Tenant-brede instellingen in Google Workspace gelden voor je hele organisatie of voor grote delen ervan. Een verkeerde keuze hier raakt iedereen tegelijk, dus het loont om te begrijpen wat de belangrijkste instellingen doen. In dit artikel lopen we langs de instellingen die de meeste impact hebben.
Extern delen: de belangrijkste keuze
De instelling met misschien wel de grootste impact is hoe je omgaat met delen buiten de organisatie. Mag iemand een Drive-bestand delen met een externe partij? Mag dat openbaar, of alleen met specifieke personen? Mag iemand bestanden buiten de organisatie downloaden?
Te streng en samenwerking met klanten en leveranciers wordt lastig. Te los en gevoelige data lekt makkelijk naar buiten. De juiste balans hangt af van je organisatie. Veel organisaties kiezen ervoor om extern delen toe te staan, maar met een waarschuwing en alleen met specifieke personen in plaats van openbaar. Je vindt deze instelling in de Admin-console onder Apps, Google Workspace, Drive en Documenten, Delingsinstellingen.
Controleer extern delen als eerste
De standaardinstelling voor extern delen is vaak ruimer dan je wilt. Controleer dit als eerste in een nieuwe omgeving. Een open deelbeleid betekent dat elke medewerker per ongeluk gevoelige documenten openbaar kan zetten. Stel het bewust in plaats van de standaard te laten staan. Met een lijst toegestane domeinen beperk je extern delen tot vertrouwde partners.
App- en service-toegang
Google Workspace bevat veel diensten, en niet alle wil je per se aan hebben. Onder Apps bepaal je welke services beschikbaar zijn voor je gebruikers. Een dienst die je niet gebruikt, kun je beter uitzetten, want elke actieve dienst is een potentieel aanvalsoppervlak en een bron van verwarring.
Daarnaast bepaal je of gebruikers apps van derden uit de Marketplace mogen installeren en welke toegang die apps tot je data krijgen. Dit is een belangrijk beveiligingspunt, want een schadelijke app met te veel rechten kan data stelen. Met API-toegangsbeheer bepaal je per app of die wel of geen toegang krijgt tot Workspace-gegevens.
Stel per organisatie-eenheid in
Je kunt app-toegang per organisatie-eenheid of configuratiegroep verschillend instellen. Zo geef je bijvoorbeeld de IT-afdeling toegang tot ontwikkeltools die je voor de rest uitzet. Groepsinstellingen overschrijven daarbij de instellingen van een organisatie-eenheid. Dit verfijnt je beleid zonder dat je voor de hele organisatie hetzelfde hoeft te kiezen.
Beveiliging en sessiebeheer
Onder Beveiliging staan de instellingen die je organisatie beschermen. De belangrijkste zijn het wachtwoordbeleid, de tweestapsverificatie-eisen en het sessiebeheer.
| Instelling | Wat je hier regelt |
|---|---|
| Wachtwoordbeleid | Eisen aan lengte, sterkte en hergebruik van wachtwoorden |
| Tweestapsverificatie | Afdwingen voor iedereen, met sterke methoden zoals een passkey of beveiligingssleutel voor gevoelige rollen |
| Sessiebeheer | Hoe lang een sessie geldig blijft voordat opnieuw inloggen nodig is |
| Minder veilige toegang | Of verouderde apps zonder moderne authenticatie nog toegang krijgen |
Sessiebeheer bepaalt hoe lang iemand ingelogd blijft. Een korte sessie is veiliger maar irritanter, een lange sessie is gemakkelijker maar riskanter bij een gestolen apparaat. Voor gevoelige rollen kies je een kortere sessie.
Standaardinstellingen voor nieuwe gebruikers
Een onderschat onderwerp is wat er gebeurt als je een nieuwe gebruiker aanmaakt. Welke organisatie-eenheid, welke apps, welke instellingen krijgt die persoon standaard? Door dit goed in te stellen, klopt elke nieuwe gebruiker meteen zonder handwerk.
Tenant-instellingen controleren bij een nieuwe omgeving
- Controleer de instelling voor extern delen van Drive en zet hem bewust in plaats van standaard.
- Loop de lijst met diensten langs en zet ongebruikte diensten uit.
- Stel het beleid voor apps van derden en Marketplace-toegang in.
- Configureer wachtwoordbeleid, tweestapsverificatie en sessielengte.
- Bepaal de standaardinstellingen voor nieuwe gebruikers.
- Documenteer elke bewuste keuze zodat een collega later weet waarom iets zo staat.
Leg je keuzes vast
Maak een vast document waarin je per belangrijke tenant-instelling vastlegt welke waarde je hebt gekozen en waarom. Als over een jaar iemand vraagt waarom extern delen beperkt is, vind je het antwoord terug. Dit voorkomt dat instellingen ongemerkt worden teruggedraaid omdat niemand de reden meer kent.
Wie doet wat
Het instellen en bewaken van tenant-instellingen verdeel je meestal over twee rollen:
- Admin: stelt de instellingen in en verfijnt ze per organisatie-eenheid waar nodig. Test wijzigingen liefst eerst op een kleine groep voordat je ze breed toepast. Houd er rekening mee dat een wijziging tot 24 uur kan duren voordat die overal actief is.
- IT-manager: bepaalt het beleid achter de instellingen. Weegt veiligheid tegen werkbaarheid en zorgt dat de keuzes aansluiten op het beveiligings- en compliancebeleid van de organisatie.
Veelgestelde vragen
Gelden tenant-instellingen voor iedereen tegelijk?
Veel instellingen kun je per organisatie-eenheid of configuratiegroep verschillend zetten. Sommige gelden echt voor de hele tenant. Controleer per instelling of je hem kunt verfijnen, want dat geeft je meer flexibiliteit.
Wat is de gevaarlijkste verkeerde instelling?
Een te ruim deelbeleid voor Drive is vaak de grootste risicofactor, omdat elke medewerker dan per ongeluk gevoelige data kan lekken. Controleer deze instelling altijd als eerste in een nieuwe omgeving.
Kan ik een instelling testen voordat ik hem breed toepas?
Ja, door hem eerst op een test-organisatie-eenheid met een paar gebruikers toe te passen. Zo zie je het effect voordat je de hele organisatie raakt. Dit voorkomt verrassingen.
Hoe weet ik welke diensten ik kan uitzetten?
Kijk in de gebruiksrapporten welke diensten daadwerkelijk gebruikt worden. Een dienst die niemand gebruikt, kun je veilig uitzetten. Communiceer het wel, voor het geval iemand hem stiekem toch nodig had.
Hoe lang duurt het voordat een wijziging actief is?
Een instelling in de Admin-console kan tot 24 uur duren voordat die overal is doorgevoerd. In die periode kunnen oude en nieuwe instellingen afwisselend gelden, dus plan grote wijzigingen rustig in.
Lees ook de admin-checklist en naamgevingsconventies voor een complete opzet.