Tu e i tuoi utenti svolgete un ruolo importante nella configurazione della verifica in due passaggi (V2P). I tuoi utenti possono scegliere il metodo che preferiscono per la V2P oppure puoi imporre tu un metodo per determinati utenti o gruppi della tua organizzazione. Ad esempio, puoi richiedere a un piccolo team delle vendite di utilizzare i token di sicurezza.
Importante: Google applica la V2P per gli account amministratore. Per maggiori dettagli, vedi Informazioni sull'applicazione forzata della V2P per gli amministratori.
Passaggio 1: notifica agli utenti il deployment della verifica in due passaggi
Prima di eseguire il deployment della V2P, comunica agli utenti i piani della tua azienda, inclusi i seguenti:
- Descrivi cos'è la V2P e perché la tua azienda la sta usando.
- Indica se la V2P è facoltativa o obbligatoria.
- Se richiesto, fornisci la data da cui gli utenti devono attivare la verifica in due passaggi.
- Indica quale metodo è richiesto obbligatoriamente o consigliato per la V2P.
Passaggio 2: consenti agli utenti di attivare la verifica in due passaggi
Negli account utente creati prima di dicembre 2016, la V2P è attivata per impostazione predefinita.
Consenti agli utenti di attivare la V2P e di utilizzare tutti i metodi di verifica.
Guarda il video
Per consentire agli utenti di attivare la V2P
Prima di iniziare: se necessario, scopri come applicare l'impostazione a un reparto o a un gruppo.
Per questa attività, devi aver eseguito l'accesso come super amministratore.-
Nella Console di amministrazione Google, vai a Menu
Sicurezza Autenticazione Verifica in due passaggi.Per questa attività, devi aver eseguito l'accesso come super amministratore.
-
(Facoltativo) Per applicare l'impostazione solo per alcuni utenti, seleziona a lato un'unità organizzativa (spesso utilizzata per i reparti) o un gruppo di configurazione (avanzata).
Viene eseguito l'override delle impostazioni del gruppo sulle unità organizzative. Scopri di più
- Seleziona la casella Consenti agli utenti di attivare la verifica in due passaggi.
- Seleziona Applicazione forzata Disattivata.
-
Fai clic su Salva. In alternativa, puoi fare clic su Sostituisci per un'unità organizzativa.
Per ripristinare in un secondo momento il valore ereditato, fai clic su Eredita (o Annulla impostazioni per un gruppo).
Passaggio 3: chiedi agli utenti di registrarsi per la verifica in due passaggi
- Chiedi agli utenti di registrarsi alla V2P seguendo le istruzioni riportate in Attivare la verifica in due passaggi.
- Fornisci le istruzioni per la registrazione ai metodi V2P:
Passaggio 4: monitora la registrazione degli utenti
Utilizza i report per misurare e monitorare la registrazione degli utenti alla V2P. Controlla lo stato della registrazione degli utenti, lo stato dell'applicazione forzata e il numero di token di sicurezza.
Guarda il video
Tenere traccia della registrazione alla 2SV
-
Nella Console di amministrazione Google, vai a Menu
Report Report utenti Sicurezza.È necessario disporre del privilegio di amministratore Report.
- (Facoltativo) Per aggiungere una nuova colonna di informazioni, fai clic su Impostazioni
Aggiungi nuova colonna. Seleziona la colonna da aggiungere alla tabella e fai clic su Salva.
Per maggiori informazioni, vedi Gestire le impostazioni di sicurezza di un utente.
Visualizzare le tendenze di registrazione
- Nella home page della Console di amministrazione, vai a Report Report app Account.
Individuare le unità organizzative e i gruppi che non utilizzano la verifica in due passaggi
-
Nella Console di amministrazione Google, vai a Menu
Sicurezza Centro sicurezza Stato della sicurezza.È necessario disporre del privilegio di amministratore Centro sicurezza, oltre all'accesso in lettura per gli utenti e le unità organizzative.
- Per esaminare le informazioni sulla V2P, cerca Stato della sicurezza in Verifica in due passaggi per gli amministratori o Verifica in due passaggi per gli utenti.
(Facoltativo) Passaggio 5: applica la verifica in due passaggi
Prima di iniziare:assicurati che gli utenti siano registrati alla V2P.
Importante:quando viene applicata la V2P, gli utenti che non hanno completato la procedura di registrazione per la funzionalità, ma hanno aggiunto informazioni sull'autenticazione a 2 fattori (2FA), ad esempio un token di sicurezza o un numero di telefono, saranno in grado di accedere utilizzando queste informazioni. Se vedi un accesso di un utente non registrato che appartiene a un'unità organizzativa in cui è stata applicata la verifica in due passaggi, si tratta di un accesso V2P.
Prima di iniziare: se necessario, scopri come applicare l'impostazione a un reparto o a un gruppo.
Per questa attività, devi aver eseguito l'accesso come super amministratore.-
Nella Console di amministrazione Google, vai a Menu
Sicurezza Autenticazione Verifica in due passaggi.Per questa attività, devi aver eseguito l'accesso come super amministratore.
-
(Facoltativo) Per applicare l'impostazione solo per alcuni utenti, seleziona a lato un'unità organizzativa (spesso utilizzata per i reparti) o un gruppo di configurazione (avanzata).
Viene eseguito l'override delle impostazioni del gruppo sulle unità organizzative. Scopri di più
- Fai clic su Consenti agli utenti di attivare la verifica in due passaggi.
