Sicherheitseinstellungen eines Nutzers verwalten

1. Klicken Sie auf Passwort Passwort zurücksetzen.
2. Lassen Sie automatisch ein Passwort generieren oder geben Sie ein eigenes ein.

   Standardmäßig müssen Passwörter mindestens acht Zeichen lang sein. Es lassen sich für Ihre Organisation aber auch andere Passwortanforderungen festlegen.

3. Optional: Um sich das Passwort anzeigen zu lassen, klicken Sie auf „Vorschau“  .
4. Optional: Wenn Sie die Änderung des Passworts erzwingen möchten, muss sich der Schieberegler neben Bei nächster Anmeldung zur Passwortänderung auffordern in der Position „Ein“  befinden.
5. Klicken Sie auf Zurücksetzen.
6. Optional: Wenn Sie das Passwort an einer anderen Stelle einfügen möchten, z. B. in eine Unterhaltung in Google Chat, klicken Sie auf Zum Kopieren des Passworts klicken.
7. Legen Sie fest, dass das Passwort dem Nutzer per E-Mail gesendet werden soll, oder klicken Sie auf Fertig.

Im Bereich Passkeys und Sicherheitsschlüssel werden die folgenden Informationen zu den von einem Nutzer registrierten Schlüsseln angezeigt:

• Name des Schlüssels, entweder Standardname oder vom Nutzer angegeben
• Plattform oder Gerät, auf dem der Schlüssel erstellt wurde
• Die Art der Registrierung, entweder durch den Nutzer oder automatisch
• Unterstützung für die passwortlose Anmeldung, d. h., ob ein Passkey verwendet werden kann, um die Passwortüberprüfung zu überspringen
• Wann und wo die Schlüssel hinzugefügt und zuletzt verwendet wurden

Sie können die Sicherheitsschlüssel eines Nutzers hinzufügen oder entfernen und seine Passkeys entfernen.

Passkeys

Passkeys sind eine einfache und sichere Alternative zu Passwörtern. Mit Passkeys können sich Nutzer mit einem Smartphone, einem Sicherheitsschlüssel oder der Displaysperre ihres Computers in ihrem verwalteten Google-Konto anmelden. Wenn ein Administrator die Option „Passwort überspringen“ für das Konto eines Nutzers aktiviert hat, kann dieser die Passwortanmeldung überspringen und stattdessen einen Passkey verwenden, der die Ein- und Zwei-Faktor-Authentifizierung abdeckt. Weitere Informationen finden Sie unter Für die Anmeldung Passkeys statt Passwörter verwenden.

Vom Nutzer erstellten Passkey entfernen

1. Klicken Sie auf Passkeys und Sicherheitsschlüssel, um die Tabelle mit den wichtigsten Informationen zu öffnen.
2. Scrollen Sie in der Tabelle ganz nach rechts.
3. Bewegen Sie den Mauszeiger auf die Tabellenzeile für den Schlüssel, den Sie entfernen möchten, und klicken Sie auf Entfernen.
4. Klicken Sie zur Bestätigung auf Entfernen.
5. Klicken Sie auf Fertig.
   Bei jedem Aufheben eines Passkeys wird ein Eintrag in Administrator-Protokollereignisse hinzugefügt.

Automatisch erstellten Passkey entfernen

Passkeys werden automatisch auf Android-Geräten generiert, wenn sich ein Nutzer in seinem Google-Konto anmeldet. So entfernen Sie einen Passkey:

1. Rufen Sie auf der Seite „Sicherheit“ des Nutzers den Bereich Verbundene Apps auf.
2. Suchen Sie in der Spalte Anwendung nach dem Android-Gerät, das Sie entfernen möchten.
3. Bewegen Sie den Mauszeiger auf diese Zeile und klicken Sie auf „Entfernen“  .
4. Klicken Sie auf Entfernen.
5. Klicken Sie auf Fertig.

Wenn Sie verhindern möchten, dass ein Nutzer einen weiteren automatischen Passkey erstellt, setzen Sie sein Passwort zurück und melden Sie ihn auf allen Geräten und in allen Browsern aus seinem Google-Konto ab, einschließlich Google Workspace-Anwendungen.

