Развертывание двухэтапной аутентификации

Вы и ваши пользователи играете важную роль в настройке двухфакторной аутентификации (2SV). Ваши пользователи могут выбрать свой метод 2SV, или вы можете установить обязательный метод для определенных пользователей или групп в вашей организации. Например, вы можете обязать небольшую команду в отделе продаж использовать ключи безопасности.

Важно : Google применяет двухфакторную аутентификацию (2SV) для учетных записей администраторов. Подробности см. в разделе «О применении 2SV для администраторов» .

Шаг 1: Уведомить пользователей о внедрении двухфакторной аутентификации.

Перед внедрением 2SV сообщите пользователям о планах вашей компании, включая следующую информацию:

  • Что такое 2SV и почему ваша компания его использует.
  • Является ли 2SV необязательным или обязательным.
  • При необходимости указывается дата, к которой пользователи должны включить 2SV.
  • Какой метод 2SV необходим или рекомендуется?

Шаг 2: Предоставьте пользователям возможность включить двухфакторную аутентификацию.

Для учетных записей пользователей, созданных до декабря 2016 года, функция 2SV включена по умолчанию.

Разрешите пользователям включить двухфакторную аутентификацию и использовать любой метод проверки.

Посмотрите видео

Чтобы позволить пользователям включить 2SV

Перед началом работы: При необходимости изучите, как применить данную методику к конкретному отделу или группе .

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Двухэтапная проверка .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенные настройки).

    Настройки группы имеют приоритет над организационными подразделениями. Подробнее.

  3. Установите флажок « Разрешить пользователям включать двухфакторную аутентификацию» .
  4. Избранное правоприменение а потом Выключенный .
  5. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

    Чтобы впоследствии восстановить унаследованное значение, нажмите «Наследовать» (или «Отменить» для группы).

Шаг 3: Предложите пользователям зарегистрироваться для двухфакторной аутентификации.

  1. Посоветуйте своим пользователям зарегистрироваться в системе двухфакторной аутентификации, следуя инструкциям в разделе «Включение двухфакторной аутентификации» .
  2. Предоставьте инструкции по регистрации в методах 2SV:

Шаг 4: Отслеживание регистрации пользователей

Используйте отчеты для измерения и отслеживания регистрации пользователей в 2SV. Проверяйте статус регистрации пользователей, статус применения и количество ключей безопасности.

Посмотрите видео

Регистрация на трек 2SV

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Отчеты пользователей а потом Безопасность .

    Для этого требуются права администратора отчетов .

  2. (Необязательно) Чтобы добавить новый столбец информации, нажмите «Настройки». а потом Добавить новый столбец . Выберите столбец, который хотите добавить в таблицу, и нажмите «Сохранить» .

Для получения более подробной информации перейдите в раздел «Управление параметрами безопасности пользователя» .

  1. На главной странице консоли администратора перейдите в раздел «Отчеты» . а потом Отчеты о приложениях а потом Счета .

Выявите организационные подразделения и группы, которые не используют двухфакторную аутентификацию.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Безопасность и здоровье .

    Требуется наличие прав администратора центра безопасности , а также права на чтение пользователей и подразделений организации .

  2. Для просмотра информации о двухфакторной аутентификации (2SV) выполните поиск в разделе «Состояние безопасности» по запросам «Двухфакторная аутентификация для администраторов» или «Двухфакторная аутентификация для пользователей» .

Шаг 5: Внедрение двухфакторной аутентификации (необязательно)

Перед началом работы: убедитесь, что пользователи зарегистрированы в системе 2SV.

Важно: при использовании двухфакторной аутентификации (2SV) пользователи, которые не завершили процесс регистрации в 2SV, но добавили информацию для двухфакторной аутентификации (2FA) к своей учетной записи, например, ключ безопасности или номер телефона, смогут войти в систему, используя эти данные. Если вы видите вход в систему от незарегистрированного пользователя, принадлежащего к организационному подразделению, где используется 2SV, это вход в систему с использованием 2SV.

Перед началом работы: При необходимости изучите, как применить данную методику к конкретному отделу или группе .

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Двухэтапная проверка .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенные настройки).

    Настройки группы имеют приоритет над организационными подразделениями. Подробнее.

