Nutzern erlauben, sich selbst für das erweiterte Sicherheitsprogramm zu registrieren

Sie können Ihren Nutzern die Möglichkeit geben, sich selbst für das erweiterte Sicherheitsprogramm zu registrieren.

Schritt 1: Angreifbare Nutzer identifizieren und sie für die Registrierung auswählen

Gefährdete Nutzer in der Organisation finden

  1. Machen Sie gefährdete Nutzer ausfindig, die für das erweiterte Sicherheitsprogramm infrage kommen.
    Viele Angriffe starten zu Beginn gezielt mit vermeintlich weniger wichtigen Zielen innerhalb einer Organisation und verbreiten sich von dort aus. Wir empfehlen, im Laufe der Zeit weitere Rollen und Personen hinzuzufügen. Im Folgenden sind einige hochrangige Ziele aufgeführt, die Sie schützen sollten. Behalten Sie aber im Hinterkopf, dass sich Angriffe auch über andere Ziele verbreiten könnten. Diese Liste können Sie im Laufe der Zeit erweitern:
    • Super Admins sind wegen ihrer weitreichenden Berechtigungen oft ein Angriffsziel.
    • Nutzer, die für das Rechnungswesen zuständig sind oder in der Produktion arbeiten, können ebenfalls viele Berechtigungen haben und gefährdet sein.
    • Dasselbe gilt für Führungskräfte und andere leitende Angestellte.
    • Nutzergruppen, die in der Vergangenheit bereits Opfer von Angriffen waren, sind auch wahrscheinliche Zielgruppen. Das gilt insbesondere für staatlich geförderte Angriffe. Möglicherweise wurden Sie auch schon über gefährdete Nutzer benachrichtigt. Sie sollten in jedem Fall alle Personen in Ihrer Organisation in Betracht ziehen.
  2. Gruppieren Sie die Nutzer in Organisationseinheiten.

Schritt 2: Sicherheitsschlüssel bestellen oder Passkeys einrichten

Schlüssel für jeden Nutzer abrufen

Ihre Nutzer benötigen Sicherheitsschlüssel oder Passkeys, um sich für das erweiterte Sicherheitsprogramm zu registrieren. Um den Kontozugriff sicherzustellen, ist für die Registrierung auch ein sekundärer Wiederherstellungsfaktor erforderlich. Nutzer müssen entweder eine Telefonnummer und eine E‑Mail-Adresse zur Kontowiederherstellung oder einen Ersatz-Passkey bzw. einen physischen Sicherheitsschlüssel hinzufügen, den sie an einem sicheren Ort aufbewahren.

Weitere Informationen zu Sicherheitsschlüsseln finden Sie unter Sicherheitsschlüssel bestellen.

Weitere Informationen zu Passkeys finden Sie unter Mit einem Passkey anstelle eines Passworts anmelden.

Schritt 3: Festlegen, für welche Drittanbieter-Apps die erweiterte Sicherheit gilt

Zugriff auf vertrauenswürdige Apps steuern

Richten Sie eine Liste mit vertrauenswürdigen Apps ein, denen Sie die Daten Ihrer Organisation anvertrauen, einschließlich der durch die erweiterte Sicherheit geschützten Daten. Die Liste der vertrauenswürdigen Apps gilt für Ihre gesamte Organisation. Systemeigene Google- und Apple iOS-Apps sowie Mozilla Thunderbird werden bei der erweiterten Sicherheit standardmäßig als vertrauenswürdig eingestuft. Andere Apps, die für Ihr Unternehmen erforderlich sind, müssen Sie der Liste selbst hinzufügen.

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannAPI-Steuerungund dannZugriff von Drittanbieter-Apps verwalten.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Eine detaillierte Anleitung zum Verwalten des Zugriffs von Drittanbieter-Apps finden Sie im Hilfeartikel Zugriff externer und interner Apps auf Google Workspace-Daten verwalten.

Schritt 4: Bestätigung in zwei Schritten für die oberste Organisationsebene einrichten

Auf die 2‑Faktor-Authentifizierung zugreifen

Für das erweiterte Sicherheitsprogramm wird die 2‑Faktor-Authentifizierung verwendet. Daher müssen Sie in der Google Admin-Konsole festlegen, dass Nutzer die Bestätigung in zwei Schritten aktivieren können. Diese Einstellung gilt für die gesamte oberste Organisationsebene, die aus mehreren Domains bestehen kann.

