איך מנהלים את הגדרות האבטחה של משתמשים ספציפיים

1. לוחצים על סיסמה איפוס סיסמה.
2. בוחרים ליצור סיסמה באופן אוטומטי, או מקלידים סיסמה.

   כברירת מחדל, הסיסמה צריכה להכיל לפחות 8 תווים. אתם יכולים לשנות את הדרישות לגבי סיסמאות של הארגון.

3. (אופציונלי) כדי לראות את הסיסמה, לוחצים על סמל התצוגה המקדימה .
4. (אופציונלי) כדי לחייב את המשתמש לשנות את הסיסמה, מוודאים שהאפשרות דרישה לשינוי סיסמה בכניסה הבאה מופעלת .
5. לוחצים על איפוס.
6. (אופציונלי) כדי להדביק את הסיסמה במקום כלשהו, למשל בשיחה ב-Google Chat עם המשתמש, לוחצים על יש ללחוץ כדי להעתיק את הסיסמה.
7. לוחצים על האפשרות של שליחת הסיסמה למשתמש באימייל, או לוחצים על סיום.

בקטע מפתחות גישה ומפתחות אבטחה מוצגים פרטים על המפתחות שהמשתמש רשם. הפרטים שמוצגים הם:

• שם המַפתח – השם שמוגדר כברירת מחדל או שם שהמשתמש נתן
• הפלטפורמה או המכשיר שהמפתח נוצר בהם
• אופן הרישום של המַפתח – על ידי המשתמש או באופן אוטומטי
• תמיכה בכניסה ללא סיסמה – אם אפשר להשתמש במפתח הגישה כדי לדלג על אתגרי אימות סיסמה
• הזמן והמקום שהמפתחות נוצרו בהם ומתי השתמשו בהם לאחרונה

אתם יכולים להוסיף או להסיר מפתחות אבטחה של משתמשים ולהסיר את מפתחות הגישה שלהם.

מפתחות גישה

מפתחות גישה הם חלופה פשוטה ומאובטחת לסיסמאות. בעזרת מפתחות גישה, המשתמשים יכולים להיכנס לחשבון Google המנוהל שלהם באמצעות טלפון, מפתח אבטחה או השיטה לפתיחת הנעילה במחשב. אם אדמין הפעיל את האפשרות לדלג על סיסמה בחשבון של משתמש ספציפי, המשתמש הזה יכול לדלג על אתגרים לכניסה לחשבון באמצעות סיסמה ולהשתמש במפתח גישה שמשולבים בו אימות חד-שלבי ודו-שלבי. אתם יכולים לקרוא פרטים נוספים במאמר איך נכנסים לחשבון באמצעות מפתח גישה במקום סיסמה.

איך מסירים מפתח גישה שנוצר על ידי משתמש

1. כדי להציג את טבלת פרטי המפתחות, לוחצים על מפתחות גישה ומפתחות אבטחה.
2. גוללים את הטבלה לצד שמאל.
3. מציבים את הסמן מעל השורה בטבלה של המפתח שרוצים להסיר ולוחצים על הסרה.
4. לוחצים על הסרה כדי לאשר.
5. לוחצים על סיום.
   באירועי אדמין ביומן נוספת רשומה בכל פעם שמשתמשים במפתח גישה כדי לבטל גישה.

איך מסירים מפתח גישה שנוצר באופן אוטומטי

מפתחות גישה נוצרים אוטומטית במכשירי Android כשמשתמש נכנס לחשבון Google שלו. כדי להסיר מפתח גישה כזה:

1. בדף האבטחה של המשתמש, נכנסים לקטע אפליקציות משויכות.
2. בעמודה אפליקציה, מאתרים את מכשיר Android שרוצים להסיר.
3. מציבים את הסמן מעל השורה הרלוונטית ולוחצים על סמל ההסרה .
4. לוחצים על הסרה.
5. לוחצים על סיום.

