Beheer van Google Workspace: beveiliging, administratie en back-ups voor IT-teams

Google Workspace is voor een groot deel van het MKB uitgegroeid tot het belangrijkste productiviteitsplatform, met name in sectoren die het al vroeg hebben geïmplementeerd en hun werkprocessen hebben afgestemd op Gmail, Drive, Docs en Meet. Voor IT-teams en MSP’s houdt effectief beheer meer in dan alleen het toewijzen van licenties. Het betekent dat ze verantwoordelijk zijn voor de beveiligingsconfiguratie, de hiaten opvullen die de standaardtools van Google laten bestaan, en ervoor zorgen dat klantgegevens worden beschermd op manieren die het platform zelf niet garandeert.

Deze gids behandelt de drie gebieden waarop goed beheer het grootste verschil maakt: administratie, beveiliging en back-ups. Het platform van Kaseya ondersteunt wereldwijd meer dan 50.000 MSP’s en IT-teams die precies deze omgevingen beheren, en de onderstaande patronen laten zien waar het in de praktijk vaak misgaat.

Beheer van Google Workspace: de basisprincipes en wat er mis is met de standaardinstellingen

Het beheer van Google Workspace verloopt via de Beheerdersconsole, een webinterface die functies biedt voor gebruikers- en groepsbeheer, de structuur van organisatie-eenheden, apparaatbeheer, beveiligingsinstellingen en rapportage. Het model is cloud-native: wijzigingen worden direct doorgevoerd en er hoeft geen lokale server te worden onderhouden. Die eenvoud heeft echter ook een keerzijde. Omdat er geen standaardconfiguratie naar nieuwe tenants wordt gepusht, zijn de standaardinstellingen vaak minder streng dan in een zakelijke omgeving vereist is.

De drie gebieden waarop de standaardinstellingen het vaakst voor problemen zorgen, zijn authenticatie, het delen van schijven en toegang via mobiele apparaten.

Verificatie. Tweestapsverificatie (2SV) is de belangrijkste beveiligingsmaatregel in elke Google Workspace-omgeving. Deze functie wordt niet standaard ingeschakeld voor standaardgebruikers. Een beheerder moet naar Beveiliging > Verificatie > Tweestapsverificatie gaan en deze functie inschakelen, hetzij voor de hele organisatie, hetzij per organisatie-eenheid. Google schakelt 2SV nu standaard in voor beheerdersaccounts als onderdeel van een geleidelijk ingevoerd beleid, maar het inschakelen voor eindgebruikers blijft een bewuste handeling van de beheerder. Volgens het SaaS Application Security Insights Report 2025 van Kaseya is MFA uitgeschakeld of inactief in meer dan 60% van de SaaS-accounts van eindgebruikers. Het optioneel laten van 2SV is geen neutrale keuze. Het is het accepteren van een bekend risico.

Bestanden delen. In veel tenants staat de standaardinstelling voor delen zo ingesteld dat „Iedereen met de link“ toegang heeft tot bestanden. Dit betekent dat een gebruiker die een document deelt, dit toegankelijk maakt voor iedereen op internet die de URL heeft, zonder dat er een aanmelding nodig is. IT-beheerders moeten de standaardinstelling voor de hele organisatie instellen op „Uit (beperkt)“ en expliciete goedkeuring vereisen voor het delen met externen. Financiële afdelingen, HR-teams en iedereen die met klantgegevens werkt, moeten worden ondergebracht in organisatie-eenheden waar specifiek strengere regels voor het delen van bestanden gelden.

Toegang via mobiele apparaten. Google Workspace biedt basisbeheer voor mobiele apparaten, maar biedt geen gedetailleerde controle over tot welke gegevens apps toegang hebben of hoe er met apparaten wordt omgegaan wanneer deze zoekraken of uit gebruik worden genomen. Voor organisaties met een BYOD-beleid of waar mobiele apparaten toegang hebben tot gevoelige gegevens in Drive of Gmail, valt het beheer van eindpunten via een speciale MDM-oplossing buiten het standaardaanbod van Google.

Beheer van de gebruikerslevenscyclus. Het tijdig intrekken van toegangsrechten wanneer medewerkers het bedrijf verlaten, is zowel een veiligheidseis als een manier om de licentiekosten te beheersen. De juiste volgorde is om het account eerst op te schorten, het eigendom van eventuele Drive-bestanden en Gmail-gegevens over te dragen aan een manager of een serviceaccount, en het account vervolgens te verwijderen na de standaard bewaartermijn. Geautomatiseerde offboarding-workflows die zijn geïntegreerd met IT Glue en Autotask , dichten de hiaten die handmatige processen achterlaten.

