# Privileged Access Management in Google Workspace

Privileged Access Management in Google Workspace draait om de accounts die de meeste schade kunnen aanrichten: de beheerders. Een gecompromitteerd gebruikersaccount is vervelend, maar een gecompromitteerd superbeheerdersaccount is een ramp. De aanvaller kan dan alles: data exporteren, accounts overnemen en beveiliging uitzetten. Daarom verdienen privileged accounts speciale bescherming.

[[TOC]]

## Waarom beheerdersaccounts apart staan

Beheerdersaccounts zijn het kroonjuweel voor een aanvaller. Met superbeheerderrechten kan iemand de hele organisatie overnemen. Tegelijk worden deze accounts vaak slordig gebruikt: dezelfde beheerder mailt, browst en beheert met hetzelfde account. Elke phishing-mail die de beheerder opent, brengt dan de hele omgeving in gevaar.

De oplossing is scheiding en beperking. Beheerwerk gebeurt met een apart account dat verder nergens voor wordt gebruikt.

:::warn title="Het grootste enkele risico"
Een superbeheerdersaccount dat ook voor dagelijkse mail en browsen wordt gebruikt is in veel Workspace-omgevingen het grootste enkele risico. Een enkele phishing-klik op dat account geeft de aanvaller volledige controle. Scheid beheer en dagelijks gebruik altijd in twee aparte accounts.
:::

## Aparte admin-accounts

Geef elke beheerder twee accounts: een gewoon gebruikersaccount voor dagelijks werk en een apart admin-account voor beheer. Het admin-account gebruik je alleen in de Admin-console en log je daarbuiten nergens mee in.

| Account | Waarvoor | Beveiliging |
| --- | --- | --- |
| Dagelijks account | Mail, agenda, documenten | Standaard 2-staps-verificatie |
| Admin-account | Uitsluitend beheer in de Admin-console | Security key of passkey verplicht |
| Geen mail op admin-account | Verkleint het phishing-aanvalsvlak | Advanced Protection Program aan |

Het admin-account ontvangt idealiter geen e-mail en wordt niet gebruikt om te browsen. Daardoor komt er vrijwel geen phishing binnen op het account dat de meeste macht heeft.

## Minimaliseer superbeheerders

Superbeheerders hebben volledige rechten. Hoe minder van die accounts, hoe kleiner het risico. Veel organisaties hebben er te veel uit gemak.

:::howto title="Superbeheerders terugbrengen"
1. Inventariseer in de Admin-console wie superbeheerder is via **Account** en **Beheerdersrollen**.
2. Bepaal wie echt volledige rechten nodig heeft; meestal slechts enkele personen.
3. Ken de overige beheerders een beperkte rol toe die past bij hun taak.
4. Houd minstens twee superbeheerders aan zodat je nooit buitengesloten raakt.
5. Bewaar herstelcodes van superbeheerders veilig en offline.
6. Review de lijst elk kwartaal.
:::

:::tip title="Houd minstens twee superbeheerders"
Houd altijd minstens twee superbeheerders, maar niet meer dan nodig. Met slechts een loop je het risico volledig buitengesloten te raken bij verlies van het account. Bewaar de herstelinformatie van die accounts op een veilige, offline plek die los staat van Workspace zelf.
:::

## Fijnmazige beheerdersrollen

Workspace kent vooraf gedefinieerde beheerdersrollen zoals gebruikersbeheer, helpdesk en groepsbeheer. Daarnaast kun je aangepaste rollen maken met precies de rechten die iemand nodig heeft. Zo geef je de helpdesk wachtwoordreset-rechten zonder toegang tot beveiligingsinstellingen.

