Gérer les paramètres de sécurité d'un utilisateur

1. Cliquez sur Mot de passe Réinitialiser le mot de passe.
2. Vous pouvez choisir de saisir un mot de passe ou de le générer automatiquement.

   Par défaut, le mot de passe doit comporter au moins huit caractères. Vous pouvez modifier les règles de mot de passe pour votre organisation.

3. (Facultatif) Pour afficher le mot de passe, cliquez sur Aperçu .
4. (Facultatif) Pour obliger l'utilisateur à modifier son mot de passe, vérifiez que l'option Exiger la modification du mot de passe à la prochaine connexion est bien activée .
5. Cliquez sur Réinitialiser.
6. (Facultatif) Pour copier-coller le mot de passe, par exemple dans une fenêtre de conversation Google Chat pour l'envoyer à l'utilisateur, cliquez sur Cliquer pour copier le mot de passe.
7. Vous pouvez choisir de l'envoyer par e-mail à l'utilisateur. Sinon, cliquez sur OK.

La section Clés d'accès et clés de sécurité affiche les informations suivantes sur les clés enregistrées par un utilisateur :

• Nom de la clé, par défaut ou défini par l'utilisateur
• Plate-forme ou appareil sur lesquels la clé a été créée
• Manière dont la clé a été enregistrée (par l'utilisateur ou automatiquement)
• Prise en charge de l'authentification sans mot de passe, et possibilité d'utiliser une clé d'accès pour ignorer les questions de validation du mot de passe
• Date et lieu d'ajout et de dernière utilisation des clés

Vous pouvez ajouter ou supprimer les clés de sécurité d'un utilisateur, et supprimer ses clés d'accès.

Clés d'accès

Les clés d'accès constituent une alternative simple et sécurisée aux mots de passe. Les clés d'accès permettent aux utilisateurs de se connecter à leur compte Google géré à l'aide de leur téléphone ou d'une clé de sécurité, ou en déverrouillant l'écran de leur ordinateur. Si un administrateur a activé l'option "Ignorer le mot de passe" sur le compte d'un utilisateur, il peut ignorer les questions d'authentification à la connexion et utiliser à la place une clé d'accès intégrant la validation en deux étapes. Pour en savoir plus, consultez Se connecter avec une clé d'accès au lieu d'un mot de passe.

Supprimer une clé d'accès créée par l'utilisateur

1. Cliquez sur Clés d'accès et clés de sécurité pour afficher le tableau d'informations sur les clés.
2. Faites défiler le tableau complètement vers la droite.
3. Pointez sur la ligne du tableau correspondant à la clé que vous souhaitez supprimer, puis cliquez sur Supprimer.
4. Confirmez en cliquant sur Supprimer.
5. Cliquez sur OK.
   Les événements du journal d'administration ajoutent une entrée chaque fois que vous révoquez une clé d'accès.

Supprimer une clé d'accès créée automatiquement

Les clés d'accès sont générées automatiquement sur les appareils Android lorsqu'un utilisateur se connecte à son compte Google. Pour en supprimer une :

1. Accédez à la section Applications connectées de la page "Sécurité" de l'utilisateur.
2. Recherchez l'appareil Android que vous souhaitez supprimer dans la colonne Application.
3. Pointez sur cette ligne, puis cliquez sur Supprimer .
4. Cliquez sur Supprimer.
5. Cliquez sur OK.

Pour empêcher un utilisateur de créer une autre clé d'accès automatique, réinitialisez son mot de passe et déconnectez-le de son compte Google (y compris des applications Google Workspace) sur tous les appareils et navigateurs.

1. Suivez la procédure Réinitialiser le mot de passe d'un utilisateur.
2. Pour le déconnecter de son compte Google, suivez la procédure Réinitialiser les cookies de connexion de l'utilisateur.

Si vous réinitialisez les cookies d'un utilisateur sans réinitialiser son mot de passe, il pourra toujours se connecter à son appareil Android, qui ajoutera à nouveau une clé d'accès créée automatiquement.

Pour mieux contrôler la création automatique de clés d'accès, vous pouvez limiter l'utilisation des appareils Android à l'aide de la gestion de base des appareils. Pour en savoir plus, consultez Configurer la gestion de base des appareils mobiles.

