Wdrażanie weryfikacji dwuetapowej

Zarówno Ty, jak i Twoi użytkownicy macie do odegrania ważną rolę w konfigurowaniu weryfikacji dwuetapowej. Użytkownicy mogą wybrać metodę weryfikacji dwuetapowej albo możesz wymusić ją dla określonych użytkowników lub grup w organizacji. Możesz na przykład wymagać kluczy bezpieczeństwa w przypadku niewielkiego zespołu w dziale sprzedaży.

Ważne: Google wymusza stosowanie weryfikacji dwuetapowej na kontach administratorów. Więcej informacji znajdziesz w artykule Wymuszanie weryfikacji dwuetapowej na kontach administratorów.

Krok 1. Powiadom użytkowników o konieczności wdrożenia weryfikacji dwuetapowej

Zanim wdrożysz weryfikację dwuetapową, poinformuj użytkowników o planach firmy, w tym o:

• Wyjaśnij, czym jest weryfikacja dwuetapowa i dlaczego warto z niej korzystać.
• Określ, czy weryfikacja dwuetapowa jest opcjonalna czy wymagana.
• W razie potrzeby podaj termin, do którego użytkownicy muszą włączyć weryfikację dwuetapową.
• Sprecyzuj, czy weryfikacja dwuetapowa jest obowiązkowa, czy zalecana.

Krok 2. Zezwól użytkownikom na włączenie weryfikacji dwuetapowej

Konta użytkowników utworzone przed grudniem 2016 r. mają domyślnie włączoną weryfikację dwuetapową.

Zezwól użytkownikom na włączenie weryfikacji dwuetapowej oraz użycie dowolnej metody weryfikacji.

Obejrzyj film

Aby zezwolić użytkownikom włączenie weryfikacji dwuetapowej

Zanim zaczniesz: w razie potrzeby dowiedz się, jak zastosować to ustawienie w dziale lub grupie.

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

1. W konsoli administracyjnej Google otwórz Menu Zabezpieczenia Uwierzytelnianie Weryfikacja dwuetapowa.

   Otwórz stronę Weryfikacja dwuetapowa

   Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

2. (Opcjonalnie) Aby zastosować to ustawienie tylko do niektórych użytkowników, z boku wybierz jednostkę organizacyjną (często używaną na potrzeby działów) lub grupę konfiguracji (zaawansowane).

   Ustawienia grupy zastępują ustawienia jednostek organizacyjnych. Więcej informacji

3. Zaznacz pole Zezwalaj użytkownikom na włączanie weryfikacji dwuetapowej.
4. Kliknij Wymuszanie Wyłączone.
5. Kliknij Zapisz. W przypadku jednostki organizacyjnej możesz też kliknąć Zastąp.

   Aby później przywrócić odziedziczoną wartość, kliknij Odziedzicz (lub Cofnij ustawienie w przypadku grupy).

Krok 3. Poproś użytkowników o skonfigurowanie weryfikacji dwuetapowej

1. Poproś użytkowników o skonfigurowanie weryfikacji dwuetapowej. W tym celu muszą oni wykonać czynności podane na stronie Włączanie weryfikacji dwuetapowej.
2. Podaj instrukcje dotyczące rejestracji w ramach weryfikacji dwuetapowej:
   • Klucze bezpieczeństwa
   • Potwierdzenie od Google, SMS lub połączenie telefoniczne
   • Aplikacja Google Authenticator
   • Kody zapasowe

Krok 4. Śledź rejestrację użytkowników

Skorzystaj z raportów, by monitorować rejestrację użytkowników w usłudze weryfikacji dwuetapowej. Sprawdź stan rejestracji użytkowników, stan egzekwowania zasad i liczbę kluczy bezpieczeństwa.

Obejrzyj film

Monitorowanie rejestracji w usłudze weryfikacji dwuetapowej

1. W konsoli administracyjnej Google otwórz Menu Raportowanie Raporty dotyczące użytkowników Zabezpieczenia.

   Otwórz stronę Zabezpieczenia

   Wymaga uprawnień administratora Raporty.

2. (Opcjonalnie) Aby dodać nową kolumnę informacji, kliknij Ustawienia Dodaj nową kolumnę. Wybierz kolumnę, którą chcesz dodać do tabeli, i kliknij Zapisz.

Więcej informacji znajdziesz w artykule Zarządzanie ustawieniami bezpieczeństwa użytkownika.