  3. Нажмите « Разрешить пользователям включать двухфакторную аутентификацию» .
  4. Для применения мер принуждения выберите один из вариантов:
    • Вкл. — Запускается немедленно.
    • Включить принудительное применение с даты — выберите дату начала. Пользователи будут видеть напоминания о необходимости регистрации в 2SV при входе в систему. Пользователи также могут получать электронные письма от Google с напоминанием о необходимости регистрации в 2SV.
      Примечание: При использовании опции « С даты вступления в силу» контроль за соблюдением правил начнется в течение 24-48 часов с выбранной даты. Если вам нужно точное время начала контроля, используйте опцию «В начале действия» .
  5. (Необязательно) Чтобы дать новым сотрудникам время на регистрацию до применения мер принуждения к их учетным записям, в поле «Период регистрации нового пользователя» выберите временной интервал от 1 дня до 6 месяцев.
    В течение этого периода пользователи могут входить в систему, используя только свои пароли.
  6. (Необязательно) Чтобы пользователи могли избежать повторных проверок 2SV на доверенных устройствах, в разделе «Частота» установите флажок «Разрешить пользователю доверять устройству» .
    При первом входе пользователя в систему с нового устройства он может поставить галочку, подтверждающую доверие к устройству. После этого пользователю не будет предлагаться подтвердить доверие к устройству (2SV), если он не очистит свои cookie-файлы, не отзовет доверие к устройству или вы не сбросите cookie-файл пользователя для входа в систему.
    Избегать использования 2SV на доверенных устройствах не рекомендуется, если только ваши пользователи не часто переключаются между устройствами.
  7. В разделе «Методы» выберите метод принудительного исполнения:
    • Любой — Пользователи могут настроить любой метод 2SV.
    • Любой способ подтверждения, кроме получения кодов подтверждения по SMS или телефону — Пользователи могут настроить любой способ подтверждения 2SV, кроме использования своих телефонов для получения кодов подтверждения 2SV.
      Важно : Пользователи, использующие SMS-сообщения и телефонные звонки для подтверждения, будут заблокированы в своих учетных записях. Чтобы избежать блокировки этих пользователей:
      • Перед введением мер по принудительному исполнению посоветуйте пользователям начать использовать другой метод 2SV, поскольку после даты введения мер 2SV-коды будут недоступны на их телефонах.
      • Вы можете использовать событие «Аудит входа в систему login_verification» для отслеживания пользователей, использующих коды из текстовых сообщений или голосовых вызовов. Если параметр login_challenge_method имеет значение idv_preregistered_phone, пользователь проходит аутентификацию с помощью кода подтверждения, полученного по SMS или голосу.
    • Только ключ безопасности — Пользователи должны настроить ключ безопасности.
      Перед выбором этого метода принудительного применения найдите пользователей, которые уже настроили ключи безопасности (данные отчета могут быть задержаны до 48 часов). Чтобы просмотреть статус 2SV в режиме реального времени для каждого пользователя, перейдите в раздел «Управление настройками безопасности пользователя» .
      Важно: После добавления возможности использования паролей, опция « Только ключ безопасности» теперь поддерживает как ключи безопасности, так и пароли в качестве метода двухфакторной аутентификации. И пароли, и ключи безопасности обеспечивают одинаковый уровень защиты от фишинга. Подробнее см. раздел «Вход с помощью пароля вместо стандартного пароля» .
  8. Если вы выберете «Только ключ безопасности» , установите льготный период приостановки политики двухфакторной аутентификации .
    В течение этого периода пользователи могут входить в систему с помощью резервного кода подтверждения, который вы генерируете для пользователя. Это полезно, если пользователь потерял свой ключ безопасности. Выберите продолжительность этого льготного периода, который начинается с момента генерации кода подтверждения. Информацию о резервных кодах можно найти в разделе «Получение резервных кодов подтверждения для пользователя» .
    Важно: если в режиме «Только ключ безопасности» используется двухфакторная аутентификация (2SV), пользователи не могут генерировать собственные резервные коды подтверждения. Администратор должен предоставить эти коды пользователю.
  9. В разделе «Коды безопасности» выберите, могут ли пользователи входить в систему с помощью кода безопасности.
    • Не позволяйте пользователям генерировать коды безопасности — Пользователи не могут генерировать коды безопасности.
    • Разрешите использование кодов безопасности без удаленного доступа — пользователи могут генерировать коды безопасности через g.co/sc и использовать их на том же устройстве или в локальной сети (NAT или LAN).
    • Разрешите использование кодов безопасности при удаленном доступе — Пользователи могут генерировать коды безопасности через g.co/sc и использовать их на других устройствах или в сетях, например, при доступе к удаленному серверу или виртуальной машине.
      Коды безопасности отличаются от одноразовых кодов, которые генерируют такие приложения, как Google Authenticator. Для генерации кода безопасности пользователь нажимает на защитный ключ на своем устройстве. Коды безопасности действительны в течение 5 минут.
  10. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

    Чтобы впоследствии восстановить унаследованное значение, нажмите «Наследовать» (или «Отменить» для группы).

Если пользователи не выполнят требования к установленному сроку,

Вы можете предоставить пользователям дополнительное время для регистрации, добавив их в группу, где двухфакторная аутентификация не применяется. Хотя этот обходной путь позволяет пользователям входить в систему, он не рекомендуется в качестве стандартной практики. Узнайте, как избежать блокировки учетных записей при использовании двухфакторной аутентификации .

В приложениях View Apps вы найдете отчеты о вашей организации.