Clés de sécurité

Une clé de sécurité est un petit dispositif qui vous permet de vous connecter à un compte Google à l'aide de la validation en deux étapes. Elle se branche sur le port USB de votre ordinateur ou se connecte à votre appareil mobile via NFC ou Bluetooth. Pour en savoir plus, consultez Utiliser une clé de sécurité pour la validation en deux étapes.

Ajouter une clé de sécurité comme clé réservée à la validation en deux étapes

Vous pouvez ajouter une clé de sécurité à un compte utilisateur ou laisser l'utilisateur ajouter lui-même sa propre clé. Si vous ajoutez une clé de sécurité de cette manière, elle est utilisée uniquement pour la validation en deux étapes. L'utilisateur doit se connecter avec son mot de passe lorsqu'il utilise cette clé.

• Pour ajouter une clé de sécurité à l'utilisateur :
  1. Cliquez sur Clés d'accès et clés de sécurité pour afficher le bouton Ajouter une clé de sécurité.
  2. Cliquez sur Ajouter une clé de sécurité.
  3. Suivez les instructions à l'écran.
     Remarque : Si vous avez inséré une clé de sécurité dans votre ordinateur, retirez-la avant d'en enregistrer une nouvelle pour un compte utilisateur.
  4. Cliquez sur OK.
• Pour permettre aux utilisateurs d'ajouter leur propre clé de sécurité à utiliser uniquement pour la validation en deux étapes :
  1. Assurez-vous que le paramètre "Ignorer le mot de passe" est désactivé pour les utilisateurs. Sinon, ils pourront uniquement ajouter une clé de sécurité comme clé d'accès. Pour connaître la procédure à suivre, consultez Activer ou désactiver l'option "Ignorer les mots de passe" pour les utilisateurs.
  2. Demandez aux utilisateurs de suivre les instructions de la page Utiliser une clé de sécurité pour la validation en deux étapes.

Supprimer une clé de sécurité

Une clé de sécurité doit uniquement être supprimée lorsqu'elle est perdue. Si une clé est temporairement indisponible, vous pouvez générer des codes de sécurité en guise de solution de remplacement temporaire. Pour en savoir plus, consultez Obtenir des codes de validation de secours pour un utilisateur.

1. Cliquez sur Clés d'accès et clés de sécurité pour afficher le tableau d'informations sur les clés.
2. Faites défiler le tableau complètement vers la droite.
3. Pointez sur la ligne du tableau correspondant à la clé que vous souhaitez supprimer, puis cliquez sur Supprimer.
4. Confirmez en cliquant sur Supprimer.
5. Cliquez sur OK.
   Les événements du journal d'administration ajoutent une entrée chaque fois que vous révoquez une clé de sécurité.

En tant qu'administrateur, vous pouvez vérifier l'état de l'inscription d'un utilisateur à la Protection Avancée et, si nécessaire, l'en désinscrire au niveau de l'utilisateur.

• L'état Activé signifie que l'utilisateur est actuellement inscrit à la Protection Avancée.
• L'état Désactivé signifie que l'utilisateur n'est pas inscrit à la Protection Avancée.

Si vous désactivez l'inscription à la Protection Avancée ici, seul l'utilisateur pourra se réinscrire, à condition que le paramètre Activer l'enregistrement des utilisateurs soit activé sous SécuritéAuthentificationProgramme Protection Avancée. Pour en savoir plus, consultez Autoriser les utilisateurs à s'inscrire au programme.

Seul l'utilisateur peut activer la validation en deux étapes. En tant qu'administrateur, vous pouvez consulter le paramètre actuel de la validation en deux étapes d'un utilisateur et, si nécessaire, obtenir un code de secours pour un compte utilisateur bloqué.

La section Validation en deux étapes indique si l'option est activée pour l'utilisateur et si elle est actuellement appliquée dans l'ensemble de votre organisation.

• Vous avez la possibilité de désactiver l'option de validation en deux étapes pour un compte utilisateur bloqué, mais ce n'est pas recommandé. À la place, obtenez un code de secours pour l'utilisateur afin de lui permettre de se connecter à son compte.

  Remarque : Vous ne pouvez pas désactiver la validation en deux étapes pour un utilisateur si son compte est suspendu.

• Si la validation en deux étapes est appliquée dans l'ensemble de votre organisation, l'option permettant de la désactiver pour un utilisateur spécifique n'est pas disponible.