Wyświetl trendy dotyczące rejestracji

1. Na stronie głównej w konsoli administracyjnej kliknij Raporty Raporty dotyczące aplikacji Konta.

Zidentyfikuj jednostki organizacyjne i grupy, które nie korzystają z weryfikacji dwuetapowej

1. W konsoli administracyjnej Google otwórz Menu Zabezpieczenia Centrum bezpieczeństwa Stan zabezpieczeń.

   Otwórz stronę Stan zabezpieczeń

   Wymagane są uprawnienia administratora Centrum bezpieczeństwa oraz uprawnienia do odczytu użytkowników i jednostek organizacyjnych.

2. Wyszukaj Stan zabezpieczeń dla Weryfikacji dwuetapowej dla administratorów lub Weryfikacji dwuetapowej dla użytkowników , aby sprawdzić informacje dotyczące weryfikacji dwuetapowej.

Krok 5. Wymuś weryfikację dwuetapową (opcjonalny)

Zanim zaczniesz: upewnij się, że użytkownicy zarejestrowali się w usłudze weryfikacji dwuetapowej.

Ważne: gdy wymusisz stosowanie weryfikacji dwuetapowej, użytkownicy, którzy nie ukończyli procesu rejestracji, ale dodali do swojego konta informacje uwierzytelniania dwuskładnikowego, takie jak klucz bezpieczeństwa lub numer telefonu, będą mogli logować się za pomocą tych informacji. Jeśli zobaczysz logowanie przez niezarejestrowanego użytkownika należącego do jednostki organizacyjnej, w której wymuszono weryfikację dwuetapową, jest to logowanie z weryfikacją dwuetapową.

Zanim zaczniesz: w razie potrzeby dowiedz się, jak zastosować to ustawienie w dziale lub grupie.

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

1. W konsoli administracyjnej Google otwórz Menu Zabezpieczenia Uwierzytelnianie Weryfikacja dwuetapowa.

   Otwórz stronę Weryfikacja dwuetapowa

   Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

2. (Opcjonalnie) Aby zastosować to ustawienie tylko do niektórych użytkowników, z boku wybierz jednostkę organizacyjną (często używaną na potrzeby działów) lub grupę konfiguracji (zaawansowane).

   Ustawienia grupy zastępują ustawienia jednostek organizacyjnych. Więcej informacji

3. Kliknij Zezwalaj użytkownikom na włączanie weryfikacji dwuetapowej.

4. W sekcji Wymuszanie wybierz opcję:

   • Włączone – zaczyna się natychmiast.

   • Włącz wymuszanie od określonej daty – musisz wybrać datę rozpoczęcia. Po zalogowaniu się na swoje konta użytkownicy zobaczą przypomnienia na temat konieczności skonfigurowania weryfikacji dwuetapowej. Użytkownicy mogą też otrzymywać e-maile od Google z przypomnieniem o konieczności rejestracji w ramach weryfikacji dwuetapowej.

     Uwaga: jeśli używasz opcji Włączone od określonej daty, wymuszanie zacznie się w ciągu 24–48 godzin od wybranej daty. Jeśli chcesz, aby wymuszanie zaczęło się o dokładnej godzinie, użyj opcji Włączone.

5. (Opcjonalnie) Aby dać nowym pracownikom czas na zarejestrowanie się, zanim zostaną objęci obowiązkiem korzystania z weryfikacji dwuetapowej, w sekcji Okres rejestracji nowego użytkownika wybierz termin od 1 do 6 miesięcy.

   W tym okresie użytkownik będzie mógł logować się przy użyciu samego hasła.

6. (Opcjonalnie) Aby użytkownicy mogli uniknąć powtarzania weryfikacji dwuetapowej na zaufanych urządzeniach, w sekcji Częstotliwość zaznacz pole Zezwalaj użytkownikowi na oznaczenie urządzenia jako zaufanego.

   Przy pierwszym logowaniu na nowym urządzeniu użytkownik będzie mógł zaznaczyć pole pozwalające pomijać powtórną weryfikację dwuetapową na tym urządzeniu. Wówczas użytkownik nie jest proszony o weryfikację dwuetapową na urządzeniu, chyba że wyczyści pliki cookie lub unieważni urządzenie lub Ty zresetujesz pliki cookie logowania użytkownika.

   Jeśli użytkownicy nie zmieniają często urządzeń, unikanie weryfikacji dwuetapowej na zaufanych urządzeniach nie jest zalecane.

7. W sekcji Metody wybierz metodę wymuszania:

   • Dowolna – użytkownik może skonfigurować dowolną metodę weryfikacji dwuetapowej.

   • Dowolna oprócz kodów weryfikacyjnych przekazywanych przez SMS-y lub połączenia głosowe – użytkownik może skonfigurować dowolną metodę weryfikacji dwuetapowej oprócz otrzymywania kodów na telefon.