1. Befolgen Sie die Schritte im Hilfeartikel Nutzerpasswort zurücksetzen.
2. Wenn Sie den Nutzer aus seinem Google-Konto abmelden möchten, folgen Sie der Anleitung unter Anmeldecookies des Nutzers zurücksetzen.

Wenn Sie die Cookies eines Nutzers zurücksetzen, ohne sein Passwort zurückzusetzen, kann er sich weiterhin auf seinem Android-Gerät anmelden. Dadurch wird automatisch wieder ein Passkey erstellt.

Wenn Sie mehr Kontrolle über die automatische Erstellung von Passkeys haben möchten, können Sie die Verwendung von Android-Geräten mit der einfachen Geräteverwaltung einschränken. Weitere Informationen finden Sie im Hilfeartikel Einfache Mobilgeräteverwaltung einrichten.

Sicherheitsschlüssel

Ein Sicherheitsschlüssel ist ein kleines Gerät für die Bestätigung in zwei Schritten (2‑Faktor-Authentifizierung, 2FA) bei der Anmeldung in einem Google-Konto. Er wird entweder an den USB-Port Ihres Computers angeschlossen oder per NFC oder Bluetooth mit Ihrem Mobilgerät verbunden. Weitere Informationen finden Sie unter Sicherheitsschlüssel für die 2‑Faktor-Authentifizierung verwenden.

Sicherheitsschlüssel als einzigen Schlüssel für die 2‑Faktor-Authentifizierung hinzufügen

Sicherheitsschlüssel können sowohl von Ihnen als auch von den Nutzern selbst hinzugefügt werden. Wenn Sie einen Sicherheitsschlüssel auf diese Weise hinzufügen, ist er nur für die 2‑Faktor-Authentifizierung vorgesehen. Der Nutzer muss sich mit seinem Passwort anmelden, wenn er diesen Schlüssel verwendet.

• So fügen Sie für einen Nutzer einen Sicherheitsschlüssel hinzu:
  1. Klicken Sie auf Passkeys und Sicherheitsschlüssel, damit die Schaltfläche Sicherheitsschlüssel hinzufügen angezeigt wird.
  2. Klicken Sie auf Sicherheitsschlüssel hinzufügen.
  3. Folgen Sie der Anleitung auf dem Bildschirm.
     Hinweis:Entfernen Sie alle an Ihren Computer angeschlossenen Sicherheitsschlüssel, bevor Sie einen neuen für einen Nutzer registrieren.
  4. Klicken Sie auf Fertig.
• So erlauben Sie Nutzern, einen eigenen Sicherheitsschlüssel hinzuzufügen, der nur für die 2‑Faktor-Authentifizierung verwendet werden kann:
  1. Die Einstellung „Passwort überspringen“ muss für Nutzer deaktiviert sein, da sie sonst nur einen Sicherheitsschlüssel als Passkey hinzufügen können. Eine Anleitung finden Sie im Hilfeartikel „Passwörter überspringen“ für Nutzer aktivieren oder deaktivieren.
  2. Bitten Sie die Nutzer, der Anleitung im Hilfeartikel Sicherheitsschlüssel für die 2‑Faktor-Authentifizierung verwenden zu folgen.

Sicherheitsschlüssel entfernen

Entfernen Sie einen Sicherheitsschlüssel nur, wenn er verloren gegangen ist. Wenn ein Schlüssel nur vorübergehend nicht verfügbar ist, können Sie als Übergangslösung Sicherheitscodes generieren. Weitere Informationen finden Sie im Hilfeartikel Back-up-Codes für einen Nutzer abrufen.

1. Klicken Sie auf Passkeys und Sicherheitsschlüssel, um die Tabelle mit den wichtigsten Informationen zu öffnen.
2. Scrollen Sie in der Tabelle ganz nach rechts.
3. Bewegen Sie den Mauszeiger auf die Tabellenzeile für den Schlüssel, den Sie entfernen möchten, und klicken Sie auf Entfernen.
4. Klicken Sie zur Bestätigung auf Entfernen.
5. Klicken Sie auf Fertig.
   Bei jedem Aufheben eines Sicherheitsschlüssels wird ein Eintrag in Administrator-Protokollereignisse hinzugefügt.