  1. Gehen Sie im Hilfeartikel Bestätigung in zwei Schritten implementieren zum Abschnitt „Schritt 2: Einfache Bestätigung in zwei Schritten einrichten (erforderlich)“.
  2. Folgen Sie der Anleitung, um die 2‑Faktor-Authentifizierung für Ihre gesamte Organisation (alle Domains) zu aktivieren.

Schritt 5: Registrierung durch Nutzer zulassen

Nutzern die Registrierung ermöglichen

Nutzer können sich standardmäßig selbst für die erweiterte Sicherheit registrieren. Diese Nutzerfunktion lässt sich bei Bedarf deaktivieren.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannAuthentifizierungund dannErweitertes Sicherheitsprogramm.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Wählen Sie die Organisationseinheit mit den gewünschten Nutzern aus.
  3. Registrierung durch Nutzer zulassen ist die Standardeinstellung. Falls eine andere Einstellung ausgewählt ist, setzen Sie sie auf den Standard zurück.
  4. Geben Sie den Typ des Sicherheitscodes an, den die Nutzer generieren dürfen. Sicherheitscodes verringern die Sicherheit. Ihre Nutzer sollten sie daher nur generieren dürfen, wenn sie verwendet werden müssen. Weitere Informationen zu Sicherheitsrichtlinien finden Sie in diesem Hilfeartikel.

    Wählen Sie eine der folgenden Optionen aus:

    • Nicht zulassen, dass Nutzer Sicherheitscodes generieren: Damit schalten Sie diese Möglichkeit für Nutzer aus. Diese Option bietet die höchste Sicherheitsstufe. Verwenden Sie diese Option, wenn alle Nutzer Google Chrome verwenden und moderne Anwendungen haben.
    • Sicherheitscodes ohne Remote-Zugriff zulassen: Nutzer dürfen Sicherheitscodes generieren und sie auf demselben Gerät oder im selben lokalen Netzwerk verwenden (NAT oder LAN). Das ist die Standardeinstellung. Diese Option bietet weniger Sicherheit als die erste, aber immer noch mehr als „Sicherheitscodes mit Remotezugriff zulassen“ (weiter unten beschrieben). Sie eignet sich für:
      • iOS-Apps
      • Macs
      • Internet Explorer
      • Safari
      • Ältere Desktopanwendungen und mobile Apps, die nicht Chrome, sondern WebViews zur Authentifizierung verwenden
    • Sicherheitscodes mit Remote-Zugriff zulassen: Nutzer dürfen Sicherheitscodes generieren und sie auf anderen Geräten oder in anderen Netzwerken verwenden, z. B. beim Zugriff auf einen Remote-Server oder eine virtuelle Maschine.

Weitere Informationen finden Sie im Blog „Google Workspace Updates“.

Schritt 6: Ausgewählte Nutzer benachrichtigen, dass sie sich für die erweiterte Sicherheit registrieren können

Nutzer benachrichtigen

Nachdem Sie die Registrierung für die erweiterte Sicherheit aktiviert haben, können sich Nutzer selbst registrieren. Dazu müssen sie zuerst eine Webseite aufrufen, auf der sie die Sicherheitsschlüssel oder Passkeys einrichten. Außerdem werden sie über Änderungen informiert, die nach der Registrierung vorgenommen werden.

Sie sollten Nutzern Ihre Pläne mitteilen:

  • Erklären Sie die erweiterte Sicherheit und warum sie verwendet wird.
  • Geben Sie an, ob die erweiterte Sicherheit optional oder erforderlich ist.
  • Falls vorhanden, nennen Sie die Frist für die Registrierung der Nutzer.
  • Erwähnen Sie, dass Nutzer nach der Registrierung von allen Geräten und Drittanbieter-Apps abgemeldet werden und sich wieder anmelden müssen.
  • Lassen Sie den Nutzern ihre Sicherheitsschlüssel zukommen oder weisen Sie sie an, Passkeys auf ihren Geräten einzurichten.
  • Senden Sie Nutzern den Link zur Webseite für die Registrierung: erweitertes Sicherheitsprogramm.