כדי למנוע ממשתמש ספציפי ליצור עוד מפתחות גישה באופן אוטומטי, צריך לאפס את הסיסמה שלו ולהוציא אותו מחשבון Google (כולל אפליקציות Google Workspace) בכל המכשירים והדפדפנים.

1. פועלים לפי ההוראות לאיפוס סיסמה של משתמש.
2. כדי להוציא משתמש ספציפי מחשבון Google, פועלים לפי ההוראות לאיפוס קובצי ה-Cookie של פרטי הכניסה לחשבון אצל המשתמש.

אם מאפסים את קובצי ה-Cookie של משתמש ספציפי בלי לאפס את הסיסמה שלו, הוא עדיין יכול להיכנס למכשיר Android שלו ולהוסיף שוב מפתח גישה שנוצר באופן אוטומטי.

כדי שתהיה לכם יכולת שליטה טובה יותר ביצירה אוטומטית של מפתחות גישה, אתם יכולים להגביל את השימוש במכשירי Android באמצעות ניהול בסיסי של מכשירים. פרטים נוספים מופיעים במאמר בנושא הגדרת ניהול בסיסי של מכשירים ניידים.

מפתחות אבטחה

מפתח אבטחה הוא מכשיר קטן שמאפשר להיכנס לחשבון Google באמצעות אימות דו-שלבי (2SV). הוא מתחבר למחשב באמצעות יציאת USB או למכשיר הנייד באמצעות NFC או Bluetooth. פרטים נוספים מופיעים במאמר איך משתמשים במפתח אבטחה לאימות דו-שלבי.

הוספה של מפתח אבטחה בתור מפתח לאימות דו-שלבי בלבד

אתם יכולים להוסיף מפתח אבטחה למשתמש, והמשתמש יכול גם להוסיף מפתחות משלו. אם מוסיפים מפתח אבטחה בדרך הזו, הוא מיועד רק לאימות דו-שלבי, והמשתמש צריך להיכנס באמצעות הסיסמה שלו כשהוא משתמש במפתח הזה.

• כדי להוסיף מפתח אבטחה למשתמש:
  1. כדי שהכפתור הוספת מפתח אבטחה יוצג, לוחצים על מפתחות גישה ומפתחות אבטחה.
  2. לוחצים על הוספת מפתח אבטחה.
  3. פועלים לפי ההוראות במסך.
     הערה: אם מחובר למחשב מפתח אבטחה, צריך להסיר אותו לפני שרושמים מפתח חדש למשתמש.
  4. לוחצים על סיום.
• כדי לאפשר למשתמשים להוסיף מפתח אבטחה משלהם שהם יכולים להשתמש בו באימות דו-שלבי:
  1. מוודאים שההגדרה של דילוג על הסיסמה מושבתת למשתמשים, אחרת הם יכולים להוסיף רק מפתח אבטחה בתור מפתח גישה. ההוראות מפורטות במאמר בנושא הפעלה או השבתה של דילוג על סיסמאות למשתמשים.
  2. מבקשים מהמשתמשים לפעול לפי ההוראות במאמר איך משתמשים במפתח אבטחה לאימות דו-שלבי.

הסרת מפתח אבטחה

צריך להסיר מפתח אבטחה רק אם הוא אבד. אם אי אפשר להשתמש במפתח מסוים באופן זמני, אתם יכולים ליצור קודי אבטחה לגיבוי בתור פתרון זמני. פרטים נוספים מופיעים במאמר בנושא קבלת קודי אימות לגיבוי למשתמשים.

1. כדי להציג את טבלת פרטי המפתחות, לוחצים על מפתחות גישה ומפתחות אבטחה.
2. גוללים את הטבלה לצד שמאל.
3. מציבים את הסמן מעל השורה בטבלה של המפתח שרוצים להסיר ולוחצים על הסרה.
4. לוחצים על הסרה כדי לאשר.
5. לוחצים על סיום.
   באירועי אדמין ביומן נוספת רשומה בכל פעם שמשתמשים במפתח אבטחה כדי לבטל גישה.