Als Administrator können Sie den Registrierungsstatus eines Nutzers für das erweiterte Sicherheitsprogramm prüfen und ihn bei Bedarf auf Nutzerebene abmelden.

• Der Status Ein bedeutet, dass der Nutzer derzeit für die erweiterte Sicherheit registriert ist.
• Der Status Aus bedeutet, dass der Nutzer nicht für die erweiterte Sicherheit registriert ist.

Wenn Sie die Registrierung für das erweiterte Sicherheitsprogramm hier deaktivieren, kann sich nur der Nutzer wieder registrieren, sofern die Einstellung Nutzerregistrierung aktivieren unter SicherheitAuthentifizierungErweitertes Sicherheitsprogramm aktiviert ist. Weitere Informationen finden Sie unter Nutzern die Registrierung ermöglichen.

Nur Nutzer können die Bestätigung in zwei Schritten aktivieren. Als Administrator haben Sie die Möglichkeit, die aktuelle Einstellung für die Bestätigung in zwei Schritten zu überprüfen und, falls nötig, einen Back-up-Code für einen ausgesperrten Nutzer anzufordern.

Im Abschnitt Bestätigung in zwei Schritten sehen Sie, ob diese Funktion für den Nutzer aktiviert ist und ob sie derzeit in Ihrer Organisation erzwungen wird.

• Ist ein Nutzer aus seinem Konto ausgesperrt, können Sie die Funktion „Bestätigung in zwei Schritten“ deaktivieren. Wir raten jedoch davon ab. Sie sollten stattdessen einen Back-up-Code abrufen, mit dem sich der Nutzer wieder in seinem Konto anmelden kann.

  Hinweis:Sie können die 2‑Faktor-Authentifizierung für einen Nutzer nicht deaktivieren, wenn sein Konto gesperrt ist.

• Wird in Ihrer Organisation die Funktion „Bestätigung in zwei Schritten“ erzwungen, haben die einzelnen Nutzer keine Möglichkeit, sie zu deaktivieren.

Nutzer, die vorübergehend nicht auf ihre zweite Authentifizierungsmethode zugreifen können, werden möglicherweise aus Ihrem Konto ausgesperrt. Beispiel: Ein Nutzer hat seinen Sicherheitsschlüssel zu Hause vergessen oder er erhält telefonisch keinen Zugriffscode. In solchen Fällen haben Sie die Möglichkeit, Back-up-Codes zu generieren, mit denen sich die betroffenen Personen wieder anmelden können.

1. Klicken Sie auf 2‑Faktor-Authentifizierung Back-up-Codes abrufen, um sich die Codes des Nutzers anzeigen zu lassen.
   Hinweis:Durch das Erstellen neuer Bestätigungscodes werden alle vorhandenen Codes ungültig. Wenn Sie beispielsweise den Bestätigungscode eines Nutzers über die Admin-Konsole erstellt haben und dann mithilfe der Bestätigungscodes einen neuen Code generieren, wird der vorherige Codesatz ungültig und umgekehrt.
2. Kopieren Sie einen der vorhandenen Back-up-Codes oder rufen Sie neue Codes ab. Hinweis: Wählen Sie Neue Codes erhalten aus, wenn Sie vermuten, dass die vorhandenen gestohlen wurden oder aufgebraucht sind. Die alten Backup-Codes werden dann automatisch deaktiviert.
3. Bitten Sie den Nutzer, der Anleitung im Hilfeartikel Mit Back-up-Codes anmelden zu folgen.

Wenn der Nutzer die 2‑Faktor-Authentifizierung mit einem Sicherheitsschlüssel verwenden muss:

• Der Nutzer kann keine eigenen Backup-Codes generieren. Ein Administrator muss diese Codes generieren und dem Nutzer bei Bedarf zur Verfügung stellen.
• Sobald Sie Codes für den Nutzer generieren, beginnt der Kulanzzeitraum für die Verwendung dieser Codes. Sie werden über die verbleibende Kulanzfrist informiert, bevor der Nutzer seinen Sicherheitsschlüssel zur Anmeldung verwenden muss.

