Wdrażanie weryfikacji dwuetapowej

Zarówno Ty, jak i Twoi użytkownicy macie do odegrania ważną rolę w konfigurowaniu weryfikacji dwuetapowej. Użytkownicy mogą wybrać metodę weryfikacji dwuetapowej albo możesz wymusić ją dla określonych użytkowników lub grup w organizacji. Możesz na przykład wymagać kluczy bezpieczeństwa w przypadku niewielkiego zespołu w dziale sprzedaży.

Ważne: Google wymusza weryfikację dwuetapową na kontach administratorów. Szczegółowe informacje znajdziesz w artykule o wymuszaniu weryfikacji dwuetapowej na kontach administratorów.

Krok 1. Powiadom użytkowników o konieczności wdrożenia weryfikacji dwuetapowej

Zanim weryfikacja dwuetapowa zostanie wdrożona, poinformuj użytkowników o planach firmy względem nich:

• Wyjaśnij, czym jest weryfikacja dwuetapowa i dlaczego warto z niej korzystać.
• Określ, czy weryfikacja dwuetapowa jest opcjonalna czy wymagana.
• W razie potrzeby podaj termin, do którego użytkownicy muszą włączyć weryfikację dwuetapową.
• Sprecyzuj, czy weryfikacja dwuetapowa jest obowiązkowa, czy zalecana.

Krok 2. Zezwól użytkownikom na włączenie weryfikacji dwuetapowej

Konta użytkowników utworzone przed grudniem 2016 r. mają domyślnie włączoną weryfikację dwuetapową.

Zezwól użytkownikom na włączenie weryfikacji dwuetapowej oraz użycie dowolnej metody weryfikacji.

Obejrzyj film

Aby zezwolić użytkownikom na włączenie weryfikacji dwuetapowej

Zanim zaczniesz: w razie potrzeby dowiedz się, jak zastosować ustawienie w dziale lub grupie.

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

1. W konsoli administracyjnej Google otwórz Menu  BezpieczeństwoUwierzytelnianieWeryfikacja dwuetapowa.

   Otwórz stronę Weryfikacja dwuetapowa

   Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

2. (Opcjonalnie) Aby zastosować to ustawienie tylko do niektórych użytkowników, z boku wybierz jednostkę organizacyjną (często używaną na potrzeby działów) lub grupę konfiguracji (zaawansowane).

   Ustawienia grupy zastępują ustawienia jednostek organizacyjnych. Więcej informacji

3. Zaznacz pole Zezwalaj użytkownikom na włączanie weryfikacji dwuetapowej.
4. Wybierz WymuszanieWyłączone.
5. Kliknij Zapisz. Możesz też kliknąć Zastąp w przypadku jednostki organizacyjnej.

   Aby później przywrócić odziedziczoną wartość, kliknij Odziedzicz (lub Cofnij ustawienie w przypadku grupy).

Krok 3. Poproś użytkowników o skonfigurowanie weryfikacji dwuetapowej

1. Poproś użytkowników o skonfigurowanie weryfikacji dwuetapowej. W tym celu muszą oni wykonać czynności podane na stronie Włączanie weryfikacji dwuetapowej.
2. Udostępnij instrukcje korzystania z różnych metod weryfikacji dwuetapowej:
   • Klucze bezpieczeństwa
   • Potwierdzenie od Google, SMS lub połączenie telefoniczne
   • Aplikacja Google Authenticator
   • Kody zapasowe

Krok 4. Śledź rejestrację użytkowników

Skorzystaj z raportów, by monitorować rejestrację użytkowników w usłudze weryfikacji dwuetapowej. Sprawdź stan rejestracji użytkowników, stan egzekwowania zasad i liczbę kluczy bezpieczeństwa.

Obejrzyj film

Monitorowanie rejestracji w usłudze weryfikacji dwuetapowej

1. W konsoli administracyjnej Google otwórz Menu  RaportowanieRaporty dotyczące użytkownikówBezpieczeństwo.

   Otwórz stronę Zabezpieczenia

   Wymaga uprawnień administratora Raporty.

2. (Opcjonalnie) Aby dodać nową kolumnę z informacjami, kliknij Ustawienia Dodaj nową kolumnę. Wybierz kolumnę, którą chcesz dodać do tabeli, i kliknij Zapisz.

Więcej informacji znajdziesz w artykule Zarządzanie ustawieniami zabezpieczeń konta użytkownika.