אדמינים יכולים לבדוק את סטטוס ההרשמה של משתמש ספציפי להגנה המתקדמת, ואם צריך גם לבטל את ההרשמה שלו ברמת המשתמש.

• אם הסטטוס הוא מופעל, המשתמש רשום כרגע להגנה המתקדמת.
• אם הסטטוס הוא מושבת, המשתמש לא רשום להגנה המתקדמת.

אם משביתים מכאן את ההרשמה להגנה מתקדמת, כדי שרק המשתמש יוכל להירשם מחדש, צריך לוודא שההגדרה המשתמשים יכולים להירשם לתוכנית מופעלת. בשביל לעשות את זה נכנסים לאבטחהאימותתוכנית ההגנה המתקדמת. פרטים נוספים מופיעים במאמר בנושא הפעלת אפשרות ההרשמה למשתמשים.

רק המשתמש יכול להפעיל אימות דו-שלבי (2SV). אדמינים יכולים לבדוק את הגדרת האימות הדו-שלבי הנוכחית של משתמש ספציפי, ואם צריך גם לקבל קוד גיבוי למשתמש שהגישה שלו נחסמה.

בקטע אימות דו-שלבי אפשר לראות אם מופעל למשתמש אימות דו-שלבי, ואם יש אכיפה של אימות דו-שלבי בכל הארגון כרגע.

• אתם יכולים להשבית את האימות הדו-שלבי למשתמש שנחסם, אבל לא מומלץ לעשות את זה. כדי לאפשר למשתמש ספציפי להיכנס לחשבון, עדיף לקבל בשבילו קוד גיבוי.

  הערה: אי אפשר להשבית את האימות הדו-שלבי למשתמש שהחשבון שלו מושעה.

• אם האימות הדו-שלבי נאכף בכל הארגון, אי אפשר להשבית את האימות הדו-שלבי למשתמש ספציפי.

יכול להיות שמשתמשים שבאופן זמני אין להם גישה לשיטת האימות השנייה שלהם יאבדו את הגישה שלהם לחשבון. לדוגמה, משתמשים ששכחו את מפתח האבטחה בבית או משתמשים שלא יכולים לקבל קוד גישה בטלפון. כדי לאפשר למשתמשים האלה להיכנס לחשבון, אתם יכולים ליצור בשבילם קודי אימות לגיבוי.

1. כדי לראות את קודי הגיבוי לאימות של משתמש מסוים, לוחצים על אימות דו-שלבי קבלת קודי אימות של גיבוי.
   הערה: יצירת קודי אימות חדשים מבטלת כל קוד קיים אחר. לדוגמה, אם יוצרים קוד אימות למשתמש באמצעות מסוף Admin ואז יוצרים קוד אימות חדש באמצעות קודי האימות, קבוצת הקודים הקודמת מבוטלת, ולהפך.
2. מעתיקים אחד מקודי הגיבוי הקיימים או יוצרים קודים חדשים. הערה: אם אתם חושבים שקודי הגיבוי הקיימים נגנבו או אם השתמשתם בכולם, בוחרים באפשרות יצירת קודים חדשים. קבוצת קודי הגיבוי הישנה מושבתת באופן אוטומטי.
3. מבקשים מהמשתמש לפעול לפי ההוראות במאמר כניסה באמצעות קודי גיבוי.

אם המשתמש מחויב להשתמש באימות דו-שלבי עם מפתח אבטחה:

• המשתמש לא יכול ליצור קודי אימות לגיבוי בעצמו. אדמין צריך ליצור את הקודים האלה ולתת אותם למשתמש במקרה הצורך.
• אחרי שיוצרים קודים למשתמש, מתחילה תקופת חסד שבה המשתמש יכול להשתמש בקודים האלה. תקבלו הודעה על משך תקופת החסד שנותר לפני שהמשתמשים יצטרכו להשתמש במפתח האבטחה כדי להיכנס לחשבון.

לפרטים על הגדרת דרישות לאימות דו-שלבי למשתמשים, היכנסו למאמר פריסה של אימות דו-שלבי.

