פריסת אימות דו-שלבי

לכם ולמשתמשים שלכם יש תפקיד חשוב בהגדרה של אימות דו-שלבי (2SV). המשתמשים יכולים לבחור את שיטת האימות הדו-שלבי שלהם, או שאתם יכולים לאכוף שיטה מסוימת על משתמשים או קבוצות מסוימים בארגון. לדוגמה, אתם יכולים לחייב צוות קטן במחלקת המכירות להשתמש במפתחות אבטחה.

חשוב: Google אוכפת אימות דו-שלבי (2SV) בחשבונות אדמין. פרטים נוספים מופיעים במאמר בנושא אכיפת אימות דו-שלבי (2SV) לאדמינים.

שלב 1: מודיעים למשתמשים על פריסת האימות הדו-שלבי

לפני שמפעילים אימות דו-שלבי (2SV), חשוב ליידע את המשתמשים בחברה על התוכניות שלכם, כולל הפרטים האלה:

  • מהו אימות דו-שלבי (2SV) ולמה החברה שלכם משתמשת בו.
  • אם 2SV הוא אופציונלי או חובה.
  • אם יש צורך, התאריך שעד אליו המשתמשים צריכים להפעיל אימות 2SV.
  • מהי השיטה הנדרשת או המומלצת ל-2SV.

שלב 2: מאפשרים למשתמשים להפעיל אימות דו-שלבי

בחשבונות משתמשים שנוצרו לפני דצמבר 2016, ה-2SV מופעל כברירת מחדל.

אתם יכולים לאפשר למשתמשים להפעיל 2SV ולהשתמש בכל שיטת אימות.

לצפייה בסרטון

כדי לאפשר למשתמשים להפעיל אימות דו-שלבי

לפני שמתחילים: לפי הצורך, קוראים את המאמר בנושא החלה של הגדרה על מחלקה או על קבוצה.

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזאימות דו-שלבי.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. (אופציונלי) כדי להחיל את ההגדרה רק על חלק מהמשתמשים, בצד, בוחרים יחידה ארגונית (בדרך כלל מדובר במחלקה) או הגדרות לקבוצת משתמשים (מתקדם).

    ההגדרות של קבוצות מבטלות את ההגדרות של היחידות הארגוניות. מידע נוסף

  3. מסמנים את התיבה המשתמשים יוכלו להפעיל אימות דו-שלבי.
  4. לוחצים על אכיפהואזהשבתה.
  5. לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.

    אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה (או על ביטול הגדרות עבור קבוצה).

שלב 3: אומרים למשתמשים להירשם לאימות דו-שלבי

  1. אתם צריכים לומר למשתמשים להירשם לאימות דו-שלבי (2SV) לפי ההוראות במאמר הפעלת אימות דו-שלבי.
  2. נותנים הוראות להרשמה לשיטות 2SV:

שלב 4: עוקבים אחרי רישום המשתמשים

אתם יכולים להשתמש בדוחות כדי למדוד את רישום המשתמשים ל-2SV ולעקוב אחריו. אפשר לבדוק את סטטוס רישום המשתמשים, סטטוס האכיפה ומספר מפתחות האבטחה של המשתמשים.

לצפייה בסרטון

מעקב אחר הרשמה לאימות דו-שלבי (2SV)

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווחand thenדוחות משתמשיםואזאבטחה.

    כדי לעשות את זה נדרשת הרשאת אדמין לדוחות.

  2. (אופציונלי) כדי להוסיף עמודה חדשה של מידע, לוחצים על סמל ההגדרות ואזהוספת עמודה חדשה. בוחרים את העמודה שרוצים להוסיף לטבלה ולוחצים על שמירה.

מידע נוסף מופיע במאמר איך מנהלים את הגדרות האבטחה של המשתמשים.

  1. מדף הבית של מסוף Admin, נכנסים לדוחותואזדוחות של אפליקציותואזחשבונות.

זיהוי יחידות ארגוניות וקבוצות שלא משתמשות באימות דו-שלבי

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenמרכז האבטחהואזתקינות האבטחה.

    כדי לעשות את זה, דרושות הרשאות אדמין למרכז האבטחה, וגישת קריאה למשתמשים וליחידות ארגוניות.