:::info title="Least privilege in de praktijk"
Een helpdeskmedewerker die alleen wachtwoorden hoeft te resetten, heeft geen toegang nodig tot DLP-regels of data-export. Maak een aangepaste rol met uitsluitend de benodigde rechten. Zo beperk je de schade als zo'n account wordt gecompromitteerd.
:::

## Phishing-resistente authenticatie afdwingen

Beheerdersaccounts horen de sterkste, phishing-resistente authenticatie te hebben. Security keys en passkeys zijn hiervoor de standaard, geen sms-codes. Sinds 2026 zijn passkeys algemeen beschikbaar voor Workspace, en je kunt in de Admin-console afdwingen dat passkeys alleen op hardware security keys mogen staan.

Schrijf je superbeheerders en andere accounts met toegang tot gevoelige data ook in voor het Advanced Protection Program. Dat dwingt een fysieke FIDO2-security key af voor 2-staps-verificatie en blokkeert zwakkere methoden zoals sms.

:::tip title="Passkeys beperken tot hardware keys"
In de Admin-console ga je naar **Beveiliging**, **Authenticatie** en vervolgens de instelling voor passkeys. Kies de optie om passkeys alleen op hardware security keys toe te staan. Zo voorkom je dat een beheerder een passkey op een minder vertrouwd apparaat zet.
:::

## Just-in-time toegang

In een ideale opzet zijn rechten niet permanent maar tijdgebonden. Iemand krijgt verhoogde rechten alleen voor de duur van een specifieke taak. Workspace zelf heeft hiervoor beperkte ingebouwde mogelijkheden, maar je kunt het benaderen door rollen tijdelijk toe te kennen en weer in te trekken, eventueel geautomatiseerd via de Admin SDK. Voor resources in Google Cloud is er wel een aparte, volwaardige Privileged Access Manager met goedkeuringsstromen en tijdgebonden toegang, maar dat is een Google Cloud IAM-functie en niet hetzelfde als de Workspace Admin-console.

## Monitoring van privileged acties

Alle beheerdersacties horen gelogd en gemonitord te worden. Het admin-audit-log toont elke wijziging in de console. Stel waarschuwingen in voor gevoelige acties zoals het toekennen van superbeheerderrechten of het uitzetten van beveiligingsfuncties. Zie [[workspace-siem-koppeling|logs koppelen aan een SIEM]].

:::faq
### Hoeveel superbeheerders moet ik hebben?
Zo min mogelijk, maar minstens twee om buitensluiting te voorkomen. Voor de meeste organisaties zijn twee tot vier voldoende, afhankelijk van omvang en beschikbaarheidseisen.

### Waarom een apart admin-account in plaats van extra beveiliging op een bestaand account?
Scheiding verkleint het aanvalsvlak. Een admin-account dat nooit mailt of browst, krijgt vrijwel geen phishing binnen. Dat is veiliger dan een zwaarbeveiligd maar veelgebruikt account.

### Moet ik security keys verplichten voor admins?
Ja. Beheerdersaccounts horen de sterkste, phishing-resistente authenticatie te hebben. Security keys of passkeys zijn hiervoor de standaard, geen sms-codes. Schrijf gevoelige accounts ook in voor het Advanced Protection Program.

### Heeft Google Workspace een ingebouwde Privileged Access Manager?
De Workspace Admin-console heeft alleen beperkte mogelijkheden voor tijdgebonden rollen. Een volwaardige Privileged Access Manager met goedkeuringsstromen bestaat wel, maar dat is een functie van Google Cloud IAM voor cloud-resources, niet van de Workspace-console zelf.

### Hoe houd ik just-in-time toegang werkbaar?
Begin eenvoudig met handmatig toekennen en intrekken voor gevoelige taken. Automatiseer later via de Admin SDK als het volume het rechtvaardigt.

### Hoe controleer ik achteraf wat een beheerder heeft gedaan?
Gebruik het admin-audit-log in de Admin-console. Dat toont elke wijziging per beheerder. Koppel de logs aan een SIEM voor langere bewaartermijnen en realtime waarschuwingen op gevoelige acties.
:::

Met aparte admin-accounts, een minimum aan superbeheerders, fijnmazige rollen en strakke monitoring bescherm je de accounts die er het meest toe doen. Privileged Access Management is geen luxe maar de basis van een veilige Workspace-omgeving.