為了進一步保護貴機構的資訊,Google 將於近期要求所有管理員帳戶啟用兩步驟驗證。Google Workspace 管理員將需要完成兩步驟驗證,透過密碼和其他方式 (例如電話號碼或安全金鑰) 確認身分。
強制執行時程
我們將於未來幾年內逐步落實這項強制措施,目前已對使用 Workspace for Education、Workspace for Nonprofits、Cloud Identity、Android Enterprise 的機構,以及使用 Workspace Enterprise 版並搭配第三方單一登入 (SSO) 服務供應商的機構,強制啟用兩步驟驗證。建議您在 Google 強制執行這項措施前,先為貴機構中的管理員帳戶啟用兩步驟驗證。
超級管理員會在強制措施生效前約 90 天收到通知。其他管理員則會在約 60 天前收到電子郵件和手機通知。管理員登入 Google 帳戶時會看到提醒,Google 管理控制台首頁頂端也會顯示提醒。在通知期間,Google 的兩步驟驗證強制執行政策會取代任何現有的組織兩步驟驗證政策。
通知和提醒
在通知期間,管理員登入帳戶時會收到通知,提醒他們在強制執行的日期前啟用兩步驟驗證。如果管理員未啟用兩步驟驗證:
- 7 天後,他們會持續在管理控制台收到註冊兩步驟驗證的提醒。
- 15 天後,除非註冊兩步驟驗證,否則他們將無法在行動裝置上存取 Workspace 應用程式。
- 30 天後,除非註冊兩步驟驗證,否則他們將無法存取網路應用程式。
通知時間可能因組織、組織設定檔和所使用的特定產品而異。上文所述為標準期限,旨在讓管理員有充足時間註冊。
使用 SSO 的管理員
如果貴機構使用 Workspace Enterprise 版,並透過第三方 SSO 供應商登入,管理員必須直接在 Google 帳戶 (myaccount.google.com) 中啟用兩步驟驗證,即使供應商已要求進行兩步驟驗證也一樣。這麼做可確保管理員直接登入 Google 時,帳戶仍維持安全。
必要行動
- 檢查單一登入 (SSO) 後驗證設定:在 Google 管理控制台中,依序前往「安全性」
「驗證」「登入身分確認問題」。
在「單一登入 (SSO) 後驗證」部分,找出貴機構使用的特定設定檔 (舊版單一登入 (SSO) 設定檔或其他單一登入 (SSO) 設定檔) 專區,然後檢查所選選項:
- 如果設為「如偵測到可疑的登入活動,要求使用者透過 Google 進行其他驗證,並且一律套用兩步驟驗證政策 (如已設定的話)」:管理員須按照標準時間表,在強制日期前啟用兩步驟驗證。強制執行生效後,管理員每次透過供應商登入時,都必須完成 Google 兩步驟驗證提示。
- 如果設為「不要要求使用者透過 Google 進行額外驗證」:管理員透過供應商正常登入時,不會收到提醒,也不會失去 Workspace 應用程式的存取權。只有在直接登入 Google 或進行特定安全性檢查時,才需要註冊或使用兩步驟驗證。
注意:如果是超級管理員,只有在透過第三方供應商使用單一登入時,這項設定才會生效。直接登入 Google 時,超級管理員一律須按照標準時間表啟用兩步驟驗證。詳情請參閱「超級管理員單一登入」。
- 確保管理員已註冊:為確保帳戶存取權不受影響,請貴機構的所有管理員在 Google 強制執行這項措施前,前往 myaccount.google.com 啟用兩步驟驗證,並設定備用驗證方法。
強制執行兩步驟驗證時應考量的細節
- 將使用者設為管理員後,系統會立即強制執行兩步驟驗證。
- 管理員必須遵守 Google 設定的兩步驟驗證強制執行政策,無法略過。如果管理員無法啟用兩步驟驗證,唯一的解決方法是移除管理員權限。
- 服務帳戶不必啟用兩步驟驗證,但服務帳戶模擬的管理員帳戶必須註冊兩步驟驗證。
- 您可以在管理控制台中查看管理員的強制執行狀態。如需詳細步驟,請參閱「追蹤使用者註冊狀態」,並新增「強制執行兩步驟驗證」欄。
管理員帳戶救援
如果管理員在啟用兩步驟驗證後無法登入,請按照這篇文章中的步驟復原管理員帳戶。