Um die Daten Ihrer Organisation besser zu schützen, fordert Google bald die Aktivierung der Bestätigung in zwei Schritten für alle Administratorkonten an. Als Google Workspace-Administrator müssen Sie Ihre Identität mit der 2‑Faktor-Authentifizierung bestätigen. Dazu benötigen Sie Ihr Passwort und etwas Zusätzliches, z. B. Ihr Smartphone oder einen Sicherheitsschlüssel.
Zeitachse für die Durchsetzung
Die Erzwingung erfolgt in den kommenden Jahren schrittweise. Die Umsetzung wird jetzt für Organisationen mit Workspace for Education, Workspace for Nonprofits, Cloud Identity, Android Enterprise und Organisationen implementiert, die eine Workspace Enterprise-Version mit einem externen SSO-Anbieter verwenden. Sie sollten die 2FA für die Administratorkonten in Ihrer Organisation aktivieren, bevor sie von Google durchgesetzt wird.
Super Admins erhalten etwa 90 Tage vor der Umsetzung eine Benachrichtigung. Alle anderen Administratoren werden etwa 60 Tage vorher per E-Mail und Smartphone benachrichtigt. Administratoren sehen außerdem eine Erinnerung, wenn sie sich mit ihrem Google-Konto anmelden, und eine weitere oben auf der Startseite der Google Admin-Konsole. Während dieses Benachrichtigungszeitraums hat die Richtlinie von Google zur Umsetzung der 2‑Faktor-Authentifizierung Vorrang vor allen bestehenden Organisationsrichtlinien zur 2‑Faktor-Authentifizierung.
Benachrichtigungen und Erinnerungen
Wenn sich ein Administrator während des Benachrichtigungszeitraums in seinem Konto anmeldet, wird er daran erinnert, die Bestätigung in zwei Schritten bis zum obligatorischen Datum zu aktivieren. Wenn der Administrator die 2‑Faktor-Authentifizierung nicht aktiviert:
- Nach 7 Tagen erhalten sie weiterhin Erinnerungen in der Admin-Konsole, die Bestätigung in zwei Schritten zu aktivieren.
- Nach 15 Tagen kann er nicht mehr auf Workspace-Apps auf Mobilgeräten zugreifen, bis er die Bestätigung in zwei Schritten aktiviert hat.
- Nach 30 Tagen kann er erst dann auf Web-Apps zugreifen, wenn er die Bestätigung in zwei Schritten aktiviert hat.
Die genauen Benachrichtigungszeiten können je nach Organisation, Profil und den verwendeten Produkten variieren. Dies sind Standardfristen, die Administratoren genügend Zeit für die Registrierung geben sollen.
Administratoren, die SSO verwenden
Wenn Ihre Organisation eine Workspace Enterprise-Version und einen externen SSO-Anbieter für die Anmeldung verwendet, müssen Administratoren die 2‑Faktor-Authentifizierung direkt in ihrem Google-Konto unter myaccount.google.com aktivieren – auch wenn der Anbieter bereits eine 2‑Faktor-Authentifizierung erfordert. So bleiben Konten sicher, wenn sich ein Administrator direkt bei Google anmeldet.
Erforderliche Maßnahmen
- Einstellungen für die Identitätsbestätigung nach der Einmalanmeldung prüfen: Rufen Sie in der Admin-Konsole Sicherheit
Authentifizierung
Anmeldeherausforderungen auf. Suchen Sie unter Identitätsbestätigung nach der Einmalanmeldung (SSO) nach dem Abschnitt für das Profil, das Ihre Organisation verwendet (Legacy-SSO-Profil oder Andere SSO-Profile), und prüfen Sie die ausgewählte Option:
- Wenn die Option „Bei verdächtigen Anmeldungen von Nutzern eine zusätzliche Google-Identitätsbestätigung anfordern…“ festgelegt ist: Administratoren folgen dem Standardzeitplan, um die 2‑Faktor-Authentifizierung bis zum obligatorischen Datum zu aktivieren. Sobald die Erzwingung in Kraft tritt, müssen Administratoren bei jeder Anmeldung über den Anbieter eine Aufforderung zur Bestätigung in zwei Schritten von Google ausfüllen.
- Wenn die Option auf „Keine zusätzliche Google-Identitätsbestätigung von Nutzern anfordern“ festgelegt ist: Administratoren erhalten keine Erinnerungen und verlieren nicht den Zugriff auf Workspace-Apps, wenn sie sich über den Anbieter anmelden. Stattdessen müssen sie sich nur dann für die 2‑Faktor-Authentifizierung registrieren oder sie verwenden, wenn sie sich direkt bei Google anmelden oder bei bestimmten Sicherheitsüberprüfungen.
Hinweis:Für Super Admins gilt diese Einstellung nur, wenn sie sich über SSO eines Drittanbieters anmelden. Sie gilt nicht, wenn sich Nutzer direkt bei Google anmelden. In diesem Fall müssen sie immer den Standardzeitplan für die Aktivierung der 2FA einhalten. Weitere Informationen finden Sie unter SSO für Super Admins.
- Administratoren registrieren: Damit der Kontozugriff erhalten bleibt, müssen alle Administratoren in Ihrer Organisation die 2FA aktivieren und Backup-Bestätigungsmethoden unter myaccount.google.com konfigurieren, bevor die Durchsetzung durch Google in Kraft tritt.
Details zur 2FA-Erzwingung
- Die Erzwingung der Bestätigung in zwei Schritten wird sofort angewendet, wenn ein Nutzer zum Administrator gemacht wird.
- Administratoren, die der von Google festgelegten Richtlinie zur Durchsetzung der Bestätigung in zwei Schritten unterliegen, können diese nicht umgehen. Wenn ein Administrator die 2‑Faktor-Authentifizierung nicht aktivieren kann, besteht die einzige Lösung darin, seine Administratorrechte zu entfernen.
- Für Dienstkonten ist die 2FA nicht erforderlich, aber das Administratorkonto, das sie imitieren, muss für die 2FA registriert sein.
- Sie können den Status der Erzwingung für einzelne Administratoren in der Admin-Konsole überprüfen. Eine entsprechende Anleitung finden Sie unter Registrierung von Nutzern erfassen. Fügen Sie dann die Spalte Umsetzung der 2‑Faktor-Authentifizierung hinzu.
Wiederherstellung des Administratorkontos
Wenn sich ein Administrator nach der Umsetzung der Bestätigung in zwei Schritten nicht anmelden kann, folgen Sie der Anleitung zur Wiederherstellung eines Administratorkontos.