Beveiligingsconfiguratie: wat je vanaf dag één moet afdwingen

Naast tweefactorauthenticatie en het delen van standaardinstellingen moeten verschillende instellingen in de beheerconsole zorgvuldig worden geconfigureerd om te voldoen aan de beveiligingsnormen voor zakelijk gebruik.

Toegang voor minder veilige apps. Google heeft de ondersteuning voor basisverificatie voor particuliere Gmail-accounts in 2022 afgeschaft, maar sommige verouderde applicaties en connectoren vragen hier nog steeds om in Workspace-tenants. In de beheerdersconsole is een instelling beschikbaar om de toegang voor minder veilige apps volledig te blokkeren. Voor elke applicatie die zich niet via OAuth kan verifiëren, moet worden bekeken of deze kan worden vervangen.

Monitoring van beheerdersactiviteiten. In het gedeelte ‘Rapporten’ van de Beheerdersconsole worden inloggebeurtenissen, beheerdersactiviteiten, wijzigingen in het delen van Drive-bestanden en beveiligingswaarschuwingen vastgelegd. Deze logbestanden moeten regelmatig worden gecontroleerd. Ongewone beheerdersactiviteiten, zoals het aanmaken van een nieuwe superbeheerder of het in bulk verwijderen van gebruikers, moeten onmiddellijk worden onderzocht. Het instellen van waarschuwingen voor risicovolle gebeurtenissen, zoals het toewijzen van de rol van superbeheerder of afwijkingen bij het inloggen, kost slechts enkele minuten in de Beheerdersconsole en biedt een aanzienlijke dekking bij het opsporen van incidenten.

Handhaving van het wachtwoordbeleid. De instelling ‘Sterk wachtwoord afdwingen’ in Google Workspace staat standaard uitgeschakeld. Beheerders moeten deze instelling inschakelen en een minimale lengte van ten minste 12 tekens instellen. Het beleid kan op het niveau van de organisatie-eenheid worden toegepast, waardoor strengere eisen kunnen worden gesteld aan accounts met uitgebreide rechten, zonder dat dit ten koste gaat van gebruikers met een lager risico die andere werkprocessen hanteren.

Toegang voor apps van derden. Via het gedeelte ‘API-beheer’ van Google kunnen beheerders controleren en beperken welke apps van derden OAuth-toegang hebben gekregen tot Workspace-gegevens. Niet-gecontroleerde OAuth-toegangsvergunningen afkomstig van schaduw-IT – zoals productiviteitstools die medewerkers koppelen zonder controle door de IT-afdeling – kunnen toegang krijgen tot gegevens in Drive, Gmail en Agenda zonder dat dit doorlopend zichtbaar is. Driemaandelijkse controles van de lijst met geautoriseerde apps vormen een praktisch uitgangspunt. Door het beleid zo in te stellen dat er goedkeuring van de beheerder nodig is voor nieuwe verbindingen met apps van derden, voorkomt u dat nieuwe machtigingen ongemerkt worden opgestapeld.

Een praktische test van de beveiligingsstatus van uw Google Workspace: vraag uzelf af of u vandaag een lijst zou kunnen opstellen van alle apps van derden die toegang hebben tot gebruikersgegevens, alle accounts waarvoor geen tweefactorauthenticatie is ingeschakeld en alle bestanden die openbaar zijn gedeeld. Als het antwoord op een van deze vragen ‘nee’ is, is de audit in de beheerdersconsole het startpunt.

De lacune in de back-up: waarom Google Vault niet voldoende is

Google Vault is de functie die het vaakst wordt verward met back-up. Het is geen back-upoplossing. Vault zorgt voor het bewaren van gegevens ten behoeve van eDiscovery en naleving van regelgeving. De gegevens worden bewaard binnen de eigen infrastructuur van Google, wat betekent dat een ransomware-aanval of een inbreuk op een account die de primaire Workspace-omgeving treft, tegelijkertijd ook gevolgen kan hebben voor de gegevens die in Vault worden bewaard. Het biedt geen herstel naar een specifiek tijdstip en biedt geen bescherming tegen de meest voorkomende oorzaken van gegevensverlies in de praktijk: onbedoeld verwijderen, acties van vertrekkende medewerkers en synchronisatiefouten door integraties van derden.

Het model van gedeelde verantwoordelijkheid van Google is hierover heel duidelijk. Google is verantwoordelijk voor de beschikbaarheid en beveiliging van de platforminfrastructuur. Klanten zijn verantwoordelijk voor hun eigen gegevens. Die verantwoordelijkheid gaat niet over op Google alleen omdat de gegevens in de cloud staan.