Per Applicazione forzata, scegli un'opzione:
- Attivo : si avvia immediatamente.
Attiva applicazione dalla data : seleziona la data di inizio. Quando gli utenti accedono, vedono dei promemoria che li invitano a registrarsi alla V2P. Gli utenti potrebbero anche ricevere un'email da Google che li invita a registrarsi alla V2P.
Nota:quando utilizzi l'opzione Attivo dalla data, l'applicazione forzata inizierà entro 24-48 ore dalla data scelta. Se vuoi un orario di inizio preciso per l'applicazione forzata, utilizza l'opzione Attivo.
(Facoltativo) Per concedere ai nuovi dipendenti il tempo di registrarsi prima che l'applicazione forzata venga applicata ai loro account, seleziona un periodo di tempo compreso tra 1 giorno e 6 mesi in corrispondenza di Periodo di registrazione dei nuovi utenti.
Durante questo periodo, gli utenti possono accedere usando solo le proprie password.
(Facoltativo) Per consentire agli utenti di evitare controlli V2P ripetuti sui dispositivi attendibili, in Frequenza, seleziona la casella Consenti all'utente di considerare attendibile il dispositivo.
La prima volta che un utente accede da un nuovo dispositivo, può selezionare una casella per considerarlo attendibile. In questo caso, all'utente non viene richiesta la V2P sul dispositivo a meno che non cancelli i cookie o revochi il dispositivo o tu reimposti il cookie di accesso dell'utente.
Evitare la V2P sui dispositivi attendibili non è consigliabile, a meno che gli utenti non cambino spesso dispositivo.
In Metodi, seleziona il metodo di applicazione forzata:
- Qualsiasi: gli utenti possono configurare qualsiasi metodo di V2P.
Tutto ad eccezione di codici di verifica via SMS o chiamata telefonica: gli utenti possono configurare qualsiasi metodo di verifica in due passaggi tranne l'utilizzo del telefono per ricevere i codici di verifica.
Importante: gli utenti che utilizzano SMS e telefonate per effettuare la verifica non potranno più accedere ai loro account. Per evitare che venga bloccato l'accesso di questi utenti ai loro account:
- Prima dell'applicazione forzata, chiedi agli utenti di iniziare a utilizzare un altro metodo V2P, poiché i codici V2P non saranno disponibili sui loro smartphone dopo la data di applicazione forzata.
- Puoi utilizzare l'evento attività di controllo dell'accesso login_verification per monitorare gli utenti che utilizzano i codici ricevuti tramite messaggio o chiamata vocale. Se il valore del parametro login_challenge_method è idv_preregistered_phone, l'utente è stato autenticato utilizzando un codice di verifica vocale o via SMS.
Solo token di sicurezza: gli utenti devono configurare un token di sicurezza.
Prima di selezionare questo metodo di applicazione forzata, trova gli utenti che hanno già configurato i token di sicurezza (i dati dei report potrebbero subire ritardi fino a 48 ore). Per visualizzare lo stato della V2P in tempo reale per ogni utente, vai a Gestire le impostazioni di sicurezza di un utente.
Importante:dall'aggiunta delle passkey, l'opzione Solo token di sicurezza ora supporta sia i token di sicurezza sia le passkey come metodo V2P. Le passkey e i token di sicurezza hanno entrambi lo stesso livello di protezione dal phishing. Per maggiori dettagli, vedi Accedere con una passkey anziché con una password.
Se selezioni Solo token di sicurezza, imposta il periodo di tolleranza per la sospensione dei criteri della verifica in due passaggi.
Questo periodo consente agli utenti di accedere con un codice di verifica di backup che generi per loro, utile quando un utente perde il token di sicurezza. Seleziona la durata di questo periodo di tolleranza, che inizia quando generi il codice di verifica. Per informazioni sui codici di backup, vedi Generare i codici di verifica di backup per un utente.
Importante:se la V2P è applicata in modalità Solo token di sicurezza, gli utenti non possono generare i propri codici di verifica di backup. Un amministratore deve fornire questi codici all'utente.
In Codici di sicurezza, scegli se gli utenti possono accedere con un codice di sicurezza.
- Non consentire agli utenti di generare codici di sicurezza : gli utenti non possono generare codici di sicurezza.
- Consenti codici di sicurezza senza accesso remoto: gli utenti possono generare codici di sicurezza tramite g.co/sc e utilizzarli sullo stesso dispositivo o rete locale (NAT o LAN).
Consenti codici di sicurezza con accesso remoto : gli utenti possono generare codici di sicurezza tramite g.co/sc e utilizzarli su altri dispositivi o reti, ad esempio quando accedono a un server remoto o a una macchina virtuale.
I codici di sicurezza sono diversi dai codici monouso generati da app come Google Authenticator. Per generare un codice di sicurezza, l'utente deve toccare il token sul proprio dispositivo. I codici di sicurezza sono validi per 5 minuti.
-
Fai clic su Salva. In alternativa, puoi fare clic su Sostituisci per un'unità organizzativa.
Per ripristinare in un secondo momento il valore ereditato, fai clic su Eredita (o Annulla impostazioni per un gruppo).
Se gli utenti non riescono a rispettare la data dell'applicazione forzata
Puoi concedere agli utenti più tempo per registrarsi aggiungendoli a un gruppo in cui la V2P non è applicata. Sebbene questa soluzione alternativa consenta agli utenti di accedere, non è consigliabile come pratica standard. Scopri di più su come evitare il blocco degli account quando viene applicata la verifica in due passaggi.