Python scripts voor Google Workspace Admin SDK
Praktische Python scripts voor de Google Workspace Admin SDK: gebruikers exporteren, bulk aanmaken, aanmeldingsrapporten ophale...
Zero Trust is geen buzzword meer in 2026; het is de werkelijke standaard voor Nederlandse MKB- en enterprise-organisaties. Met Context-Aware Access (CAA) in Google Workspace implementeer je zero-trust zonder extra tools: toegang tot Gmail, Drive, de admin console en andere apps wordt dynamisch bepaald op basis van wie, waarvandaan, met welk apparaat en onder welke omstandigheden iemand inlogt. Dit artikel beschrijft hoe je CAA praktisch inricht in de admin console, met concrete policies en voorbeelden.
Zero Trust uitgelegd
Traditionele security bouwt een "perimeter": binnen het bedrijfsnetwerk is alles vertrouwd, daarbuiten niet. Dat model werkt niet meer in een hybride-werk-wereld waar medewerkers vanuit huis, kantoor, onderweg en van privé-apparaten werken.
Zero Trust: never trust, always verify. Elke toegangsvraag wordt op het moment zelf beoordeeld tegen de context: identity, device, location, risico-signalen. Een inlog om 14:00 vanaf kantoor op een beheerd apparaat is laag-risico. Dezelfde user om 03:00 vanuit een nieuw land op een onbekend apparaat is hoog-risico.
Context-Aware Access in Workspace
CAA is Google's implementatie van Zero Trust voor Workspace. Je definieert access levels (condities die context beschrijven) en koppelt die aan apps en OUs.
Beschikbaar in: Workspace Enterprise Standard, Enterprise Plus, Education Plus, Frontline Plus, en Cloud Identity Premium.
Signalen waarop CAA kan checken:
- User identity (user is in een specifieke groep, OU, of heeft een bepaalde rol)
- IP-address of IP-range
- Geographische locatie (op land-niveau)
- Device management status (beheerd via Workspace Endpoint Management)
- Device security posture (versleuteld, OS up-to-date, lockscreen aan)
- Browser (Chrome-versie, OS)
- Datum en tijd
Access levels aanmaken
Admin Console > Security > Access and data control > Context-Aware Access
Klik: Create access levelVoorbeeld 1: Kantoor-netwerk + beheerd device
Name: Trusted Office
Conditions:
- IP range: 195.169.0.0/16 (jouw kantoor-range)
- Device: Company-owned (beheerd via Endpoint Management)
- Device encryption: RequiredVoorbeeld 2: NL/EU zonder US VPN
Name: EU Only
Conditions:
- Geographic region: is_in [Netherlands, Belgium, Germany, France, ...]
- AND NOT: Geographic region: is_in [United States]Voorbeeld 3: High-security voor admins
Name: Admin High Security
Conditions:
- User in group: it-admins@bedrijf.nl
- 2FA hardware key: Required
- Device security: Enterprise-enrolled with MDM
- Browser: Chrome latest 2 versionsAccess levels koppelen aan apps
Admin Console > Security > Access and data control > Context-Aware Access > Assign access levelsPer app (Gmail, Drive, Calendar, Chat, admin console, third-party SAML-apps) en per OU kies je welke access level geldt:
| App | OU | Access Level |
|---|---|---|
| Admin console | IT-beheerders | Admin High Security |
| Drive | Alle gebruikers | Trusted Office OR Mobile App Managed |
| Gmail | Alle gebruikers | EU Only |
| SAML: Salesforce | Sales | Trusted Office OR Authenticated |
Wanneer een gebruiker probeert in te loggen op een app, wordt de context gecheckt. Voldoet het? Toegang toegestaan. Voldoet het niet? Deny of step-up authentication.
Belangrijkste CAA use cases in 2026
Admin console bescherming
De admin console is je meest gevoelige applicatie. Minimaal een CAA-policy die vereist:
- Specifieke IP-range (kantoor of VPN)
- Hardware 2FA (Yubikey of passkey)
- Beheerd apparaat
Zo voorkom je admin-account-takeover via gestolen credentials.
Drive voor gevoelige data
Bestanden met persoonsgegevens, M&A-dossiers, broncode: CAA zodat alleen beheerde apparaten binnen EU toegang krijgen. Combineer met Drive Label en DLP voor extra granulariteit.
Externe samenwerking
Freelancers en leveranciers met tijdelijke Workspace-toegang: CAA met alleen read-access vanaf specifiek toegestane IP's. Automatisch verlopen na project-einde via group-expiratie.
BYOD met grenzen
Medewerkers mogen Gmail op hun privé-telefoon mits de Gmail-app managed is via Workspace Mobile Device Management. Zonder MDM geen toegang. Dit is minder restrictief dan volledige device-management en voldoende voor veel MKB-scenarios.
Android-signalen (update 2026)
In 2026 is Google's CAA uitgebreid met diepere Android-signalen:
- Play Protect score (Android device security rating)
- OS security patch level
- Storage encryption status
- Screen lock strength (PIN, patroon, biometrisch)
Access level > Add signal > Android device attestationHiermee kun je bijvoorbeeld Gmail alleen toelaten op Android-telefoons met biometrische lock én patch-level < 30 dagen oud.
Monitoring en troubleshooting
Gebruikers die niet kunnen inloggen:
Admin Console > Security > Access and data control > Context-Aware Access > Access level auditLogs tonen welke access-checks hebben gefaald en waarom. Handig voor troubleshooting bij gebruikersklachten.
Impact-analyse voor nieuwe policy's:
Voor je een policy activeert, bekijk de Audit mode. De policy evalueert maar blokkeert niets. Zo zie je hoeveel gebruikers het beinvloedt voordat je enforce-mode aanzet.
Best practices voor rollout
- Start met Audit mode voor 2-4 weken
- Pilot-OU eerst: IT of een ander tech-savvy team
- Communicatie: vertel medewerkers wanneer en waarom CAA komt
- Mobile-first test: check of Gmail/Drive-apps nog werken onder de policy
- Escape-valve: houd een break-glass super-admin account buiten alle CAA-restricties voor noodgevallen
- Documentation: elke policy met beschrijving WHY, not just WHAT
Tip: Het grootste risico bij CAA is jezelf buitensluiten. Heb altijd een fysieke Yubikey op kantoor en een tweede super-admin account dat niet onder de CAA-restricties valt. Bewaar recovery-codes offline.