De praktische risico’s zijn goed gedocumenteerd. Een gebruiker verwijdert bestanden definitief uit Gmail of Drive, en zodra de bewaartermijn van 30 dagen in de prullenbak is verstreken, zijn de gegevens voorgoed verdwenen. Een schadelijk bestand wordt gesynchroniseerd met Drive en overschrijft de onbeschadigde versies in gedeelde mappen. Een vertrekkende medewerker verwijdert projectbestanden voordat zijn of haar account wordt geblokkeerd. Geen van deze scenario’s leidt tot een herstelactie door Google, omdat er in geen enkel geval sprake is van een storing in de infrastructuur van Google.

Spanning Backup, onderdeel van Kaseya 365 , biedt hiervoor een oplossing door middel van geautomatiseerde dagelijkse back-ups van Gmail, Drive, gedeelde schijven, Agenda en Contacten, met onafhankelijke, versleutelde opslag buiten de infrastructuur van Google en herstel naar een specifiek tijdstip. Voor MSP’s verloopt het gesprek met Google Workspace-klanten volgens dezelfde structuur als het gesprek over back-ups voor Microsoft 365: Google beschermt het platform. Een back-upproduct van een derde partij beschermt de gegevens.

De functie voor het monitoren van het dark web van Kaseya biedt extra bescherming door beheerders te waarschuwen wanneer e-mailadressen en inloggegevens van medewerkers die aan het domein zijn gekoppeld, in gelekte gegevens opduiken. Als de inloggegevens van een medewerker van een klant in een gelekte dataset terechtkomen, kan dit erop wijzen dat deze gegevens al voor hun Workspace-account zijn hergebruikt voordat er een inlogwaarschuwing wordt geactiveerd.

E-mailbeveiliging: wat de filters van Google over het hoofd zien

De ingebouwde spam- en phishingfilters van Gmail zijn over het algemeen effectief tegen bekende bedreigingen en grootschalige campagnes. Ze zijn echter aanzienlijk minder effectief tegen gerichte aanvallen. Spear-phishing-e-mails die specifiek voor een bepaalde ontvanger zijn opgesteld, pogingen tot Business Email Compromise (BEC) waarbij men zich voordoet als een leidinggevende of leverancier, en zero-day-phishing via nieuw geregistreerde domeinen glippen vaak door de filters van Google heen en komen in de inbox terecht.

Dit is geen tekortkoming van het Google-platform. Het is een accurate beschrijving van het dreigingsmodel. Gerichte aanvallen zijn erop gericht om detectie op basis van volume te omzeilen. Een MSP die 50 Google Workspace-klanten beheert, kan niet vertrouwen op de ingebouwde filters van Gmail om de berichten op te sporen die de grootste kans hebben om aanzienlijke schade aan te richten.

INKY, onderdeel van Kaseya 365 , voegt een op AI gebaseerde laag toe aan de e-mailbeveiliging van Google Workspace die bovenop de standaardfilters werkt. Het maakt gebruik van computervisietechnologie om in realtime merkvervalsingen en misbruik van logo’s te detecteren, en onderschept zo phishingpogingen waarbij vertrouwde afzenders visueel worden nagebootst. Het wordt via een API geïmplementeerd zonder dat er wijzigingen in de MX-records nodig zijn, en voegt kleurgecodeerde waarschuwingsbanners toe aan e-mails die als verdacht worden aangemerkt. Zo worden gebruikers gewezen op het risico zonder dat het bericht buiten hun controle valt. INKY biedt INKY gegevensverliespreventie (DLP), versleuteling en DMARC-handhaving, waardoor de bescherming wordt uitgebreid van inkomende phishing naar uitgaande gegevensverwerking en afzenderverificatie.

Met name voor MSP’s INKY aanzienlijke INKY de administratieve lasten. Uit een interne test bij verschillende MSP-implementaties bleek dat beheerders de tijd die ze besteden aan het beheer van e-mailbeveiliging hebben teruggebracht van ongeveer 40 uur naar ongeveer 1 uur per maand.

Clouddetectie en -respons voor Google Workspace

De Admin Console van Google geeft inloggebeurtenissen en beheerdersactiviteiten weer, maar brengt gedragssignalen binnen de Workspace-omgeving niet in realtime met elkaar in verband. Een account dat vanaf een ongebruikelijke locatie inlogt, grote hoeveelheden Drive-bestanden downloadt en binnen een tijdsbestek van 30 minuten OAuth-verbindingen met nieuwe apps van derden tot stand brengt, wordt niet automatisch als gecompromitteerd gemarkeerd. Elke gebeurtenis is afzonderlijk zichtbaar. De onderlinge samenhang die dit als een incident identificeert, is dat niet.