Wyświetlanie trendów dotyczących rejestracji

1. Na stronie głównej w konsoli administracyjnej kliknij RaportyRaporty dotyczące aplikacjiKonta.

Zidentyfikuj jednostki organizacyjne i grupy, które nie korzystają z weryfikacji dwuetapowej

1. W konsoli administracyjnej Google otwórz Menu  BezpieczeństwoCentrum bezpieczeństwaStan zabezpieczeń.

   Otwórz stronę Stan zabezpieczeń

   Wymagane są uprawnienia administratora Centrum bezpieczeństwa oraz uprawnienia do odczytu użytkowników i jednostek organizacyjnych.

2. Wyszukaj Stan zabezpieczeń dla Weryfikacji dwuetapowej dla administratorów lub Weryfikacji dwuetapowej dla użytkowników, aby sprawdzić informacje dotyczące weryfikacji dwuetapowej.

Krok 5. Wymuś weryfikację dwuetapową (opcjonalny)

Zanim zaczniesz: sprawdź, czy użytkownicy korzystają z weryfikacji dwuetapowej.

Ważne: gdy wymusisz stosowanie weryfikacji dwuetapowej, użytkownicy, którzy nie ukończyli procesu rejestracji, ale dodali do swojego konta informacje uwierzytelniania dwuskładnikowego, takie jak klucz bezpieczeństwa lub numer telefonu, będą mogli logować się za pomocą tych informacji. Jeśli zobaczysz logowanie przez niezarejestrowanego użytkownika należącego do jednostki organizacyjnej, w której wymuszono weryfikację dwuetapową, jest to logowanie z weryfikacją dwuetapową.

Zanim zaczniesz: w razie potrzeby dowiedz się, jak zastosować ustawienie w dziale lub grupie.

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

1. W konsoli administracyjnej Google otwórz Menu  BezpieczeństwoUwierzytelnianieWeryfikacja dwuetapowa.

   Otwórz stronę Weryfikacja dwuetapowa

   Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

2. (Opcjonalnie) Aby zastosować to ustawienie tylko do niektórych użytkowników, z boku wybierz jednostkę organizacyjną (często używaną na potrzeby działów) lub grupę konfiguracji (zaawansowane).

   Ustawienia grupy zastępują ustawienia jednostek organizacyjnych. Więcej informacji

