כדי להגן טוב יותר על המידע של הארגון, בקרוב Google תדרוש הפעלה של אימות דו-שלבי (2SV) בכל חשבונות האדמין. כאדמינים ב-Google Workspace, תצטרכו לאמת את הזהות שלכם באמצעות אימות דו-שלבי. האימות הזה דורש את הסיסמה שלכם בתוספת פרט נוסף, כמו הטלפון או מפתח אבטחה.
ציר הזמן לאכיפה
האכיפה תושק בהדרגה במהלך השנים הקרובות. האכיפה מיושמת עכשיו בארגונים עם Workspace for Education, Workspace for Nonprofits, Cloud Identity, Android Enterprise ובארגונים שמשתמשים במהדורת Workspace Enterprise עם ספק כניסה יחידה (SSO) של צד שלישי. מומלץ להפעיל אימות דו-שלבי (2SV) בחשבונות האדמין בארגון לפני ש-Google תאכוף אותו.
סופר-אדמינים יקבלו התראה כ-90 יום לפני שהאכיפה תיכנס לתוקף. כל האדמינים האחרים יקבלו התראה כ-60 יום לפני כן, באימייל ובטלפון הנייד. האדמינים יראו גם תזכורת כשהם יתחברו באמצעות חשבון Google שלהם, ועוד תזכורת בחלק העליון של דף הבית במסוף Google Admin. במהלך תקופת ההתראה הזו, מדיניות האכיפה של Google בנושא אימות דו-שלבי תהיה בתוקף במקום מדיניות האימות הדו-שלבי הקיימת בארגון.
התראות ותזכורות
כשמנהל נכנס לחשבון שלו במהלך תקופת ההתראה, הוא יקבל תזכורת להפעיל אימות דו-שלבי עד לתאריך החובה. אם האדמין לא יפעיל אימות דו-שלבי:
- אחרי 7 ימים, הם ימשיכו לקבל תזכורות במסוף Admin להירשמה לאימות דו-שלבי.
- אחרי 15 ימים, הם לא יוכלו לגשת לאפליקציות Workspace במכשירים ניידים עד שהם יירשמו לאימות דו-שלבי.
- אחרי 30 יום, הם לא יוכלו לגשת לאפליקציות אינטרנט עד שהם יירשמו לאימות דו-שלבי.
המועדים המדויקים של ההתראות עשויים להשתנות בהתאם לארגון, לפרופיל שלו ולמוצרים הספציפיים שבהם הוא משתמש. אלה מועדים סטנדרטיים שנועדו לתת לאדמינים מספיק זמן להירשם.
אדמינים שמשתמשים ב-SSO
אם הארגון שלכם משתמש במהדורת Workspace Enterprise וספק SSO של צד שלישי כדי להיכנס לחשבון, האדמינים צריכים להפעיל אימות דו-שלבי ישירות בחשבון Google שלהם בכתובת myaccount.google.com – גם אם הספק כבר דורש אימות דו-שלבי. כך מוודאים שהחשבונות יישארו מאובטחים אם אדמין ייכנס ישירות ל-Google.
פעולות נדרשות
- בדיקת ההגדרות של אימות אחרי כניסה יחידה (SSO) – במסוף Google Admin, עוברים אל אבטחה
אימות אתגרי כניסה. בקטע אימות אחרי כניסה יחידה (SSO), מאתרים את הפרופיל הספציפי שבו הארגון משתמש (פרופיל SSO מדור קודם או פרופילי SSO אחרים) ובודקים את האפשרות שנבחרה:
- אם ההגדרה היא 'לבקש מהמשתמשים אימותים נוספים מ-Google...' – האדמינים פועלים לפי ציר הזמן הרגיל להפעלת אימות דו-שלבי עד לתאריך החובה. אחרי שהאכיפה מתחילה, האדמינים צריכים להשלים הנחיה של Google לאימות דו-שלבי בכל פעם שהם נכנסים דרך הספק.
- אם ההגדרה היא 'לא לבקש ממשתמשים אימותים נוספים מ-Google' – אדמינים לא מקבלים תזכורות ולא מאבדים את הגישה לאפליקציות Workspace במהלך כניסות רגילות ויומיומיות דרך הספק. במקום זאת, הם נדרשים להירשם לאימות דו-שלבי או להשתמש בו רק אם הם נכנסים ישירות ל-Google או במהלך בדיקות אבטחה ספציפיות.
הערה: לסופר-אדמינים, ההגדרה הזו חלה רק כשהם נכנסים באמצעות SSO דרך ספק צד שלישי. היא לא חלה כשהם נכנסים ישירות לחשבון Google, כי במקרה כזה הם תמיד צריכים לפעול לפי ציר הזמן הרגיל כדי להפעיל אימות דו-שלבי. פרטים נוספים זמינים במאמר בנושא SSO של סופר-אדמין.
- מוודאים שהאדמינים רשומים – כדי לשמור על הגישה לחשבון, צריך לוודא שכל האדמינים בארגון יפעילו אימות דו-שלבי ויגדירו שיטות אימות לגיבוי בכתובת myaccount.google.com לפני שהאכיפה של Google תיכנס לתוקף.
פרטים חשובים לגבי אכיפת האימות הדו-שלבי
- אכיפת האימות הדו-שלבי מתבצעת באופן מיידי כשמשתמש מקבל הרשאות אדמין.
- אדמינים שחלים עליהם כללי האכיפה של Google בנושא אימות דו-שלבי לא יכולים לעקוף אותם. אם אדמין לא מצליח להפעיל אימות דו-שלבי, הפתרון היחיד הוא להסיר את הרשאות האדמין שלו.
- לא נדרש אימות דו-שלבי בחשבונות שירות, אבל חשבון האדמין שהם מתחזים לו חייב להיות רשום לאימות דו-שלבי.
- אפשר לבדוק את סטטוס האכיפה של אדמין במסוף Admin. לשלבים, עוברים אל מעקב אחרי הרשמת משתמשים ומוסיפים את העמודה אכיפה של אימות דו-שלבי.
שחזור חשבון של מנהל מערכת
אם אדמין לא מצליח להיכנס לחשבון אחרי הפעלת האימות הדו-שלבי, צריך לפעול לפי השלבים לשחזור חשבון אדמין.