Les utilisateurs qui perdent temporairement leur deuxième méthode d'authentification risquent de perdre l'accès à leur compte. Par exemple, il peut arriver qu'un utilisateur oublie sa clé de sécurité chez lui ou ne puisse pas recevoir de code d'accès par téléphone. Pour ces utilisateurs, vous pouvez générer des codes de validation de secours afin de leur permettre de se connecter.

1. Pour afficher les codes de validation supplémentaires de l'utilisateur, cliquez sur Validation en deux étapes Recevoir des codes de validation de secours.
   Remarque : La création de nouveaux codes de validation invalide les codes existants. Par exemple, si vous avez créé le code de validation d'un utilisateur dans la console d'administration, puis que vous en générez un autre à l'aide de verificationCodes, le jeu de codes précédent est invalidé (et inversement).
2. Copiez l'un des codes de secours existants ou générez-en de nouveaux. Remarque : Sélectionnez Générer de nouveaux codes si vous pensez que les codes de secours existants ont été volés ou utilisés. L'ancien ensemble de codes de secours est automatiquement désactivé.
3. Demandez à l'utilisateur de suivre les instructions de Se connecter à l'aide de codes de secours.

Si l'utilisateur doit recourir à la validation en deux étapes avec une clé de sécurité :

• L'utilisateur ne peut pas générer ses propres codes de validation de secours. Un administrateur doit générer ces codes et les fournir à l'utilisateur si nécessaire.
• Une fois que vous avez généré des codes pour l'utilisateur, le délai de grâce pour l'utilisation de ces codes commence. Vous serez informé du délai de grâce restant avant qu'il n'ait besoin d'utiliser sa clé de sécurité pour se connecter.

Pour savoir comment configurer les exigences de validation en deux étapes pour les utilisateurs, consultez Déployer la validation en deux étapes.

Administrateurs revendeurs

Seuls les super-administrateurs peuvent générer des codes de validation de secours pour d'autres administrateurs. Cela signifie que les administrateurs, y compris les administrateurs revendeurs, ne peuvent afficher et créer des codes de validation de secours que pour leurs utilisateurs, et non pour d'autres administrateurs ou super-administrateurs. Si vous souhaitez autoriser les administrateurs à générer et à afficher des codes de validation de secours pour les utilisateurs, les administrateurs et les super-administrateurs, vous devez leur accorder des droits de super-administrateur.

Si vous pensez que le mot de passe d'un utilisateur a été piraté, vous pouvez l'obliger à réinitialiser son mot de passe à la prochaine connexion.

1. Cliquez sur Exiger un nouveau mot de passe Activer .
2. Cliquez sur OK.

Une fois que l'utilisateur a réinitialisé son mot de passe, le paramètre est automatiquement désactivé.

Remarque : Si votre organisation utilise l'authentification unique via un fournisseur d'identité tiers, le paramètre de changement de mot de passe forcé n'est disponible que si vous utilisez un masque de réseau pour autoriser certains utilisateurs à se connecter directement à Workplace. Pour vérifier si un masque de réseau est configuré, accédez à SécuritéSSO avec des fournisseurs d'identité tiersProfil SSO pour votre organisation.

Si Google soupçonne une tentative d'accès non autorisée au compte d'un utilisateur, une question d'authentification à la connexion s'affiche avant que l'accès au compte ne soit accordé. L'utilisateur doit :

• saisir le code de validation que Google envoie sur son numéro de téléphone ou son adresse e-mail de récupération, adresse n'appartenant pas à votre organisation ;
• répondre à une question d'authentification dont seul le titulaire du compte connaît la réponse.

Pour ajouter ou modifier les informations de récupération d'un utilisateur :

1. Cliquez sur Informations de récupération.
2. Ajoutez ou modifiez l'un des éléments suivants :
   • Adresse e-mail n'appartenant pas à votre organisation
   • Numéro de téléphone de récupération

     Remarque : Le numéro de téléphone de récupération doit être propre à chaque utilisateur. Si un même numéro est utilisé par plusieurs utilisateurs, il est automatiquement bloqué pour des raisons de sécurité.

3. Cliquez sur Enregistrer.

Si Google soupçonne une tentative d'accès non autorisée au compte d'un utilisateur, une question d'authentification à la connexion s'affiche avant que l'accès au compte ne soit accordé. L'utilisateur doit saisir le code de validation que Google envoie sur son téléphone. Il peut aussi choisir de répondre à une autre question dont seul le titulaire du compte connaît la réponse.

