Kontosperrungen bei der Erzwingung der 2‑Faktor-Authentifizierung durch die Organisation vermeiden

Die Schritte in diesem Artikel gelten nicht, wenn Google die 2‑Faktor-Authentifizierung für das Administratorkonto in Ihrer Organisation erzwungen hat. Wenn Sie den Status der Erzwingung für Ihr Konto prüfen möchten, rufen Sie Registrierung von Nutzern erfassen auf und fügen Sie die Spalte Umsetzung der 2‑Faktor-Authentifizierung hinzu. Weitere Informationen finden Sie im Hilfeartikel 2‑Faktor-Authentifizierung für Administratoren erzwingen.

Wenn Sie die 2‑Faktor-Authentifizierung erzwingen, können Sie einen Zeitraum festlegen, in dem sich neue Nutzer nur mit ihrem Passwort anmelden können. So haben neue Mitarbeiter Zeit, sich zu registrieren, bevor die Erzwingung auf ihre Konten angewendet wird. Um Kontensperrungen zu vermeiden, sollten Sie Nutzer in eine Konfigurationsgruppe aufnehmen, in der die 2‑Faktor-Authentifizierung erst erzwungen wird, nachdem sie sich registriert haben.

Wichtig: Google erzwingt die 2‑Faktor-Authentifizierung für Administratorkonten. Weitere Informationen finden Sie im Hilfeartikel 2‑Faktor-Authentifizierung für Administratoren erzwingen.

Wie Nutzer den Zugriff auf ihr Konto verlieren

  • Wenn Sie Ihre Organisationsstruktur ändern und Nutzer von einer Organisationseinheit ohne Erzwingung in eine Organisationseinheit verschieben, in der die 2‑Faktor-Authentifizierung erzwungen wird, können sich Nutzer, die nicht für die 2‑Faktor-Authentifizierung registriert sind, nicht in ihren Konten anmelden.
  • Wenn Sie eine andere Richtlinie zur 2‑Faktor-Authentifizierung erzwingen, können Sie Nutzer möglicherweise aus ihren Konten aussperren. Wenn Sie beispielsweise Nutzern erlauben, Bestätigungscodes per SMS zu erhalten, und dann die Richtlinie ändern, dass sie einen Sicherheitsschlüssel verwenden müssen, verlieren Nutzer, die die neue Richtlinie nicht einhalten, möglicherweise den Zugriff auf ihre Konten.
  • Wenn ein Nutzer den letzten bekannten zweiten Schritt aus seinem Konto entfernt, z. B. eine Telefonnummer, erhält er eine Warnung. Wenn er keinen neuen zweiten Schritt hinzufügt, kann er möglicherweise den Zugriff auf sein Konto verlieren. Wenn ein Nutzer den letzten bekannten zweiten Schritt wieder hinzufügen muss, bitten Sie ihn den Artikel Bestätigung in zwei Schritten aktivieren zu lesen.

Wichtig: Eine Richtlinie zur 2‑Faktor-Authentifizierung, die für eine untergeordnete Organisationseinheit festgelegt ist, hat immer Vorrang vor einer Einstellung für eine Konfigurationsgruppe. Damit die Ausnahme für die Konfigurationsgruppe funktioniert, muss die 2‑Faktor-Authentifizierung für alle untergeordneten Organisationseinheiten, zu denen der Nutzer gehört, deaktiviert sein.

Schritt 1: Gruppe für Ausnahme von der 2‑Faktor-Authentifizierung erstellen

  1. Erstellen Sie die Gruppe in der Admin-Konsole oder in Google Cloud Directory Sync und fügen Sie der Gruppe die Nutzer hinzu, die die 2‑Faktor-Authentifizierung nicht verwenden müssen. Eine Anleitung dazu finden Sie im Hilfeartikel Gruppe in Ihrer Organisation erstellen.

Schritt 2: Erzwingung der 2‑Faktor-Authentifizierung für die Gruppe deaktivieren

Vorbereitung: Wenn Sie die Einstellung auf bestimmte Nutzer anwenden möchten, müssen Sie deren Konten einer Konfigurationsgruppe hinzufügen.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannAuthentifizierungund dannBestätigung in zwei Schritten.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Konfigurationsgruppe aus.
  3. Klicken Sie auf das Kästchen Nutzer dürfen die Bestätigung in zwei Schritten aktivieren und wählen Sie Erzwingungund dannAus aus.
  4. Klicken Sie auf Speichern.

Schritt 3: Nutzer auffordern, die 2‑Faktor-Authentifizierung zu aktivieren

Fordern Sie Nutzer auf, die 2‑Faktor-Authentifizierung für ihr Konto zu aktivieren. Wenn sie die Funktion nicht aktivieren (registrieren), bevor Sie sie aus der Konfigurationsgruppe entfernen, können Nutzer nicht mehr auf ihr Konto zugreifen. Bitten Sie die Nutzer, die Schritte unter Bestätigung in zwei Schritten aktivieren auszuführen.

Schritt 4: Registrierte Nutzer aus der Gruppe entfernen

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Berichterstellungund dannNutzerberichteund dannSicherheit.

    Erfordert die Administratorberechtigung für Berichte.

    Sie können sehen, welche Nutzer für die 2‑Faktor-Authentifizierung registriert sind. Diese Daten können bis zu 48 Stunden verzögert sein. Weitere Informationen zum Echtzeitstatus der 2‑Faktor-Authentifizierung für einzelne Nutzer finden Sie unter Sicherheitseinstellungen eines Nutzers verwalten.

  2. Wenn sich ein Mitglied der Gruppe „Von der Bestätigung in zwei Schritten ausgenommen“ für die 2‑Faktor-Authentifizierung registriert, entfernen Sie den Nutzer aus der Gruppe „Von der Bestätigung in zwei Schritten ausgenommen“ und verschieben Sie ihn in die Organisationseinheit, in der die 2‑Faktor-Authentifizierung erzwungen wird.