כדי להגן טוב יותר על המידע של הארגון, בקרוב Google תדרוש הפעלה של אימות דו-שלבי (2SV) בכל חשבונות האדמין. כאדמינים ב-Google Workspace, תצטרכו לאמת את הזהות שלכם באמצעות אימות דו-שלבי. האימות הזה דורש את הסיסמה שלכם ועוד פרט נוסף, כמו הטלפון או מפתח אבטחה.
ציר הזמן לאכיפה
האכיפה תושק בהדרגה במהלך השנים הקרובות. האכיפה מיושמת עכשיו בארגונים עם Workspace for Education, Workspace for Nonprofits, Cloud Identity, Android Enterprise ובארגונים שמשתמשים במהדורת Workspace Enterprise עם ספק כניסה יחידה (SSO) של צד שלישי. מומלץ להפעיל אימות דו-שלבי (2SV) בחשבונות האדמין בארגון לפני ש-Google תאכוף אותו.
סופר-אדמינים יקבלו התראה בערך 90 יום לפני שהאכיפה תיכנס לתוקף. כל שאר האדמינים יקבלו הודעה באימייל ובטלפון הנייד כ-60 יום מראש. אדמינים יראו גם תזכורת כשהם מתחברים באמצעות חשבון Google, ועוד תזכורת בחלק העליון של דף הבית במסוף Google Admin. במהלך תקופת ההודעה הזו, מדיניות האכיפה של Google בנושא אימות דו-שלבי תבטל כל מדיניות קיימת של הארגון בנושא אימות דו-שלבי.
התראות ותזכורות
כשמנהל מערכת נכנס לחשבון שלו במהלך תקופת ההתראות, הוא יקבל תזכורת להפעיל אימות דו-שלבי עד לתאריך המחייב. אם האדמין לא מפעיל אימות דו-שלבי:
- אחרי 7 ימים, הם ימשיכו לקבל תזכורות במסוף Admin להירשמה לאימות דו-שלבי.
- אחרי 15 ימים, הם לא יוכלו לגשת לאפליקציות Workspace במכשירים ניידים עד שהם יירשמו לאימות דו-שלבי.
- אחרי 30 יום, הם לא יוכלו לגשת לאפליקציות אינטרנט עד שהם יירשמו לאימות דו-שלבי.
המועדים המדויקים של ההתראות עשויים להשתנות בהתאם לארגון, לפרופיל שלו ולמוצרים הספציפיים שבהם הוא משתמש. אלה מועדים סטנדרטיים שנועדו לתת לאדמינים מספיק זמן להירשם.
אדמינים שמשתמשים ב-SSO
אם הארגון שלכם משתמש במהדורת Workspace Enterprise ובספק צד שלישי של כניסה יחידה (SSO) כדי להיכנס לחשבון, האדמינים צריכים להפעיל אימות דו-שלבי ישירות בחשבון Google שלהם בכתובת myaccount.google.com – גם אם הספק כבר דורש אימות דו-שלבי. כך מובטח שהחשבונות יישארו מאובטחים אם האדמין ייכנס ישירות ל-Google.
פעולות נדרשות
- בדיקת ההגדרות של אימות אחרי כניסה יחידה (SSO) – במסוף Google Admin, עוברים אל אבטחה
אימות
אתגרי כניסה. בקטע אימות אחרי SSO, מאתרים את הפרופיל הספציפי שבו הארגון משתמש (פרופיל SSO מדור קודם או פרופילי SSO אחרים) ומסמנים את האפשרות שנבחרה:
- אם ההגדרה היא 'לבקש מהמשתמשים אימותים נוספים מ-Google...' – האדמינים פועלים לפי ציר הזמן הרגיל כדי להפעיל אימות דו-שלבי עד לתאריך החובה. אחרי שהאכיפה תיכנס לתוקף, האדמינים יצטרכו להשלים הנחיה לאימות דו-שלבי של Google בכל פעם שהם נכנסים דרך הספק.
- אם ההגדרה היא 'לא לבקש ממשתמשים אימותים נוספים מ-Google' – אדמינים לא מקבלים תזכורות ולא מאבדים את הגישה לאפליקציות Workspace במהלך כניסות רגילות ויומיומיות דרך הספק. במקום זאת, הם נדרשים להירשם לאימות דו-שלבי או להשתמש בו רק אם הם נכנסים ישירות ל-Google או במהלך בדיקות אבטחה ספציפיות.
הערה: לסופר-אדמינים, ההגדרה הזו חלה רק כשהם נכנסים באמצעות SSO דרך ספק צד שלישי. היא לא חלה כשהם נכנסים ישירות לחשבון Google, כי במקרה כזה הם תמיד צריכים לפעול לפי ציר הזמן הרגיל כדי להפעיל אימות דו-שלבי. פרטים נוספים זמינים במאמר בנושא SSO של סופר-אדמין.
- מוודאים שהאדמינים רשומים – כדי לשמור על הגישה לחשבון, צריך לוודא שכל האדמינים בארגון יפעילו אימות דו-שלבי ויגדירו שיטות אימות לגיבוי בכתובת myaccount.google.com לפני שהאכיפה של Google תיכנס לתוקף.
פרטים חשובים לגבי אכיפת השימוש באימות דו-שלבי (2SV)
- אכיפת האימות הדו-שלבי מתבצעת באופן מיידי כשמשתמש מקבל הרשאות אדמין.
- אדמינים שחלה עליהם מדיניות האכיפה של Google בנושא אימות דו-שלבי לא יכולים לעקוף אותה. אם אדמין לא מצליח להפעיל אימות דו-שלבי, הפתרון היחיד הוא להסיר את הרשאות האדמין שלו.
- לא נדרש אימות דו-שלבי בחשבונות שירות, אבל חשבון האדמין שהם מתחזים לו חייב להיות רשום לאימות דו-שלבי.
- אפשר לבדוק את סטטוס האכיפה של אדמין במסוף Admin. לשלבים, עוברים אל מעקב אחרי הרשמת משתמשים ומוסיפים את העמודה אכיפה של אימות דו-שלבי.
שחזור חשבון של מנהל מערכת
אם אדמין לא מצליח להיכנס לחשבון אחרי הפעלת האימות הדו-שלבי, צריך לפעול לפי השלבים לשחזור חשבון אדמין.