Weitere Informationen zum Einrichten der Bestätigung in zwei Schritten für Nutzer finden Sie unter Bestätigung in zwei Schritten implementieren.

Reseller-Administratoren

Nur Super Admins können Back-up-Bestätigungscodes für andere Administratoren generieren. Das bedeutet, dass Administratoren, einschließlich Reseller-Administratoren, nur Back-up-Bestätigungscodes für ihre Nutzer, nicht aber für andere Administratoren oder Super Admins ansehen und erstellen können. Wenn Sie Administratoren erlauben möchten, Back-up-Bestätigungscodes für Nutzer, Administratoren und Super Admins zu generieren und anzusehen, müssen Sie ihnen Super Admin-Berechtigungen gewähren.

Wenn Sie befürchten, dass das Passwort eines Nutzers gestohlen wurde, können Sie festlegen, dass er es bei der nächsten Anmeldung zurücksetzen muss.

1. Klicken Sie auf Passwortänderung erforderlich aktivieren Sie die Option .
2. Klicken Sie auf Fertig.

Nachdem der Nutzer sein Passwort zurückgesetzt hat, wird diese Einstellung automatisch deaktiviert.

Hinweis:Wenn Ihre Organisation die Einmalanmeldung (SSO) über einen externen Identitätsanbieter verwendet, ist die Einstellung zur Passwortänderung nicht verfügbar, es sei denn, Sie verwenden eine Netzwerkmaske, über die sich einige Nutzer direkt in Workplace anmelden können. Hier können Sie prüfen, ob eine Netzwerkmaske eingerichtet ist: SicherheitSSO mit externen IdPsSSO-Profil für Ihre Organisation.

Erkennt Google für ein Nutzerkonto einen nicht autorisierten Anmeldeversuch, wird der Zugriff erst nach einer Identitätsbestätigung gewährt. Dazu müssen Nutzer

• einen Bestätigungscode eingeben, den Google an ihre Telefonnummer oder an die E‑Mail-Adresse zur Kontowiederherstellung (außerhalb Ihrer Organisation) sendet,
• oder eine alternative Identitätsbestätigung durchführen, die nur der Kontoinhaber vornehmen kann.

So fügen Sie die Wiederherstellungsinformationen eines Nutzers hinzu oder bearbeiten sie:

1. Klicken Sie auf Informationen zur Wiederherstellung.
2. Geben Sie diese Angaben ein oder bearbeiten Sie sie:
   • E‑Mail-Adresse (außerhalb der Organisation)
   • Telefonnummer zur Kontowiederherstellung

     Hinweis:Die Telefonnummer zur Kontowiederherstellung muss für jeden Nutzer eindeutig sein. Wird dieselbe Telefonnummer zur Kontowiederherstellung von mehreren Nutzern verwendet, wird sie aus Sicherheitsgründen automatisch blockiert.

3. Klicken Sie auf Speichern.

Erkennt Google für ein Nutzerkonto einen nicht autorisierten Anmeldeversuch, wird der Zugriff erst nach einer Identitätsbestätigung gewährt. Der Nutzer muss dann einen Bestätigungscode eingeben, den Google an sein Smartphone sendet. Alternativ hat der Nutzer die Möglichkeit, eine Identitätsbestätigung zu verwenden, die nur der tatsächliche Kontoeigentümer vornehmen kann.

Wenn ein Google Workspace-Nutzer eine vertrauliche Aktion ausführen möchte, wird er möglicherweise zur Bestätigung seiner Identität aufgefordert. Wenn der Nutzer die angeforderten Informationen nicht eingeben kann, wird die vertrauliche Aktion von Google abgelehnt.

Kann ein autorisierter Nutzer seine Identität nicht bestätigen, können Sie die Identitätsbestätigung für 10 Minuten deaktivieren, damit er sich anmelden kann.

Wenn ein Nutzer seinen Computer oder sein Mobilgerät verliert, können Sie die Anmeldecookies zurücksetzen. So verhindern Sie, dass Unbefugte auf sein Google-Konto zugreifen. Der Nutzer wird dabei auf allen Geräten und in allen Browsern aus seinem Google-Konto abgemeldet, einschließlich aller Google Workspace-Anwendungen.

