# 2-stapsverificatie tijdelijk uitschakelen voor een gebruiker Soms moet je 2-stapsverificatie kort versoepelen, bijvoorbeeld als een gebruiker zijn telefoon kwijt is en geen back-upcode heeft. Dat kan, maar doe het beheerst zodat het account niet langer dan nodig onbeschermd is. In veel gevallen is volledig uitschakelen helemaal niet nodig: vaak helpt een back-upcode de gebruiker net zo snel verder, met behoud van de beveiliging. ## Eerst dit: vaak hoef je 2SV niet uit te zetten Google raadt af om 2-stapsverificatie voor een uitgesloten gebruiker uit te zetten. De aanbevolen route is om de gebruiker een back-upcode te geven, waarmee diegene direct kan inloggen en daarna een nieuwe factor instelt. Alleen als dat geen optie is, kies je voor een tijdelijke uitzondering. :::tip title="Begin met een back-upcode" Open het gebruikersprofiel, ga naar **Beveiliging** en **2-stapsverificatie** en kies **Back-upcodes ophalen**. Geef de gebruiker één code waarmee diegene inlogt en meteen een nieuwe telefoon of beveiligingssleutel registreert. Alleen een super-admin kan back-upcodes voor andere beheerders genereren; voor gewone gebruikers volstaat een gewone beheerdersrol. ::: ## Verschil tussen resetten en uitschakelen Er zijn twee scenario's die mensen door elkaar halen. Bij resetten verwijder je de geregistreerde tweede factoren van de gebruiker, zodat die opnieuw kan inschrijven. Bij uitschakelen geef je de gebruiker een periode waarin 2SV niet verplicht is. :::info title="Reset versus uitzondering" Een reset is bedoeld voor een verloren of vervangen apparaat: de gebruiker logt in met alleen het wachtwoord en stelt direct een nieuwe factor in. Een handhavingsuitzondering schort de verplichting tijdelijk op voor een groep of organisatie-eenheid. ::: ## 2SV resetten voor één gebruiker Als een back-upcode niet werkt of de gebruiker geen factoren meer heeft, reset je de inschrijving. De gebruiker kan dan met alleen het wachtwoord inloggen en meteen een nieuwe tweede factor registreren. :::howto title="2SV-inschrijving resetten" 1. Open `admin.google.com` en ga naar **Directory** en **Gebruikers**. 2. Klik op de gebruiker en open het tabblad **Beveiliging**. 3. Vouw **2-stapsverificatie** uit. 4. Kies de optie om de bestaande tweede factoren te verwijderen of de inschrijving te resetten. 5. Laat de gebruiker inloggen en direct een nieuwe factor instellen. ::: :::tip title="Geef ook back-upcodes mee" Genereer voor de gebruiker meteen een set back-upcodes. Zo kan diegene altijd inloggen terwijl de nieuwe telefoon of beveiligingssleutel nog onderweg is. Nieuwe codes maken de oude automatisch ongeldig. ::: ## Een tijdelijke handhavingsuitzondering Wil je 2SV voor één gebruiker of een hele groep even niet afdwingen, bijvoorbeeld tijdens een migratie, dan werk je met organisatie-eenheden of een configuratiegroep. De nette aanpak is de gebruiker tijdelijk in een organisatie-eenheid zonder verplichte 2SV te plaatsen. :::danger title="Beperk de blootstelling" Het volledig uitschakelen van 2SV verlaagt de beveiliging van het account drastisch. Doe dit alleen voor de strikt noodzakelijke gebruiker en periode, en zet de handhaving daarna direct weer aan. ::: Onder **Beveiliging**, **Authenticatie** en **2-stapsverificatie** stel je de handhaving per organisatie-eenheid in. Let op de volgorde van prioriteit: een configuratiegroep overschrijft de instelling van een organisatie-eenheid. Wil je een uitzondering via een groep regelen, controleer dan dat de onderliggende organisatie-eenheid van de gebruiker 2SV niet alsnog afdwingt. Voor nieuwe gebruikers kun je daarnaast een inschrijvingsperiode instellen van 1 dag tot 6 maanden, waarin zij met alleen hun wachtwoord kunnen inloggen voordat de verplichting ingaat. ## Na het opnieuw inschrijven Zodra de gebruiker een nieuwe factor heeft, zet je de handhaving weer aan of plaats je de gebruiker terug in de juiste organisatie-eenheid. Controleer in het auditlogboek dat de nieuwe inschrijving daadwerkelijk is gelukt en dat het account weer onder de standaard 2SV-handhaving valt. :::faq ### Verlies ik gegevens als ik 2SV reset? Nee, een reset raakt alleen de geregistreerde tweede factoren. De mailbox, bestanden en instellingen blijven ongewijzigd. ### Moet ik 2SV uitzetten of een back-upcode geven? Geef bij voorkeur een back-upcode. Google raadt af om 2SV voor een uitgesloten gebruiker uit te zetten, omdat het account dan onbeschermd is. Met een back-upcode logt de gebruiker direct in en stelt meteen een nieuwe factor in. ### Kan de gebruiker zonder 2SV inloggen na een reset? Ja, tot het moment dat 2SV weer verplicht is. Daarom moet de nieuwe inschrijving snel gebeuren. ### Wat als de gebruiker ook het wachtwoord kwijt is? Reset dan eerst het wachtwoord en daarna de 2SV-inschrijving, zodat de gebruiker met beide opnieuw kan beginnen. ### Kan ik 2SV voor één gebruiker uitzetten zonder de hele organisatie te raken? Ja, plaats de gebruiker tijdelijk in een organisatie-eenheid zonder verplichte 2SV, of gebruik een configuratiegroep die de verplichting niet afdwingt. Zet de gebruiker daarna terug. ### Hoe voorkom ik dat ik dit vaak moet doen? Laat gebruikers meerdere factoren registreren, zoals een telefoon plus back-upcodes, zodat verlies van één factor niet meteen tot een lockout leidt. :::