Kontosperrungen bei der Erzwingung der 2‑Faktor-Authentifizierung durch die Organisation vermeiden

Die Schritte in diesem Artikel gelten nicht, wenn Google die 2‑Faktor-Authentifizierung für das Administratorkonto in Ihrer Organisation erzwungen hat. Wenn Sie den Status der Erzwingung für Ihr Konto prüfen möchten, rufen Sie Registrierung von Nutzern erfassen auf und fügen Sie die Spalte Umsetzung der Bestätigung in zwei Schritten hinzu. Weitere Informationen finden Sie im Hilfeartikel 2‑Faktor-Authentifizierung für Administratoren erzwingen.

Wenn Sie die 2‑Faktor-Authentifizierung erzwingen, können Sie einen Zeitraum festlegen, in dem neue Nutzer die Möglichkeit haben, sich lediglich mit ihrem Passwort anzumelden. So haben neue Mitarbeiter Zeit, sich zu registrieren, bevor die Erzwingung auf ihre Konten angewendet wird. Um Kontensperrungen zu vermeiden, sollten Sie Nutzer in eine Konfigurationsgruppe aufnehmen, in der die 2‑Faktor-Authentifizierung erst erzwungen wird, nachdem sie sich registriert haben.

Wichtig: Google erzwingt die 2FA für Administratorkonten. Weitere Informationen finden Sie im Hilfeartikel 2‑Faktor-Authentifizierung für Administratoren erzwingen.

Wie Nutzer den Zugriff auf ihr Konto verlieren

  • Wenn Sie Ihre Organisationsstruktur ändern und Nutzer von einer Organisationseinheit ohne Erzwingung in eine Organisationseinheit verschieben, in der die 2-Faktor-Authentifizierung erzwungen wird, können sich Nutzer, die nicht für die 2-Faktor-Authentifizierung registriert sind, nicht in ihren Konten anmelden.
  • Wenn Sie eine andere Richtlinie für die Bestätigung in zwei Schritten erzwingen, verlieren Nutzer möglicherweise den Zugriff auf ihre Konten. Wenn Sie beispielsweise Nutzern erlauben, Bestätigungscodes per SMS zu erhalten, und dann die Richtlinie ändern, dass sie einen Sicherheitsschlüssel verwenden müssen, Wenn Nutzer diese neuen Richtlinien nicht einhalten, werden ihre Konten gesperrt.
  • Wenn ein Nutzer den letzten bekannten zweiten Schritt aus seinem Konto entfernt, z. B. eine Telefonnummer, erhält er eine Warnung. Wenn er keinen neuen zweiten Schritt hinzufügt, verliert er möglicherweise den Zugriff auf sein Konto. Wenn ein Nutzer den letzten bekannten zweiten Schritt wieder hinzufügen muss, bitten Sie ihn den Artikel Bestätigung in zwei Schritten aktivieren zu lesen.

Wichtig: Eine Richtlinie zur 2‑Faktor-Authentifizierung, die für eine untergeordnete Organisationseinheit festgelegt ist, hat immer Vorrang vor einer Einstellung für eine Konfigurationsgruppe. Damit die Ausnahme für die Konfigurationsgruppe funktioniert, muss die 2‑Faktor-Authentifizierung für alle untergeordneten Organisationseinheiten, zu denen der Nutzer gehört, deaktiviert sein.

Schritt 1: Gruppe für Ausnahme von der 2‑Faktor-Authentifizierung erstellen

  1. Erstellen Sie die Gruppe in der Admin-Konsole oder in Google Cloud Directory Sync und fügen Sie die Nutzer hinzu, die die 2‑Faktor-Authentifizierung nicht verwenden müssen. Eine Anleitung dazu finden Sie im Hilfeartikel Gruppe in Ihrer Organisation erstellen.

Schritt 2: 2FA-Erzwingung für die Gruppe deaktivieren

Hinweis:Wenn Sie die Einstellung auf bestimmte Nutzer anwenden möchten, müssen Sie deren Konten einer Konfigurationsgruppe hinzufügen.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Gehen Sie in der Admin-Konsole zum Menü  und dann Sicherheit und dann Authentifizierung und dann 2‑Faktor-Authentifizierung.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Konfigurationsgruppe aus.
  3. Klicken Sie das Kästchen Nutzer dürfen die Bestätigung in zwei Schritten aktivieren an und wählen Sie Erzwingung und dann Aus aus.
  4. Klicken Sie auf Speichern.

Schritt 3: Nutzer bitten, die 2FA zu aktivieren

Bitten Sie die Nutzer, die 2FA für ihr Konto zu aktivieren. Wenn sie die Funktion nicht aktivieren (registrieren), bevor Sie sie aus der Konfigurationsgruppe entfernen, können Nutzer nicht mehr auf ihr Konto zugreifen. Fordern Sie die Nutzer auf, der Anleitung unter Konto mit der Bestätigung in zwei Schritten schützen zu folgen.

Schritt 4: Registrierte Nutzer aus der Gruppe entfernen

  1. Gehen Sie in der Admin-Konsole zum Menü  und dann Berichterstellung und dann Nutzerberichte und dann Sicherheit.

    Gehen Sie zu Sicherheit.

    Hierfür benötigen Sie die Administratorberechtigung Berichte.

    Sie können sehen, welche Nutzer für die 2‑Faktor-Authentifizierung registriert sind. Die Anzeige dieser Daten kann bis zu 48 Stunden verzögert sein. Weitere Informationen zum Echtzeitstatus der 2‑Faktor-Authentifizierung für einzelne Nutzer finden Sie unter Sicherheitseinstellungen eines Nutzers verwalten.

  2. Wenn sich ein Mitglied der Gruppe „Von der Bestätigung in zwei Schritten ausgenommen“ für die 2‑Faktor-Authentifizierung registriert, entfernen Sie den Nutzer aus der Gruppe „Von der Bestätigung in zwei Schritten ausgenommen“ und verschieben Sie ihn in die Organisationseinheit, in der die 2‑Faktor-Authentifizierung erzwungen wird.