd wordt.
:::

:::warn title="Wacht op synchronisatie voor je afdwingt"
Dwing je een apparaatbeleid af voordat een gebruiker is ingelogd op endpoint-verificatie, dan kan diezelfde gebruiker onterecht geblokkeerd worden, ook als het apparaat wél voldoet. Het synchroniseren van apparaatsignalen duurt enkele seconden. Laat mensen dus eerst inloggen en de pagina verversen voordat je de blokkade activeert.
:::

## Gefaseerd uitrollen

Begin in monitormodus of met een kleine groep. Een te strenge regel die meteen voor iedereen geldt, kan halve organisaties buitensluiten. Bekijk eerst welke apparaten al voldoen, communiceer wat gebruikers moeten doen, en zet de blokkade pas hard nadat de meeste toestellen conform zijn.

:::warn title="Sluit jezelf niet uit"
Een verkeerd geconfigureerd toegangsniveau kan ook beheerders buitensluiten, inclusief jezelf. Zorg altijd voor een noodprocedure of een uitgezonderde admin-account, anders kom je niet meer in de Admin Console.
:::

## Beheerd versus onbeheerd

Maak helder onderscheid. Beheerde apparaten zijn bij je organisatie geregistreerd en vallen onder beleid. Onbeheerde apparaten zijn persoonlijke of onbekende toestellen. Je kunt onbeheerde apparaten volledig blokkeren, of ze beperkte toegang geven, bijvoorbeeld alleen webmail zonder downloads.

:::tip title="Blokkeren is niet altijd nodig"
Vaak volstaat het om onbeheerde apparaten alleen lichte, web-only toegang te geven zonder de mogelijkheid om bestanden lokaal op te slaan. Zo blijft thuiswerken op een privélaptop mogelijk zonder dat data weglekt.
:::

## Onderhoud en monitoring

Apparaatstatus verandert: updates, nieuwe toestellen, vertrekkende medewerkers. Controleer regelmatig het apparaatoverzicht in de Admin Console, ruim oude registraties op en stel je toegangsniveaus bij wanneer je beveiligingseisen veranderen. Houd via de audit-logs zicht op geweigerde toegangspogingen, zodat je verkeerd geconfigureerde niveaus snel opmerkt.

:::faq
### Wat is het verschil tussen endpoint-verificatie en MDM?
Endpoint-verificatie rapporteert apparaatstatus en is relatief licht. Volledige mobile device management neemt meer controle over het toestel over, met onder andere remote wipe en profielbeheer. Voor laptops volstaat endpoint-verificatie vaak.

### Kan ik onbeheerde apparaten gedeeltelijk toelaten?
Ja. Met context-aware access geef je onbeheerde apparaten bijvoorbeeld alleen web-only toegang zonder downloads, in plaats van ze volledig te blokkeren.

### Sluit ik mezelf als admin ook buiten?
Dat kan gebeuren bij een te strenge regel. Houd altijd een uitgezonderde admin-account of noodprocedure achter de hand voordat je een toegangsniveau hard afdwingt op de Admin Console.

### Werkt dit ook bij thuiswerken?
Juist dan. Context-aware access kijkt naar de apparaatstatus, niet alleen naar het netwerk, dus je geeft vertrouwde apparaten toegang ongeacht of iemand op kantoor of thuis zit.

### Waarom wordt een conform apparaat soms toch geweigerd?
Meestal omdat de apparaatsignalen nog niet gesynchroniseerd waren toen het beleid werd afgedwongen. Laat de gebruiker inloggen op endpoint-verificatie en de pagina verversen, en wacht enkele seconden voordat je opnieuw test.

### Welke voorwaarden kan ik in een toegangsniveau zetten?
Onder meer apparaateigendom, schijfversleuteling, schermvergrendeling, een minimale OS-versie, IP-bereik en land of regio. Je kunt meerdere voorwaarden combineren tot één niveau.
:::