3. Kliknij Zezwalaj użytkownikom na włączanie weryfikacji dwuetapowej.
4. W sekcji Wymuszanie wybierz opcję:
   • Włączone – zaczyna się natychmiast.
   • Włącz wymuszanie od określonej daty – musisz wybrać datę rozpoczęcia. Po zalogowaniu się na swoje konta użytkownicy zobaczą przypomnienia na temat konieczności skonfigurowania weryfikacji dwuetapowej. Użytkownicy mogą też otrzymywać e-maile od Google z przypomnieniem o konieczności rejestracji w ramach weryfikacji dwuetapowej.
     Uwaga: jeśli wybierzesz opcję Od określonej daty, wymuszanie zacznie obowiązywać w ciągu 24–48 godzin od wybranej daty. Jeśli chcesz ustawić dokładny czas rozpoczęcia wymuszania, wybierz opcję Włączone.
5. (Opcjonalnie) Aby dać nowym pracownikom czas na zarejestrowanie się, zanim zostaną objęci obowiązkiem korzystania z weryfikacji dwuetapowej, w sekcji Okres rejestracji nowego użytkownika wybierz termin od 1 do 6 miesięcy.
   W tym czasie użytkownik będzie mógł logować się przy użyciu samego hasła.
6. (Opcjonalnie) Aby użytkownicy mogli uniknąć powtarzania weryfikacji dwuetapowej na zaufanych urządzeniach, w sekcji Częstotliwość zaznacz pole Zezwalaj użytkownikowi na oznaczenie urządzenia jako zaufanego.
   Przy pierwszym logowaniu na nowym urządzeniu użytkownik będzie mógł zaznaczyć pole pozwalające pomijać tu weryfikację dwuetapową. To ustawienie będzie obowiązywać, chyba że użytkownik wyczyści pliki cookie, unieważni urządzenie lub Ty zresetujesz pliki cookie logowania użytkownika.
   Jeśli użytkownicy nie zmieniają często urządzeń, unikanie weryfikacji dwuetapowej na zaufanych urządzeniach nie jest zalecane.
7. W sekcji Metody wybierz metodę wymuszania:
   • Dowolna – użytkownik może skonfigurować dowolną metodę weryfikacji dwuetapowej.
   • Dowolna oprócz kodów weryfikacyjnych przekazywanych przez SMS-y lub połączenia głosowe – użytkownik może skonfigurować dowolną metodę weryfikacji dwuetapowej oprócz otrzymywania kodów na telefon.
     Ważne: użytkownikom, którzy do weryfikacji używają wiadomości i połączeń telefonicznych, zostanie zablokowany dostęp do kont. Aby uniknąć zablokowania im dostępu do kont:
     • Zanim wymuszanie zacznie obowiązywać, poproś użytkowników, by zaczęli korzystać z innej metody weryfikacji dwuetapowej, bo po dacie wymuszenia nie będzie ona dostępna na ich telefonach.
     • Możesz użyć zdarzenia kontroli logowania login_verification, aby sprawdzić, którzy użytkownicy logują się przy użyciu kodów weryfikacyjnych otrzymywanych SMS-em lub przez połączenie głosowe. Jeśli parametr login_challenge_method ma wartość idv_preregistered_phone, oznacza to, że użytkownik uwierzytelnił się przy użyciu kodu bezpieczeństwa otrzymanego przez SMS-a lub połączenie głosowe.
   • Tylko klucz bezpieczeństwa – użytkownik musi skonfigurować klucz bezpieczeństwa.
     Zanim wybierzesz tę metodę wymuszania, znajdź użytkowników, którzy skonfigurowali już klucze bezpieczeństwa (dane w raportach mogą być opóźnione o maksymalnie 48 godzin). Aby sprawdzić stan weryfikacji dwuetapowej każdego użytkownika w czasie rzeczywistym, zobacz Zarządzanie ustawieniami zabezpieczeń konta użytkownika.
     Ważne: od momentu dodania kluczy dostępu opcja Tylko klucz bezpieczeństwa obsługuje teraz zarówno klucze bezpieczeństwa, jak i klucze dostępu jako metodę weryfikacji dwuetapowej. Klucze dostępu i klucze bezpieczeństwa mają ten sam poziom ochrony przed phishingiem. Więcej informacji znajdziesz w artykule Logowanie się za pomocą klucza dostępu zamiast hasła.
8. Jeśli wybierzesz Tylko klucz bezpieczeństwa, ustaw Okres prolongaty zawieszenia zasad weryfikacji dwuetapowej.
   W tym okresie możesz pozwalać użytkownikom logować się przy użyciu wygenerowanego przez Ciebie zapasowego kodu weryfikacyjnego, co jest przydatne, gdy użytkownik utraci klucz bezpieczeństwa. Wybierz długość okresu prolongaty, który rozpocznie się po wygenerowaniu kodu weryfikacyjnego. Więcej informacji o kodach zapasowych znajdziesz w artykule Pobieranie zapasowych kodów weryfikacyjnych dla użytkownika.
   Ważne: gdy wymusisz stosowanie weryfikacji dwuetapowej w trybie Tylko klucz bezpieczeństwa, użytkownicy nie mogą generować własnych zapasowych kodów weryfikacyjnych. Administrator musi przekazać te kody użytkownikowi.
9. W sekcji Kody zabezpieczające wybierz, czy użytkownik może logować się przy użyciu kodu zabezpieczającego.
   • Nie zezwalaj użytkownikom na generowanie kodów zabezpieczających – użytkownicy nie mogą generować kodów zabezpieczających.
   • Zezwalaj na kody zabezpieczające bez dostępu zdalnego – użytkownicy mogą generować kody zabezpieczające na stronie g.co/sc i używać ich na tym samym urządzeniu albo w sieci lokalnej (NAT lub LAN).
   • Zezwalaj na kody zabezpieczające z dostępem zdalnym – użytkownicy mogą generować kody zabezpieczające na stronie g.co/sc i używać ich na innych urządzeniach lub w innych sieciach, na przykład przy uzyskiwaniu dostępu do serwera zdalnego lub maszyny wirtualnej.
     Kody zabezpieczające różnią się od kodów jednorazowych generowanych przez aplikacje takie jak Google Authenticator. Aby wygenerować kod zabezpieczający, użytkownik musi kliknąć klucz bezpieczeństwa na urządzeniu. Kody zabezpieczające są ważne przez 5 minut.
10. Kliknij Zapisz. Możesz też kliknąć Zastąp w przypadku jednostki organizacyjnej.

    Aby później przywrócić odziedziczoną wartość, kliknij Odziedzicz (lub Cofnij ustawienie w przypadku grupy).

Jeśli użytkownicy nie spełnią wymagań do daty wymuszenia

Możesz dać im więcej czasu na rejestrację w usłudze, umieszczając ich w grupie, w przypadku której weryfikacja dwuetapowa nie będzie wymuszana. Chociaż to obejście umożliwia użytkownikom logowanie się, nie jest zalecane jako standardowy sposób postępowania. Dowiedz się, jak uniknąć zablokowania konta, gdy wymuszana jest weryfikacja dwuetapowa.

Temat pokrewny

Wyświetlanie raportów dotyczących używania aplikacji przez organizację