SaaS Alerts, onderdeel van Kaseya 365 , biedt clouddetectie en -respons voor Google Workspace door de gebruikersactiviteit continu te monitoren en op machine learning gebaseerde gedragsanalyses toe te passen om afwijkingen te identificeren. Wanneer het een mogelijke inbreuk detecteert, kan het automatisch reageren: actieve sessies beëindigen, het account uitschakelen en een waarschuwing doorsturen naar de MSP of het IT-team, zonder te wachten op menselijke tussenkomst.

Met de Respond-module voor Google Workspace, die in 2024 werd gelanceerd, kunnen MSP’s regels configureren op basis van ‘als-dan’-logica. Een typisch voorbeeld: als er een succesvolle aanmelding plaatsvindt van buiten een goedgekeurd geografisch gebied, beëindigt Respond alle actieve sessies en blokkeert het nieuwe aanmeldingen totdat de accounthouder is geverifieerd. Deze regels worden continu uitgevoerd, ook buiten kantooruren. Dit is van belang omdat accountinbreuken die op een vrijdagavond worden ontdekt, het hele weekend de tijd hebben om uit te groeien tot grotere incidenten als er geen geautomatiseerde respons is ingesteld.

SaaS Alerts controleert SaaS Alerts op misbruik van OAuth-toegangsvergunningen, een van de meest voorkomende en minst zichtbare aanvalsvectoren in cloudomgevingen. Wanneer een gebruiker via OAuth een nieuwe SaaS-applicatie koppelt aan zijn Workspace-account, SaaS Alerts deze koppeling en kan het de beheerder waarschuwen of een reactieregel activeren. In 2024 SaaS Alerts meer dan 7,3 miljard gebeurtenissen in SaaS-omgevingen voor zijn jaarlijkse SaaS Application Security Insights Report. Van die gebeurtenissen waren er meer dan een miljard van gemiddelde of kritieke ernst, een aantal dat continue geautomatiseerde monitoring, en niet periodieke handmatige controle, tot het enige realistische beheermodel maakt.

Google Workspace op grote schaal beheren met Kaseya 365

Een MSP die 30 Google Workspace-klanten beheert, krijgt te maken met een verergerde versie van elk van de hierboven beschreven problemen. Beveiligingsconfiguraties lopen tussen tenants uiteen. De dekking van back-ups is niet consistent. Beveiligingslekken in de e-mailomgeving van de ene klant brengen ook andere klanten in gevaar. Zonder een uniform platform vereist het bijhouden van de stand van zaken ofwel omvangrijke handmatige controleprocessen, ofwel het accepteren van een inconsistente dekking.

Kaseya 365 brengt de drie belangrijkste beveiligings- en beschermingslagen van Google Workspace samen in één abonnement. INKY geavanceerde detectie van e-mailbedreigingen en begeleiding van gebruikers. SaaS Alerts continue gedragsmonitoring en geautomatiseerde reacties binnen de hele Workspace-omgeving. Spanning dagelijkse geautomatiseerde back-ups met onafhankelijke opslag en herstel naar een specifiek tijdstip. Alle drie maken ze via een API verbinding met Google Workspace, zonder dat er agents geïnstalleerd hoeven te worden en zonder dat er infrastructuur beheerd hoeft te worden.

De zakelijke argumenten voor MSP’s zijn duidelijk. Elk van deze lagen pakt een risico aan dat de standaardtools van Google niet volledig dekken. Klanten die Google Workspace gebruiken zonder SaaS-back-up lopen het risico op gegevensverlies dat hun bedrijfscontinuïteitsplannen niet kunnen opvangen. Klanten zonder clouddetectie en -respons hebben geen zicht op accountcompromittering totdat de schade is aangericht. Door deze hiaten duidelijk te presenteren, met bewijs uit het gedeelde verantwoordelijkheidsmodel en uit handhavingsmaatregelen waar relevant, wordt het gesprek over Kaseya 365 verplaatst van een discussie over een add-on naar een basisverwachting.

Ontdek Kaseya 365 voor beveiliging van Google Workspace.

Voor meer informatie over hoe de beveiliging van SaaS-applicaties past in de bredere cyberweerbaarheidsstrategie van MSP’s, raadpleeg je de Cyber Resilience Checklist voor MSP’s en het Kaseya State of the MSP-rapport 2026.