部署两步验证

如要设置两步验证 (2SV)，您和您的用户都必须执行相应的操作。您的用户可以选择自己的两步验证方法，或者您可以为组织中的特定用户或群组强制执行某种方法。例如，您可以要求销售团队中的某个小团队使用安全密钥。

重要提示：Google 将对管理员账号强制执行两步验证。如需了解详情，请参阅关于为管理员强制执行两步验证。

第 1 步：通知用户两步验证部署情况

在部署两步验证之前，请将公司的计划告知用户，包括以下内容：

• 什么是两步验证，以及贵公司为何要使用两步验证。
• 两步验证是可选还是必需。
• 如果是必需，用户必须在哪个日期之前启用两步验证。
• 需要或建议使用哪种两步验证方法。

第 2 步：允许用户启用两步验证

2016 年 12 月之前创建的用户账号默认启用两步验证。

允许用户启用两步验证并使用任何验证方法。

观看视频

如需允许用户启用两步验证，请执行以下操作：

准备工作： 如有需要，请了解如何将设置应用于部门或群组。

您必须以 超级用户 身份登录，才能执行此任务。

1. 在 Google 管理控制台中，依次点击“菜单”图标 安全性身份验证两步验证。

   前往“两步验证”

   您必须以 超级用户 身份登录，才能执行此任务。

2. （可选）如要将设置仅应用于部分用户，请在侧边选择一个组织部门 （通常用于部门）或配置群组 （高级）。

   群组设置会覆盖组织部门的设置。了解详情

3. 勾选允许用户启用两步验证 复选框。
4. 依次选择强制执行关闭。
5. 点击保存 。或者，您也可以针对组织部门点击覆盖 。

   如要稍后恢复继承的值，请点击继承 （如果是群组，请点击取消设置 ）。

第 3 步：告知用户注册两步验证

1. 告知用户按照启用两步验证中的说明注册两步验证。
2. 提供有关注册两步验证方法的说明：
   • 安全密钥
   • Google 提示、短信或电话
   • Google 身份验证器应用
   • 备用验证码

第 4 步：跟踪用户的注册情况

使用报告来衡量和跟踪用户的两步验证注册情况。查看用户的注册状态、强制执行状态和安全密钥数。

观看视频

跟踪两步验证注册情况

1. 在 Google 管理控制台中，依次点击“菜单”图标 报告用户报告安全性。

   前往“安全性”

   需要拥有“报告”管理员权限。

2. （可选）如需添加新的信息列，请依次点击“设置” 添加新列。选择要添加到表格中的列，然后点击保存。

如需了解详情，请参阅管理用户的安全设置。

查看注册趋势

1. 在管理控制台首页，依次点击报告应用报告账号。

确定未使用两步验证的组织部门和群组

1. 在 Google 管理控制台中，依次点击“菜单”图标 安全性安全中心安全性。

   前往“安全性”

   需要拥有 “安全中心” 管理员权限，以及 “用户” 和 “组织部门” 的读取权限。

2. 请在安全性 部分搜索要求管理员进行两步验证 或要求用户进行两步验证 ，以查看两步验证信息。

第 5 步：强制执行两步验证（可选）

准备工作： 确保用户已注册两步验证。

重要提示： 强制执行两步验证后，如果用户尚未完成两步验证注册流程，但已向账号添加双重身份验证 (2FA) 信息（例如安全密钥或电话号码），则可以使用这些信息登录。如果您看到属于已强制执行两步验证的组织部门的未注册用户的登录，则该登录属于两步验证登录。

准备工作： 如有需要，请了解如何将设置应用于部门或群组。

您必须以 超级用户 身份登录，才能执行此任务。

1. 在 Google 管理控制台中，依次点击“菜单”图标 安全性身份验证两步验证。

   前往“两步验证”

