对管理员强制执行两步验证简介

为了更好地保护贵组织的信息,Google 很快会要求所有管理员账号都启用两步验证 (2SV)。作为 Google Workspace 管理员,您需要通过两步验证来确认自己的身份。两步验证需要您输入密码,并提供额外信息,例如手机或安全密钥。

强制执行时间安排

未来几年将逐步推行此强制执行措施。目前正在对使用 Workspace 教育版、Workspace 公益版、Cloud Identity、Android Enterprise 的组织,以及使用 Workspace 企业版并采用第三方单点登录 (SSO) 提供商的组织实施此强制执行措施。在 Google 强制执行之前,您应该为组织中的管理员账号启用两步验证。

超级用户应该会在强制执行生效前大约 90 天收到通知。所有其他管理员都会在大约 60 天前通过电子邮件和手机收到通知。管理员在登录 Google 账号时也会看到提醒,并且在 Google 管理控制台首页的顶部也会看到提醒。在此通知期内,Google 的两步验证强制执行政策将取代组织的任何现有两步验证政策。

通知和提醒

在通知期内,当管理员登录自己的账号时,系统会提醒其在强制日期之前启用两步验证。如果管理员未启用两步验证:

  • 7 天后,他们会继续在管理控制台中收到注册两步验证的提醒。
  • 15 天后,他们将无法在移动设备上访问 Workspace 应用,直到注册两步验证。
  • 30 天后,他们将无法访问 Web 应用,直到注册两步验证。

确切的通知时间可能会因组织、组织个人资料及其使用的指定商品而异。以上是标准截止时间,旨在让管理员有足够的时间进行注册。

使用单点登录的管理员

如果您的组织使用 Workspace 企业版和第三方单点登录提供商进行登录,则管理员必须直接在自己的 Google 账号中(前往 myaccount.google.com)启用两步验证,即使该提供商已要求进行两步验证也是如此。 这样可确保在管理员直接登录 Google 时,账号仍保持安全。

需要采取的行动

  1. 查看单点登录后验证设置 - 在 Google 管理控制台中,依次点击 安全性 然后 身份验证 然后 登录质询。 对于单点登录后验证,找到贵组织使用的特定个人资料(旧版单点登录个人资料其他单点登录个人资料)对应的部分,然后查看所选的选项:
    • 如果设置为“让 Google 在检测到可疑登录行为时要求用户进行额外的身份验证” \- 管理员按照标准时间表在强制日期之前启用两步验证。强制执行生效后,管理员每次通过提供商登录时都必须完成 Google 两步验证提示。
    • 如果设置为“不让 Google 要求用户进行额外的身份验证” \- 管理员在通过提供商进行正常的日常登录时,不会收到提醒,也不会失去对 Workspace 应用的访问权限。相反,只有在管理员直接登录 Google 或在特定安全检查期间,才需要注册或使用两步验证。
      注意 :对于超级用户,此设置仅适用于他们通过第三方提供方使用单点登录服务登录时。当他们直接登录 Google 时,此设置不适用,他们必须始终按照标准时间表启用两步验证。如需了解详情,请参阅超级用户单点登录
  2. 确保管理员已注册—为了保持账号访问权限,请确保贵组织中的所有管理员在 Google 的强制执行生效之前,前往 myaccount.google.com 启用两步验证并配置备用验证方法。

强制执行两步验证时要考虑的详细信息

  • 将用户设为管理员后,系统会立即强制执行两步验证。
  • 受 Google 设置的两步验证强制执行政策约束的管理员无法绕过该政策。如果管理员无法启用两步验证,唯一的解决方法是移除其管理员权限。
  • 服务账号不需要两步验证,但其模拟的管理员账号必须已注册两步验证。
  • 您可以在管理控制台中查看管理员的强制执行状态。如需了解相关步骤,请参阅跟踪用户的注册情况,并添加强制执行两步验证列。

管理员账号恢复

如果管理员在强制执行两步验证后无法登录,请按照相应步骤 恢复管理员 账号