为了更好地保护贵组织的信息,Google 很快会要求所有管理员账号都启用两步验证 (2SV)。作为 Google Workspace 管理员,您需要通过两步验证来确认自己的身份。两步验证需要您输入密码,并提供额外信息,例如手机或安全密钥。
强制执行时间安排
未来几年将逐步推行此强制执行措施。目前正在对使用 Workspace 教育版、Workspace 公益版、Cloud Identity、Android Enterprise 的组织,以及使用 Workspace 企业版并采用第三方单点登录 (SSO) 提供商的组织实施此强制执行措施。在 Google 强制执行之前,您应该为组织中的管理员账号启用两步验证。
超级用户应该会在强制执行生效前大约 90 天收到通知。所有其他管理员会在强制执行生效前大约 60 天收到通知,通知方式为电子邮件和手机。管理员还会看到提醒,提醒会显示在他们使用 Google 账号登录时以及 Google 管理控制台首页的顶部。在此通知期内,Google 的两步验证强制执行政策将取代组织的任何现有两步验证政策。
通知和提醒
在通知期内,当管理员登录自己的账号时,系统会提醒其在强制日期之前启用两步验证。如果管理员未启用两步验证:
- 7 天后,他们会继续在管理控制台中收到注册两步验证的提醒。
- 15 天后,他们将无法在移动设备上访问 Workspace 应用,直到注册两步验证。
- 30 天后,他们将无法访问 Web 应用,除非他们注册两步验证。
确切的通知时间可能会因组织、其资料和所用指定商品而异。以上是标准截止时间,旨在让管理员有足够的时间进行注册。
使用 SSO 的管理员
如果贵组织使用的是 Workspace 企业版,并且通过第三方 SSO 提供方登录,那么管理员必须直接在自己的 Google 账号 (myaccount.google.com) 中开启两步验证,即使提供方已要求进行两步验证也是如此。这样可确保在管理员直接登录 Google 时,账号仍保持安全。
需要采取的行动
- 查看单点登录后验证设置 - 在 Google 管理控制台中,依次前往安全
身份验证 登录验证。
对于单点登录后验证,找到贵组织使用的特定配置文件的部分(旧版单点登录配置文件或其他单点登录配置文件),然后查看所选选项: - 如果设置为“让 Google 在检测到可疑登录行为时要求用户进行额外的身份验证…”:管理员按照标准时间表在强制日期之前启用两步验证。强制执行生效后,管理员每次通过提供商登录时都必须完成 Google 两步验证提示。
- 如果设置为“不让 Google 要求用户进行额外的身份验证”- 管理员在通过提供方进行正常的日常登录时,不会收到提醒,也不会失去对 Workspace 应用的访问权限。只有在直接登录 Google 或在特定安全检查期间,他们才需要注册或使用两步验证。
注意:对于超级用户,此设置仅在他们通过第三方提供商使用单点登录进行登录时适用。如果用户直接登录 Google,则必须始终按照标准时间表启用两步验证,此时此政策不适用。有关详情,请参阅超级管理员单点登录。 - 确保管理员已注册 - 为确保账号访问权限,请确保您组织中的所有管理员在 Google 的强制执行措施生效之前,前往 myaccount.google.com 开启两步验证并配置备用验证方法。
强制执行两步验证时要考虑的详细信息
- 将用户设为管理员后,系统会立即强制执行两步验证。
- 受 Google 设置的两步验证强制执行政策约束的管理员无法绕过该政策。如果管理员无法启用两步验证,唯一的解决方法是移除其管理员权限。
- 服务账号无需启用两步验证,但其模拟的管理员账号必须已注册两步验证。
- 您可以在管理控制台中查看管理员的强制执行状态。如需了解相关步骤,请参阅跟踪用户的注册情况,并添加强制执行两步验证列。
管理员账号恢复
如果管理员在强制执行两步验证后无法登录,请按照相应步骤恢复管理员账号。