     Ważne: użytkownikom, którzy do weryfikacji używają wiadomości i połączeń telefonicznych, zostanie zablokowany dostęp do kont. Aby uniknąć zablokowania im dostępu do kont:

     • Zanim wymusisz stosowanie weryfikacji dwuetapowej, poproś użytkowników, aby zaczęli korzystać z innej metody weryfikacji dwuetapowej, ponieważ po dacie wymuszenia kody weryfikacji dwuetapowej nie będą dostępne na ich telefonach.
     • Możesz użyć zdarzenia kontroli logowania login_verification, aby sprawdzić, którzy użytkownicy logują się przy użyciu kodów weryfikacyjnych otrzymywanych SMS-em lub przez połączenie głosowe. Jeśli parametr login_challenge_method ma wartość idv_preregistered_phone, użytkownik uwierzytelnia się przy użyciu kodu weryfikacyjnego otrzymanego przez SMS-a lub połączenie głosowe.

   • Tylko klucz bezpieczeństwa – użytkownik musi skonfigurować klucz bezpieczeństwa.

     Zanim wybierzesz tę metodę wymuszania, znajdź użytkowników, którzy skonfigurowali już klucze bezpieczeństwa (dane w raportach mogą być opóźnione o maksymalnie 48 godzin). Aby wyświetlić stan weryfikacji dwuetapowej w czasie rzeczywistym dla każdego użytkownika, otwórz stronę Zarządzanie ustawieniami bezpieczeństwa użytkownika.

     Ważne: od momentu dodania kluczy dostępu opcja Tylko klucz bezpieczeństwa obsługuje teraz zarówno klucze bezpieczeństwa, jak i klucze dostępu jako metodę weryfikacji dwuetapowej. Klucze dostępu i klucze bezpieczeństwa mają ten sam poziom ochrony przed phishingiem. Więcej informacji znajdziesz w artykule Logowanie za pomocą klucza dostępu zamiast hasła.

8. Jeśli wybierzesz Tylko klucz bezpieczeństwa, ustaw Zasady weryfikacji dwuetapowej okres prolongaty zawieszenia.

   W tym okresie użytkownicy mogą logować się przy użyciu zapasowego kodu weryfikacyjnego, który wygenerujesz dla użytkownika. Jest to przydatne, gdy użytkownik zgubi klucz bezpieczeństwa. Wybierz długość tego okresu prolongaty, który zaczyna się, gdy wygenerujesz kod weryfikacyjny. Więcej informacji o kodach zapasowych znajdziesz w artykule Pobieranie zapasowych kodów weryfikacyjnych dla użytkownika.

   Ważne: gdy wymusisz stosowanie weryfikacji dwuetapowej w trybie Tylko klucz bezpieczeństwa, użytkownicy nie mogą generować własnych zapasowych kodów weryfikacyjnych. Administrator musi udostępnić te kody użytkownikowi.

9. W sekcji Kody zabezpieczające wybierz, czy użytkownicy mogą logować się przy użyciu kodu zabezpieczającego.

   • Nie zezwalaj użytkownikom na generowanie kodów zabezpieczających – użytkownicy nie mogą generować kodów zabezpieczających.
   • Zezwalaj na kody zabezpieczające bez dostępu zdalnego – użytkownicy mogą generować kody zabezpieczające na stronie g.co/sc i używać ich na tym samym urządzeniu albo w sieci lokalnej (NAT lub LAN).

   • Zezwalaj na kody zabezpieczające z dostępem zdalnym – użytkownicy mogą generować kody zabezpieczające na stronie g.co/sc i używać ich na innych urządzeniach lub w innych sieciach, na przykład przy uzyskiwaniu dostępu do serwera zdalnego lub maszyny wirtualnej.

     Kody zabezpieczające różnią się od kodów jednorazowych generowanych przez aplikacje takie jak Google Authenticator. Aby wygenerować kod zabezpieczający, użytkownik musi kliknąć klucz bezpieczeństwa na urządzeniu. Kody zabezpieczające są ważne przez 5 minut.

10. Kliknij Zapisz. W przypadku jednostki organizacyjnej możesz też kliknąć Zastąp.

    Aby później przywrócić odziedziczoną wartość, kliknij Odziedzicz (lub Cofnij ustawienie w przypadku grupy).

Jeśli użytkownicy nie spełnią wymagań do daty wymuszenia

Możesz dać użytkownikom więcej czasu na zarejestrowanie się, dodając ich do grupy, w której weryfikacja dwuetapowa nie jest wymuszana. Chociaż to obejście pozwala użytkownikom logować się, nie jest zalecane jako standardowa praktyka. Dowiedz się, jak uniknąć zablokowania konta, gdy wymuszana jest weryfikacja dwuetapowa.

Powiązany artykuł

Wyświetlanie raportów dotyczących używania aplikacji przez organizację