   您必须以 超级用户 身份登录，才能执行此任务。

2. （可选）如要将设置仅应用于部分用户，请在侧边选择一个组织部门 （通常用于部门）或配置群组 （高级）。

   群组设置会覆盖组织部门的设置。了解详情

3. 点击允许用户启用两步验证。
4. 对于强制执行，请选择一个选项：
   • 开启 \- 立即开始。
   • 从指定日期开始强制执行 \- 选择开始日期。用户在登录时会看到注册两步验证的提醒。用户可能还会收到 Google 发送的电子邮件，提醒他们注册两步验证。
     注意： 如果使用从指定日期开始开启 选项，强制执行将在所选日期后的 24-48 小时内开始。如果您希望精确指定强制执行开始时间，请使用开启 选项。
5. （可选）为了让新员工在系统对其账号强制执行两步验证前有时间注册两步验证，请在 1 天到 6 个月范围内选择新用户注册期。
   在此期间，用户只需使用密码即可登录。
6. （可选）为避免用户在可信设备上重复进行两步验证，请在频率下方，勾选允许用户信任设备复选框。
   当用户在新设备上首次登录时，可以选中相应复选框，以信任该设备。除非用户清除 Cookie、取消信任该设备或者您重置用户的登录 Cookie，否则系统不会提示用户在该设备上进行两步验证。
   除非用户经常在不同设备之间切换，否则不建议在可信设备上避免进行两步验证。
7. 对于方法，请选择强制执行方法：
   • 任何方法皆可 \- 用户可以设置任何两步验证方法。
   • 任何方法皆可（通过短信或电话接收验证码的方法除外） - 用户可以设置任何两步验证方法，但使用电话接收两步验证验证码的方法除外。
     重要提示：使用短信和电话验证的用户将无法访问自己的账号。如要避免这类用户无法访问自己的账号，请执行以下操作：
     • 在强制执行之前，告知用户开始使用其他两步验证方法，因为在强制执行日期之后，用户将无法在手机上接收两步验证验证码。
     • 您可以使用 login_verification 登录审核活动事件来跟踪使用短信或语音电话接收验证码的用户。如果 login_challenge_method 参数的值为 idv_preregistered_phone，则表示用户是使用短信或语音电话验证码进行身份验证的。
   • 仅限安全密钥—用户必须设置安全密钥。
     在选择这种强制执行方法之前，请查找已设置安全密钥的用户（报告数据最长可能会延迟 48 小时）。如需查看每位用户的实时两步验证状态，请参阅管理用户的安全设置。
     重要提示： 自从添加通行密钥以来，仅限安全密钥 选项现在支持安全密钥和通行密钥作为两步验证方法。通行密钥和安全密钥的钓鱼式攻击防护级别相同。如需了解详情，请参阅使用通行密钥而非密码登录。
8. 如果您选择仅限安全密钥 ，请设置暂停执行两步验证政策时的宽限期 。
   在此期间，用户可以使用您为其生成的备用验证码登录，这在用户丢失安全密钥时非常有用。选择此宽限期的时长，该宽限期从您生成验证码时开始。有关备用验证码的信息，请参阅为用户获取备用验证码。
   重要提示： 如果在仅限安全密钥 模式下强制执行两步验证，用户将无法自行生成备用验证码。管理员必须向用户提供这些验证码。
9. 对于安全代码，请选择用户是否可以使用安全代码登录。
   • 不允许用户生成安全代码—用户无法生成安全代码。
   • 允许使用安全代码（远程访问除外）—用户可以通过 g.co/sc 生成安全代码并在同一设备或本地网络（NAT 或 LAN）中使用。
   • 允许使用安全代码（包含远程访问的情况） - 用户可以通过 g.co/sc 生成安全代码并在其他设备或网络中使用（如当您访问远程服务器或使用虚拟机时）。
     安全代码不同于 Google 身份验证器等应用生成的一次性验证码。如需生成安全代码，用户只需点按设备上的安全密钥即可生成安全代码。安全代码的有效期为 5 分钟。
10. 点击保存 。或者，您也可以针对组织部门点击覆盖 。

    如要稍后恢复继承的值，请点击继承 （如果是群组，请点击取消设置 ）。

如果用户未在强制执行日期之前遵守规定

您可以将用户添加到未强制执行两步验证的群组，以便为用户提供额外的注册时间。虽然这种变通方法允许用户登录，但并不建议将其作为标准做法。了解如何避免账号在强制执行两步验证时遭到锁定。

相关主题

查看贵组织的应用报告