Éviter la perte d'accès aux comptes lorsque la validation en deux étapes est appliquée par votre organisation

La procédure décrite dans cet article ne s'applique pas si Google a appliqué de force la validation en deux étapes au compte administrateur de votre organisation. Pour vérifier l'état de l'application forcée dans votre compte, accédez à Suivez l'inscription des utilisateurs et ajoutez la colonne Application de la validation en deux étapes. Pour en savoir plus, consultez À propos de l'application forcée de la validation en deux étapes pour les administrateurs.

Lorsque vous appliquez la validation en deux étapes, vous pouvez définir une période d'inscription au cours de laquelle les nouveaux utilisateurs pourront se connecter en saisissant uniquement leur mot de passe. Cela laisse aux nouveaux employés le temps de s'inscrire avant qu'elle ne soit appliquée d'office à leur compte. Pour éviter la perte d'accès aux comptes, placez les utilisateurs dans un groupe de configuration dans lequel la validation en deux étapes n'est pas appliquée de force, jusqu'à ce qu'ils puissent s'inscrire.

Important : Google applique la validation en deux étapes aux comptes administrateur. Pour en savoir plus, consultez À propos de l'application forcée de la validation en deux étapes pour les administrateurs.

Comment les utilisateurs perdent l'accès à leur compte

  • Si vous modifiez votre structure organisationnelle et que vous déplacez des utilisateurs d'une unité organisationnelle qui n'applique pas la validation en deux étapes vers une unité qui l'applique, les utilisateurs qui ne sont pas inscrits à la validation en deux étapes ne pourront pas se connecter à leur compte.
  • Si vous appliquez une autre règle de validation en deux étapes, vous risquez de bloquer l'accès des utilisateurs à leur compte. Par exemple, si vous autorisez les utilisateurs à recevoir des codes de validation par SMS, puis que vous modifiez la règle pour leur demander d'utiliser une clé de sécurité, les utilisateurs qui ne respectent pas la nouvelle règle perdront l'accès à leur compte.
  • Si les utilisateurs suppriment la dernière étape secondaire connue de leur compte, comme un numéro de téléphone, ils reçoivent un avertissement. S'ils n'ajoutent pas de nouvelle étape secondaire, ils risquent de perdre l'accès à leur compte. Si un utilisateur doit rétablir sa dernière étape secondaire connue, demandez-lui de consulter Activer la validation en deux étapes.

Important : Une règle de validation en deux étapes définie sur une unité organisationnelle enfant prévaudra toujours sur un paramètre de groupe de configuration. Pour vous assurer que l'exception du groupe de configuration fonctionne, vérifiez qu'aucune unité organisationnelle enfant dont l'utilisateur fait partie n'applique la validation en deux étapes.

Étape 1 : Créez un groupe avec exception pour dispenser de la validation en deux étapes

  1. Créez le groupe dans la console d'administration ou dans Google Cloud Directory Sync, puis ajoutez-y les utilisateurs qui ne sont pas tenus d'utiliser la validation en deux étapes. Pour connaître la procédure à suivre, consultez Créer un groupe dans votre organisation.

Étape 2 : Désactivez l'application forcée de la validation en deux étapes pour le groupe

Avant de commencer : Pour appliquer le paramètre à certains utilisateurs, placez les comptes concernés dans un groupe de configuration.

Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  1. Dans la console d'administration Google, accédez à Menu puis SécuritépuisAuthentificationpuisValidation en deux étapes.

    Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  2. (Facultatif) Pour n'appliquer le paramètre qu'à certains utilisateurs, sur le côté, sélectionnez un groupe de configuration.
  3. Cochez l'option Autoriser les utilisateurs à activer la validation en deux étapes , puis sélectionnez ApplicationpuisDésactivée.
  4. Cliquez sur Enregistrer.

Étape 3 : Demandez aux utilisateurs d'activer la validation en deux étapes

Demandez aux utilisateurs d'activer la validation en deux étapes pour leur compte. S'ils ne l'activent pas (ne s'inscrivent pas) avant que vous ne les retiriez du groupe de configuration, ils n'auront plus accès à leur compte. Demandez aux utilisateurs de suivre la procédure Activer la validation en deux étapes.

Étape 4 : Retirez les utilisateurs inscrits du groupe

  1. Dans la console d'administration Google, accédez à Menu puis RapportspuisRapports utilisateurpuisSécurité.

    Vous devez disposer du droit d'administrateur de rapports.

    Vous pouvez vérifier quels utilisateurs sont inscrits à la validation en deux étapes. Ces données peuvent être retardées de 48 heures au maximum. Pour savoir comment accéder en temps réel à l'état de la validation en deux étapes pour chacun des utilisateurs, consultez Gérer les paramètres de sécurité des utilisateurs.

  2. Lorsqu'un membre du groupe avec exception pour dispenser de la validation en deux étapes s'inscrit à la validation en deux étapes, retirez-le du groupe et déplacez-le dans l'unité organisationnelle où vous appliquez la validation en deux étapes.