Hinweis:Wenn Sie einen Nutzer gesperrt haben, müssen Sie dies nicht tun. Wenn Sie einen Nutzer sperren, werden seine Anmeldecookies zurückgesetzt.

Wenn Sie die Einmalanmeldung (SSO) über einen externen Identitätsanbieter eingerichtet haben, besteht über die SSO-Sitzung möglicherweise selbst dann weiterhin Zugriff auf das Google-Konto eines Nutzers, wenn die Anmeldecookies zurückgesetzt werden. Deshalb müssen Sie in diesem Fall die SSO-Sitzung beenden, bevor Sie die Anmeldecookies zurücksetzen. Hilfe bei der Verwaltung der SSO erhalten Sie beim Supportteam des Identitätsanbieters.

So setzen Sie die Cookies des Nutzers zurück:

1. Klicken Sie auf AnmeldecookiesZurücksetzen.
2. Klicken Sie auf Fertig.

Es kann bis zu eine Stunde dauern, bis der Nutzer aus allen aktuellen Gmail-Sitzungen abgemeldet ist. Bei anderen Anwendungen sind kürzere oder längere Abmeldezeiten möglich.

Wenn Ihre Nutzer die Bestätigung in zwei Schritten verwenden und sich in Apps oder auf Geräten anmelden müssen, die keine Bestätigungscodes akzeptieren, benötigen sie für den Zugriff anwendungsspezifische Passwörter. Weitere Informationen zur Anmeldung mit App-Passwörtern

Alle Apps, für die ein Nutzer eigene Passwörter erstellt hat, sind im Abschnitt Anwendungsspezifisches Passwort aufgeführt. Hinweis: Dieser Abschnitt ist inaktiv, wenn keine solchen Passwörter verwendet werden.

Klicken Sie auf den Namen einer App, um weitere Informationen dazu zu erhalten, wann das Passwort für diese App erstellt und zuletzt verwendet wurde.

Sie sollten ein App-Passwort aufheben, wenn ein Nutzer ein Gerät verliert oder die entsprechende App nicht mehr verwendet.

1. Klicken Sie auf den Abschnitt Anwendungsspezifisches Passwort, um zu sehen, für welche Apps Passwörter festgelegt sind.
2. Bewegen Sie den Mauszeiger auf den Namen der App und klicken Sie rechts auf „Aufheben“ .
3. Klicken Sie auf Aufheben.
4. Klicken Sie auf Fertig.

Nutzer können App-Passwörter auch selbst aufheben. Weitere Informationen

Im Bereich Verbundene Apps sind alle Drittanbieter-Apps aufgeführt, z. B. aus dem Google Workspace Marketplace, über die Zugriff auf Daten aus dem Google-Konto eines Nutzers besteht. Weitere Informationen zum autorisierten Zugriff

Hinweis: Dieser Abschnitt ist inaktiv, wenn keine Drittanbieter-Apps installiert sind.

Klicken Sie auf den Namen einer App, um weitere Informationen zu erhalten:

• In der Spalte Zugriffsebene sehen Sie, auf welche Nutzerdaten die Anwendung zugreifen kann. Nutzer haben die Möglichkeit, Voll- oder Teilzugriff auf ihre Google-Daten zu gewähren.
• In der Spalte Datum der Autorisierung wird angezeigt, wann der Anwendung der Zugriff auf die Daten gewährt wurde.

So entziehen Sie einer App vorübergehend den Datenzugriff:

1. Bewegen Sie den Mauszeiger auf den Namen der App und klicken Sie rechts auf „Entfernen“ .
2. Klicken Sie auf Entfernen.
3. Klicken Sie auf Fertig.

Hinweis: Einer App den Datenzugriff zu entziehen, hindert Nutzer nicht daran, sie dennoch zu verwenden, vorausgesetzt sie haben die entsprechenden Berechtigungen. Sobald sie sich anmelden, wird der Datenzugriff wiederhergestellt. Wenn Sie den Zugriff auf Anwendungen von Nutzern dauerhaft einschränken wollen, können Sie bestimmte Anwendungsbereiche blockieren und für die genehmigten Apps in Ihrer Organisation eine Zulassungsliste erstellen.