Kontosperrungen bei der Erzwingung der 2‑Faktor-Authentifizierung durch die Organisation vermeiden

Die Schritte in diesem Artikel gelten nicht, wenn Google die 2‑Faktor-Authentifizierung für das Administratorkonto in Ihrer Organisation erzwungen hat. Wenn Sie den Status der Erzwingung für Ihr Konto prüfen möchten, rufen Sie Registrierung von Nutzern erfassen auf und fügen Sie die Spalte Umsetzung der 2‑Faktor-Authentifizierung hinzu. Weitere Informationen finden Sie im Hilfeartikel 2‑Faktor-Authentifizierung für Administratoren erzwingen.

Wenn Sie die 2‑Faktor-Authentifizierung erzwingen, können Sie einen Zeitraum festlegen, in dem neue Nutzer die Möglichkeit haben, sich lediglich mit ihrem Passwort anzumelden. Das gibt neuen Mitarbeitern die Gelegenheit, sich anzumelden, bevor die Pflicht auch für sie gilt. Um Kontensperrungen zu vermeiden, sollten Sie Nutzer in eine Konfigurationsgruppe aufnehmen, in der die 2‑Faktor-Authentifizierung erst erzwungen wird, nachdem sie sich registriert haben.

Wichtig: Google erzwingt die 2‑Faktor-Authentifizierung für Administratorkonten. Weitere Informationen finden Sie im Hilfeartikel 2‑Faktor-Authentifizierung für Administratoren erzwingen.

Wie Nutzer den Zugriff auf ihr Konto verlieren

  • Wenn Sie Ihre Organisationsstruktur ändern und Nutzer von einer Organisationseinheit ohne Erzwingung in eine Organisationseinheit verschieben, in der die 2‑Faktor-Authentifizierung erzwungen wird, können sich Nutzer, die nicht für die 2‑Faktor-Authentifizierung registriert sind, nicht in ihren Konten anmelden.
  • Wenn Sie eine andere Richtlinie für die 2‑Faktor-Authentifizierung erzwingen, verlieren Nutzer möglicherweise den Zugriff auf ihre Konten. Wenn Sie beispielsweise Nutzern erlauben, Bestätigungscodes per SMS zu erhalten, und dann die Richtlinie ändern, dass sie einen Sicherheitsschlüssel verwenden müssen, verlieren Nutzer, die die neue Richtlinie nicht einhalten, möglicherweise den Zugriff auf ihre Konten.
  • Wenn ein Nutzer den letzten bekannten zweiten Schritt aus seinem Konto entfernt, z. B. eine Telefonnummer, erhält er eine Warnung. Wenn er keinen neuen zweiten Schritt hinzufügt, kann er möglicherweise nicht mehr auf sein Konto zugreifen. Wenn ein Nutzer den letzten bekannten zweiten Schritt wieder hinzufügen muss, bitten Sie ihn den Artikel Bestätigung in zwei Schritten aktivieren zu lesen.

Wichtig: Eine Richtlinie zur 2‑Faktor-Authentifizierung, die für eine untergeordnete Organisationseinheit festgelegt ist, hat immer Vorrang vor einer Einstellung für eine Konfigurationsgruppe. Damit die Ausnahme für die Konfigurationsgruppe funktioniert, muss die 2‑Faktor-Authentifizierung für alle untergeordneten Organisationseinheiten, zu denen der Nutzer gehört, deaktiviert sein.

Schritt 1: Gruppe für Ausnahme von der 2‑Faktor-Authentifizierung erstellen

  1. Erstellen Sie die Gruppe in der Admin-Konsole oder in Google Cloud Directory Sync und fügen Sie der Gruppe die Nutzer hinzu, die die 2‑Faktor-Authentifizierung nicht verwenden müssen. Eine entsprechende Anleitung finden Sie unter Gruppe in Ihrer Organisation erstellen.

Schritt 2: 2FA-Erzwingung für die Gruppe deaktivieren

Hinweis:Wenn Sie die Einstellung auf bestimmte Nutzer anwenden möchten, müssen Sie deren Konten einer Konfigurationsgruppe hinzufügen.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Authentifizierung und dann Bestätigung in zwei Schritten.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Konfigurationsgruppe aus.
  3. Klicken Sie auf das Kästchen Nutzer dürfen die Bestätigung in zwei Schritten aktivieren und wählen Sie Erzwingung und dann Aus aus.
  4. Klicken Sie auf Speichern.

Schritt 3: Nutzer bitten, 2FA zu aktivieren

Bitten Sie die Nutzer, die 2FA für ihr Konto zu aktivieren. Wenn sie die Funktion nicht aktivieren (registrieren), bevor Sie sie aus der Konfigurationsgruppe entfernen, können Nutzer nicht mehr auf ihr Konto zugreifen. Bitten Sie die Nutzer, die Schritte unter Bestätigung in zwei Schritten aktivieren auszuführen.

Schritt 4: Registrierte Nutzer aus der Gruppe entfernen

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Berichte und dann Nutzerberichte und dann Sicherheit.

    Hierfür benötigen Sie die Administratorberechtigung „Berichte“.

    Sie können sehen, welche Nutzer für die 2‑Faktor-Authentifizierung registriert sind. Diese Daten können bis zu 48 Stunden verzögert sein. Weitere Informationen zum Echtzeitstatus der Bestätigung in zwei Schritten für einzelne Nutzer finden Sie unter Sicherheitseinstellungen eines Nutzers verwalten.

  2. Wenn sich ein Mitglied der Gruppe „Von der Bestätigung in zwei Schritten ausgenommen“ für die 2‑Faktor-Authentifizierung registriert, entfernen Sie den Nutzer aus der Gruppe „Von der Bestätigung in zwei Schritten ausgenommen“ und verschieben Sie ihn in die Organisationseinheit, in der die 2‑Faktor-Authentifizierung erzwungen wird.