  2. כדי לעיין במידע על 2SV, מחפשים בתקינות האבטחה את האפשרויות אימות דו-שלבי לאדמינים או אימות דו-שלבי למשתמשים.

שלב 5: אוכפים אימות דו-שלבי (אופציונלי)

לפני שמתחילים: חשוב לוודא שהמשתמשים רשומים ל-2SV.

חשוב: כשאוכפים אימות דו-שלבי (2SV), אם המשתמשים לא השלימו את תהליך ההרשמה לאימות דו-שלבי אבל הוסיפו מידע על אפשרויות האימות הדו-שלבי (2FA) בחשבון שלהם (כמו מפתח אבטחה או מספר טלפון), הם יכולים להשתמש במידע הזה כדי להיכנס לחשבון. אם אתם רואים כניסה של משתמש שלא נרשם לאימות דו-שלבי (2SV) ושייך ליחידה ארגונית שנאכף בה 2SV, זו כניסה עם 2SV.

לפני שמתחילים: לפי הצורך, קוראים את המאמר בנושא החלה של הגדרה על מחלקה או על קבוצה.

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזאימות דו-שלבי.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. (אופציונלי) כדי להחיל את ההגדרה רק על חלק מהמשתמשים, בצד, בוחרים יחידה ארגונית (בדרך כלל מדובר במחלקה) או הגדרות לקבוצת משתמשים (מתקדם).