Par ailleurs, si un utilisateur Google Workspace tente d'effectuer une action sensible, il peut être invité à confirmer son identité. S'il ne peut pas saisir les informations demandées, Google interdit l'action sensible.

Si l'utilisateur autorisé ne peut pas valider son identité, vous pouvez désactiver les questions d'authentification à la connexion pendant 10 minutes pour permettre à l'utilisateur de se connecter.

Lorsqu'un utilisateur perd son ordinateur ou son appareil mobile, vous pouvez empêcher les accès non autorisés à son compte Google en réinitialisant ses cookies de connexion. L'utilisateur est alors déconnecté de son compte Google, ainsi que de toutes les applications Google Workspace, sur tous les appareils et navigateurs.

Remarque : Si vous avez suspendu un compte utilisateur, veuillez ignorer ces étapes. Le fait de suspendre le compte d'un utilisateur réinitialise ses cookies de connexion.

Si vous avez configuré l'authentification unique via un fournisseur d'identité tiers, il se peut que la session d'authentification unique de l'utilisateur lui donne encore accès à son compte Google malgré la réinitialisation des cookies. Dans ce cas, mettez fin à sa session d'authentification unique avant de réinitialiser ses cookies de connexion Google. Pour en savoir plus sur la gestion de l'authentification unique, contactez l'équipe d'assistance de votre fournisseur d'identité.

Pour réinitialiser les cookies de l'utilisateur :

1. Cliquez sur Cookies de connexionRéinitialiser.
2. Cliquez sur OK.

La déconnexion de l'utilisateur des sessions Gmail en cours peut prendre jusqu'à une heure. Le délai pour les autres applications peut varier.

Si vos utilisateurs ont recours à la validation en deux étapes et doivent se connecter à des applications ou appareils n'acceptant pas les codes de validation, ils ont besoin de mots de passe spécifiques pour y accéder. En savoir plus sur la connexion avec des mots de passe d'application.

Toutes les applications pour lesquelles l'utilisateur a créé un mot de passe sont répertoriées dans la section Mot de passe spécifique à une application. Remarque : Si l'utilisateur n'utilise aucun mot de passe d'application, cette section est inactive.

Cliquez sur le nom d'une application pour savoir quand son mot de passe a été créé et utilisé pour la dernière fois.

Nous vous recommandons de révoquer un mot de passe d'application dans le cas où l'utilisateur perd un appareil ou cesse d'utiliser une application qui bénéficiait d'un accès autorisé avec ce mot de passe.

1. Cliquez sur la section Mot de passe spécifique à une application pour afficher les applications qui utilisent des mots de passe d'application.
2. Pointez sur le nom d'une application, puis cliquez sur Révoquer à droite.
3. Cliquez sur Révoquer.
4. Cliquez sur OK.

Vos utilisateurs peuvent également révoquer leurs propres mots de passe d'application.

La section Applications connectées répertorie toutes les applications tierces (par exemple, les applications Google Workspace Marketplace) ayant accès aux données du compte Google de cet utilisateur. Découvrez le fonctionnement de l'accès autorisé.

Remarque : Si aucune application tierce n'a été installée, cette section est inactive.

Cliquez sur le nom d'une application pour en savoir plus :

• La colonne Niveau d'accès affiche les données utilisateur auxquelles l'application peut accéder. Un utilisateur peut accorder un accès total ou partiel à ses données Google.
• La colonne Date d'autorisation indique quand l'application a été autorisée à accéder aux données.

Pour supprimer temporairement l'accès d'une application aux données, procédez comme suit :

1. Pointez sur le nom d'une application, puis cliquez sur Supprimer à droite.
2. Cliquez sur Supprimer.
3. Cliquez sur OK.

Remarque : La suppression de l'accès d'une application aux données n'empêche pas l'utilisateur d'utiliser cette application à l'avenir (pour peu qu'il dispose des autorisations nécessaires). Dès que l'utilisateur se connecte de nouveau à l'application, l'accès aux données est rétabli. Pour interdire définitivement l'accès des utilisateurs à certaines applications, vous pouvez bloquer l'accès à des habilitations spécifiques et définir une liste d'autorisation d'applications approuvées dans votre organisation.