# MFA uitrollen voor je hele Workspace-organisatie Verplichte 2-stapsverificatie (2SV) is de beveiligingsmaatregel met de hoogste impact die je in Google Workspace kunt nemen. Het beschermt accounts ook als een wachtwoord lekt. Sinds Google passkeys ondersteunt is dit eenvoudiger geworden: een passkey of hardware security key biedt dezelfde phishing-bestendige bescherming, zonder dat gebruikers nog codes hoeven over te typen. Houd er rekening mee dat Google zelf 2-stapsverificatie inmiddels afdwingt voor beheerdersaccounts. Super Admins krijgen daarover doorgaans ongeveer 90 dagen vooraf bericht, andere admins ongeveer 60 dagen. Het loont dus om dit gepland te doen in plaats van te wachten tot het verplicht wordt. ## Fase 1: Voorbereiden - Maak een security-group `2fa-pilot` met 5 tot 10 vroege adopters. - Schaf voor minimaal alle Super Admins twee hardware security keys aan (bijvoorbeeld Yubikey), zodat een verloren sleutel niemand buitensluit. - Zet passkeys aan als toegestane methode, want die werken op telefoon en laptop zonder extra hardware. - Schrijf een korte interne FAQ en een stap-voor-stap-handleiding. :::tip title="Begin met de mensen met de meeste toegang" Forceer 2SV eerst bij je admins en bij accounts met toegang tot gevoelige data. Daar is het risico het grootst en het aantal gebruikers het kleinst, dus de helpdeskdruk blijft laag terwijl je de grootste winst pakt. ::: ## Fase 2: Pilot Forceer 2SV alleen voor de pilotgroep. Ga in de Admin Console naar Beveiliging, dan Authenticatie en vervolgens 2-stapsverificatie, en pas de instelling toe op de configuratiegroep `2fa-pilot`. Groepsinstellingen overschrijven de instelling van een organisatie-eenheid, dus je kunt zo gericht een kleine groep aanzetten. Laat de pilot minimaal een week draaien en verzamel feedback over hapering bij inschrijven, herstel en mobiel gebruik. ## Fase 3: Brede uitrol :::info title="Communicatie-template per e-mail" Verstuur ruim voor de deadline een e-mail met: - Wat 2-stapsverificatie is en waarom het verplicht wordt. - Een stap-voor-stap setup-handleiding, met een passkey als aanbevolen methode. - Het contact van de helpdesk bij vragen. - Een duidelijke deadline om het zelf in te schakelen, bijvoorbeeld over 14 dagen. ::: Zet in deze fase 2SV op "toestaan" met een inschrijfperiode, zodat gebruikers zich alvast kunnen aanmelden voordat het afgedwongen wordt. ## Fase 4: Forceren Na de deadline zet je het afdwingen van 2-stapsverificatie aan voor de hele organisatie. Wie zich nog niet heeft ingeschreven, wordt bij de volgende aanmelding gevraagd dit alsnog te doen. :::warn title="Voorkom dat je jezelf buitensluit" Zorg dat je als Super Admin een back-up-sleutel hebt of dat er een tweede Super Admin met een werkende sleutel is voordat je het afdwingen aanzet. Bewaar daarnaast back-up-codes op een veilige plek. Zonder dit kun je jezelf permanent uit het beheer sluiten. ::: ## Welke methode per rol Kies de sterkste methode die haalbaar is. Phishing-bestendige methodes (passkey of security key) hebben de voorkeur boven codes via een app, en sms is de zwakste optie. Google raadt sms als tweede stap af omdat het kwetsbaar is voor onderschepping; gebruik het hooguit als tijdelijke terugvaloptie. | Rol | Aanbevolen methode | |---|---| | Eindgebruiker | Passkey of authenticator-app | | Admin | Hardware security key of passkey verplicht | | Super Admin | Twee hardware security keys plus back-up-codes | ## Veelvoorkomende valkuilen - Te krappe inschrijfperiode, waardoor de helpdesk op de deadline overspoeld raakt. Plan 7 tot 14 dagen. - Geen back-up-methode voor gebruikers die hun telefoon of sleutel kwijtraken. - Afdwingen aanzetten zonder eerst je eigen Super Admin-herstel te regelen. :::faq ### Wat is het verschil tussen een passkey en een security key? Een passkey is een phishing-bestendige inlogsleutel die je op je telefoon of laptop opslaat, beveiligd met je vingerafdruk, gezicht of pincode. Een security key is een los fysiek apparaatje, zoals een Yubikey. Beide bieden in Google Workspace dezelfde sterke bescherming; passkeys zijn handiger voor de meeste gebruikers, fysieke keys zijn ideaal voor admins. ### Moet ik sms nog toestaan als tweede stap? Liever niet als hoofdmethode. Sms is gevoelig voor onderschepping en simswapping. Bied het hooguit aan als tijdelijke terugvaloptie en stuur gebruikers richting een passkey, een authenticator-app of een security key. ### Hoe voorkom ik dat ik mezelf als beheerder buitensluit? Geef elke Super Admin twee phishing-bestendige sleutels en genereer back-up-codes voordat je het afdwingen aanzet. Zorg dat er altijd minstens een tweede Super Admin is met een werkende sleutel. ### Hoe lang moet de inschrijfperiode zijn? Voor de meeste organisaties werkt 7 tot 14 dagen goed. Kort genoeg om vaart te houden, lang genoeg om vakanties en afwezigheid op te vangen zonder de helpdesk te overbelasten. ### Wat gebeurt er met een gebruiker die zich niet op tijd inschrijft? Als afdwingen aanstaat, wordt de gebruiker bij de volgende aanmelding gevraagd 2-stapsverificatie in te stellen voordat hij verder kan. Toegang wordt geblokkeerd tot dat gebeurd is, dus communiceer de deadline duidelijk. ### Dwingt Google 2-stapsverificatie zelf af? Ja, voor beheerdersaccounts rolt Google dit gefaseerd uit. Super Admins krijgen ongeveer 90 dagen vooraf bericht, andere admins ongeveer 60 dagen. Het is verstandig om dit zelf gepland te doen voordat het verplicht wordt opgelegd. :::