Het is mogelijk toch een toegangs- of verificatiecode via e-mail in te stellen
Het rechtstreeks instellen van een toegangs- of verificatiecode via e-mail als alternatief voor 2FA is niet standaard mogelijk in Google Workspace, omdat Google deze methode als minder veilig beschouwt.
Beheerders kunnen echter alternatieven configureren of third-party oplossingen gebruiken om toegangscodes via e-mail te implementeren.
Hieronder worden enkele mogelijke benaderingen toegelicht:
1. Aangepaste beleidsregels in Google Workspace
Google Workspace ondersteunt standaard geen verificatiecodes via e-mail, maar beheerders kunnen minder strikte beleidsregels toepassen, zoals:
2FA Uitzonderingen inschakelen:
- Ga naar de Google Admin Console > Beveiliging > Authenticatie.
- Maak een uitzondering voor specifieke gebruikersgroepen of accounts die geen toegang hebben tot standaard 2FA-methoden.
- Schakel bijvoorbeeld back-upcodes of herstelopties in (telefoon of e-mailherstel).
Herstelopties configureren:
- Voeg een secundair e-mailadres toe voor noodgevallen. Hier kunnen waarschuwingen of herstel-e-mails worden verzonden.
2. Third-party IAM-oplossingen
Er zijn externe Identity and Access Management (IAM)-oplossingen die Google Workspace integreren en codes via e-mail kunnen sturen. Enkele populaire opties zijn:
Okta, OneLogin of JumpCloud:
- Deze platforms ondersteunen e-mailverificatie als een alternatieve MFA-methode.
- Configureren kan via Single Sign-On (SSO) voor Google Workspace.
Custom OAuth-scripts of add-ons:
- Met een aangepaste OAuth-configuratie kunt u een script opzetten dat verificatiecodes per e-mail verstuurt wanneer een gebruiker probeert in te loggen.
- Dit vereist ontwikkelwerk en API-toegang tot Google Workspace.
3. Toegangsbeheer aanpassen voor een specifieke groep
Beheerders kunnen een beleid maken voor een subset van gebruikers die e-mailcodes mogen ontvangen:
- Groep aanmaken in Google Admin Console:
- Maak een gebruikersgroep (bijvoorbeeld "Geen toegang tot authenticator").
- Regels toepassen via API of derde partij:
- Gebruik de Directory API of een externe dienst om bij een aanmeldpoging een code naar het e-mailadres van een gebruiker te sturen.
4. Veilige alternatieven overwegen
Hoewel e-mailcodes handig lijken, brengen ze aanzienlijke beveiligingsrisico's met zich mee (zoals phishing en onderschepping). Overweeg de volgende veiliger opties:
- Google Authenticator of fysieke sleutels:
- Voor situaties waar geen smartphone beschikbaar is, kunnen fysieke sleutels zoals YubiKey een alternatief zijn.
- Back-upcodes vooraf delen:
- Laat gebruikers een reeks back-upcodes genereren en veilig opslaan.
Conclusie
Om verificatiecodes via e-mail te implementeren, moet u waarschijnlijk een derde partij of een aangepaste oplossing gebruiken, omdat Google Workspace dit niet standaard ondersteunt. Wilt u begeleiding bij het instellen van een specifieke oplossing of de configuratie van een IAM-platform? Laat het weten!