    ההגדרות של קבוצות מבטלות את ההגדרות של היחידות הארגוניות. מידע נוסף

  3. לוחצים על המשתמשים יוכלו להפעיל אימות דו-שלבי.
  4. בוחרים אפשרות בשדה אכיפה:
    • מופעל: התחלת האכיפה באופן מיידי.
    • הפעלת האכיפה מהתאריך: צריך לבחור תאריך התחלה. למשתמשים יוצגו תזכורות להירשם ל-2SV כשהם ייכנסו לחשבון. יכול להיות שהמשתמשים יקבלו גם אימייל תזכורת מ-Google להירשם ל-2SV.
      הערה: כשמשתמשים באפשרות פועלת מתאריך, האכיפה מתחילה תוך 24 עד 48 שעות מהתאריך שנבחר. אם רוצים לבחור שעת התחלה מדויקת לאכיפה, צריך להשתמש באפשרות מופעלת.
  5. (אופציונלי) כדי לתת לעובדים חדשים זמן להירשם לפני התחלת האכיפה על החשבונות שלהם, בוחרים תקופת זמן של יום עד 6 חודשים באפשרות תקופת רישום למשתמש חדש.
    במהלך התקופה הזו, המשתמשים יכולים להיכנס לחשבון רק באמצעות הסיסמאות שלהם.
  6. (אופציונלי) כדי לאפשר למשתמשים להימנע מבדיקות חוזרות של אימות דו-שלבי במכשירים מהימנים, בקטע תדירות מסמנים את התיבה משתמשים יכולים לתת אמון במכשירים.
    בפעם הראשונה שמשתמש נכנס לחשבון במכשיר חדש, הוא יכול לסמן תיבה כדי להגדיר את המכשיר כמהימן. אחר כך המשתמש לא יתבקש לבצע 2SV במכשיר, אלא אם הוא ימחק את קובצי ה-Cookie או יבטל את ההרשאה של המכשיר, או אם תאפסו את קובץ ה-Cookie של פרטי הכניסה לחשבון של המשתמש.
    לא מומלץ להימנע מ-2SV במכשירים מהימנים, אלא אם המשתמשים עוברים בין מכשירים לעיתים קרובות.
  7. בקטע שיטות, בוחרים את שיטת האכיפה:
    • כל שיטה: המשתמשים יכולים להגדיר כל שיטת 2SV.
    • כל שיטה, למעט קודי אימות באמצעות טקסט, שיחת טלפון: המשתמשים יכולים להגדיר כל שיטת 2SV, למעט שימוש בטלפון שלהם לקבלת קודי אימות ל-2SV.
      חשוב: משתמשים שבוחרים להשתמש בהודעות טקסט ושיחות טלפון לאימות לא יכולים להיכנס לחשבונות שלהם. כדי למנוע מצב שהמשתמשים האלה לא יכולים להיכנס לחשבונות שלהם:
      • לפני הפעלת האכיפה, מודיעים למשתמשים שהם יצטרכו להשתמש בשיטת 2SV אחרת, כי קודי 2SV לא יהיו זמינים בטלפונים שלהם אחרי תאריך התחלת האכיפה.
      • אתם יכולים להשתמש באירוע פעילות ביקורת ההתחברות login_verification כדי לעקוב אחרי משתמשים שבחרו להשתמש בקודים בהודעת טקסט או בשיחת טלפון. אם הערך שמוגדר בפרמטר login_challenge_method הוא idv_preregistered_phone, המשתמש מבצע אימות לעצמו באמצעות קוד אימות בהודעת טקסט או בשיחת טלפון.
    • מפתח אבטחה בלבד: המשתמשים חייבים להגדיר מפתח אבטחה.
      לפני שבוחרים בשיטת האכיפה הזו, צריך למצוא משתמשים שכבר הגדירו מפתחות אבטחה (יכול להיות עיכוב של עד 48 שעות בנתוני הדיווח). כדי לראות את סטטוס האימות הדו-שלבי של כל משתמש בזמן אמת, אפשר לעבור אל ניהול הגדרות האבטחה של משתמש.
      חשוב: מאז ההוספה של מפתחות הגישה, באפשרות מפתח אבטחה בלבד יש תמיכה גם במפתחות אבטחה וגם במפתחות גישה בתור שיטות 2SV. מפתחות גישה ומפתחות אבטחה מספקים את אותה רמת הגנה מפישינג. אתם יכולים לקרוא פרטים נוספים במאמר איך נכנסים לחשבון באמצעות מפתח גישה במקום סיסמה.
  8. אם בוחרים באפשרות מפתח אבטחה בלבד, צריך להגדיר את תקופת החסד לפני השעיה, לפי המדיניות בנושא אימות דו-שלבי.
    במהלך התקופה הזו, המשתמשים יכולים להיכנס לחשבון באמצעות קוד אימות לגיבוי שאתם יוצרים בשבילם. האפשרות הזאת יעילה במקרים שמשתמשים מאבדים את מפתח האבטחה שלהם. בוחרים את משך תקופת החסד שתתחיל כשתיצרו את קוד האימות. מידע נוסף על קודי גיבוי מופיע במאמר בנושא קבלת קודי אימות לגיבוי למשתמשים.
    חשוב: אם אוכפים 2SV במצב מפתח אבטחה בלבד, המשתמשים לא יכולים ליצור קודי אימות לגיבוי בעצמם. אדמין צריך לספק להם את הקודים האלה.
  9. בקטע קודי אבטחה, בוחרים אם המשתמשים יכולים להיכנס לחשבון באמצעות קוד אבטחה.
    • משתמשים לא יוכלו לייצר קודי אבטחה: המשתמשים לא יכולים ליצור קודי אבטחה.
    • אפשר להשתמש בקודי אבטחה ללא גישה מרחוק: משתמשים יכולים ליצור קודי אבטחה דרך g.co/sc ולהשתמש בהם באותו מכשיר או באותה רשת מקומית (NAT או LAN).
    • אפשר להשתמש בקודי אבטחה עם גישה מרחוק: משתמשים יכולים ליצור קודי אבטחה דרך g.co/sc ולהשתמש בהם ברשתות או במכשירים אחרים, למשל כשניגשים לשרת מרוחק או למכונה וירטואלית.
      קודי אבטחה שונים מקודים חד-פעמיים שאפליקציות כמו מאמת החשבונות של Google יוצרות. כדי ליצור קוד אבטחה, המשתמש לוחץ על מפתח האבטחה במכשיר שלו. קודי האבטחה תקפים למשך 5 דקות.
  10. לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.

    אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה (או על ביטול הגדרות עבור קבוצה).

מה קורה אם המשתמשים לא עומדים בדרישות בתאריך התחלת האכיפה

אתם יכולים להוסיף משתמשים לקבוצה שאין בה אכיפה של 2SV כדי לתת להם עוד זמן להירשם. הפתרון העקיף הזה מאפשר למשתמשים להיכנס לחשבון, אבל לא מומלץ להשתמש בו כשיטת פעולה רגילה. איך מונעים מצבים שבהם אי אפשר להיכנס לחשבון כשמופעל אימות דו-שלבי

צפייה בדוחות של אפליקציות בארגון