Afin de mieux protéger les informations de votre organisation, Google exigera bientôt que la validation en deux étapes soit activée pour tous les comptes administrateur. En tant qu'administrateur Google Workspace, vous devez confirmer votre identité à l'aide de la validation en deux étapes, qui nécessite votre mot de passe et un élément supplémentaire, tel que votre numéro de téléphone ou une clé de sécurité.
Calendrier d'application
L'application forcée sera déployée progressivement au cours des prochaines années. Elle est en cours d'implémentation pour les organisations disposant de Workspace for Education, Workspace for Nonprofits, Cloud Identity, Android Enterprise et celles qui utilisent une édition Workspace Enterprise avec un fournisseur d'authentification unique (SSO) tiers. Nous vous conseillons d'activer la validation en deux étapes pour les comptes administrateur de votre organisation avant son application forcée par Google.
Les super-administrateurs recevront une notification environ 90 jours avant l'application forcée. Tous les autres administrateurs seront informés environ 60 jours à l'avance par e-mail et par téléphone mobile. Les administrateurs verront également un rappel lorsqu'ils se connecteront avec leur compte Google et un autre en haut de la page d'accueil de la console d'administration Google. Pendant cette période de notification, les règles de validation en deux étapes de Google remplaceront toutes les règles de validation en deux étapes existantes de l'organisation.
Notifications et rappels
Lorsqu'un administrateur se connecte à son compte pendant la période de notification, il reçoit un rappel pour activer la validation en deux étapes avant la date à laquelle celle-ci deviendra obligatoire. Si l'administrateur n'active pas la validation en deux étapes :
- Au bout de sept jours, un rappel s'affichera dans la console d'administration pour l'inviter à activer la validation en deux étapes.
- Au bout de 15 jours, il ne pourra plus accéder aux applications Workspace sur les appareils mobiles tant qu'il ne se sera pas inscrit à la validation en deux étapes.
- Au bout de 30 jours, il ne pourra plus accéder aux applications Web tant qu'il n'aura pas activé la validation en deux étapes.
Les délais exacts de notification peuvent varier en fonction de l'organisation, de son profil et des produits spécifiques qu'elle utilise. Il s'agit de délais standards qui sont censés laisser suffisamment de temps aux administrateurs pour s'inscrire.
Administrateurs utilisant le SSO
Si votre organisation utilise une édition Workspace Enterprise et un fournisseur SSO tiers pour se connecter, les administrateurs doivent activer la validation en deux étapes directement dans leur compte Google sur myaccount.google.com, même si le fournisseur exige déjà la validation en deux étapes. Cela permet de garantir la sécurité des comptes si un administrateur se connecte directement à Google.
Actions requises
- Vérifiez les paramètres de validation post-authentification unique : dans la console d'administration Google, accédez
à Sécurité
Authentification Questions de connexion.
Pour Validation post-authentification unique, recherchez la section correspondant au profil spécifique utilisé par votre
organisation (profil SSO hérité ou autres profils SSO), puis
vérifiez l’option sélectionnée :
- Si l'option "Demander aux utilisateurs des validations supplémentaires de la part de Google…" est sélectionnée : les administrateurs doivent activer la validation en deux étapes avant la date à laquelle elle deviendra obligatoire. Une fois l'application forcée implémentée, les administrateurs devront répondre à une invite de validation en deux étapes de Google chaque fois qu'ils se connecteront via le fournisseur.
- Si l'option "Ne pas demander aux utilisateurs de validation supplémentaire de la part de Google" est sélectionnée : les administrateurs ne recevront pas de rappels et ne perdront pas l'accès aux applications Workspace lors des connexions quotidiennes normales via le fournisseur. Ils ne seront tenus d'activer ou d'utiliser la validation en deux étapes que s'ils se connectent directement à Google ou lors de contrôles de sécurité spécifiques.
Remarque : Pour les super-administrateurs, ce paramètre ne s'applique que lorsqu'ils se connectent à l'aide du SSO via un fournisseur tiers. Il ne s'applique pas lorsqu'ils se connectent directement à Google, où ils doivent toujours suivre le calendrier standard pour activer la validation en deux étapes. Pour en savoir plus, consultez SSO pour les super-administrateurs.
- Assurez-vous que les administrateurs sont inscrits : pour qu'ils puissent continuer à accéder à leurs comptes, assurez-vous que tous les administrateurs de votre organisation activent la validation en deux étapes et configurent des méthodes de validation de secours sur myaccount.google.com avant l'application forcée par Google.
Informations à prendre en compte concernant l'application forcée de la validation en deux étapes
- L'application forcée de la validation en deux étapes est implémentée immédiatement lorsqu'un utilisateur est nommé administrateur.
- Les administrateurs soumis à la règle d'application forcée de la validation en deux étapes définie par Google ne peuvent pas la contourner. Si un administrateur ne peut pas activer la validation en deux étapes, la seule solution consiste à supprimer ses droits d'administrateur.
- La validation en deux étapes n'est pas obligatoire pour les comptes de service, mais le compte administrateur dont ils empruntent l'identité doit y être inscrit.
- Vous pouvez consulter l'état de l'application forcée pour un administrateur dans la console d'administration. Pour savoir comment procéder, consultez Suivez l'inscription des utilisateurs et ajoutez la colonne Validation en deux étapes obligatoire.
Récupération du compte administrateur
Si un administrateur ne parvient pas à se connecter après l'application forcée de la validation en deux étapes, suivez la procédure de récupération d'un compte administrateur.