אדמינים של מפיצים

רק סופר-אדמינים יכולים ליצור קודי אימות לגיבוי לאדמינים אחרים. כלומר, אדמינים, כולל אדמינים של מפיצים, יכולים רק לראות וליצור קודי אימות לגיבוי למשתמשים שלהם, ולא לאדמינים או סופר-אדמינים אחרים. אם רוצים לאפשר לאדמינים לראות וליצור קודי אימות לגיבוי למשתמשים, אדמינים וסופר-אדמינים, צריך לתת להם הרשאות סופר-אדמין.

אם אתם חושדים שהסיסמה של המשתמש נגנבה, אתם יכולים לאלץ את המשתמש לאפס את הסיסמה שלו בכניסה הבאה לחשבון.

1. לוחצים על נדרש שינוי של הסיסמה מפעילים את האפשרות .
2. לוחצים על סיום.

אחרי שהמשתמש יאפס את הסיסמה שלו, ההגדרה הזו תושבת אוטומטית.

הערה: אם הארגון שלכם משתמש ב-SSO דרך IdP של צד שלישי, אתם לא יכולים להשתמש בהגדרה של אילוץ שינוי סיסמה אם אתם לא משתמשים במסיכת רשת בשביל לאפשר לחלק מהמשתמשים להיכנס ישירות ל-Workspace. כדי לבדוק אם מוגדרת מסיכת רשת, נכנסים לאבטחהSSO עם ספקי זהות (IDPs) של צד שלישיפרופיל SSO לארגון שלך.

אם Google חושדת שהיה ניסיון לא מורשה להיכנס לחשבון של משתמש, מוצג אימות זהות לפני שניתנת גישה לחשבון. המשתמש צריך:

• להזין קוד אימות ש-Google שולחת למספר הטלפון או לכתובת האימייל לשחזור החשבון (כתובת אימייל מחוץ לארגון)
• לענות על שאלה שרק בעל החשבון יכול להשיב עליה

כדי להוסיף או לערוך את פרטי השחזור של משתמש מסוים:

1. לוחצים על פרטי שחזור.
2. מוסיפים או עורכים אחד מהפרטים האלה:
   • כתובת אימייל (מחוץ לארגון)
   • מספר טלפון לשחזור חשבון

     הערה: לכל משתמש צריך להיות מספר טלפון ייחודי לשחזור החשבון. אם לכמה משתמשים יש אותו מספר טלפון לשחזור החשבון, המספר הזה נחסם אוטומטית מטעמי אבטחה.

3. לוחצים על שמירה.

אם Google חושדת שהיה ניסיון לא מורשה להיכנס לחשבון של משתמש, מוצג אימות זהות לפני שניתנת גישה לחשבון. המשתמש חייב להזין קוד אימות ש-Google שולחת לטלפון שלו. או שהמשתמש יכול לבחור לענות על אתגר אחר שרק בעל החשבון יכול לפתור.

בנוסף, אם משתמש ב-Google Workspace מנסה לבצע פעולה רגישה, לפעמים מוצג לו אתגר אבטחה מסוג "צריך לאמת את הזהות שלך". אם המשתמש לא מספק את הפרטים שנדרשים, Google לא תאפשר לו לבצע את הפעולה הרגישה.

אם למשתמש יש הרשאה אבל הוא לא מצליח לאמת את הזהות שלו, אתם יכולים להשבית את אתגרי האבטחה מסוג "אימות זהות" או מסוג "צריך לאמת את הזהות שלך" למשך 10 דקות כדי לאפשר לו להיכנס לחשבון.

אם משתמש איבד את המחשב או המכשיר הנייד שלו, אתם יכולים לאפס את קובצי ה-Cookie של פרטי הכניסה שלו כדי למנוע גישה לא מורשית לחשבון Google שלו. הפעולה הזו מוציאה את המשתמש מחשבון Google שלו (כולל כל האפליקציות של Google Workspace) בכל המכשירים והדפדפנים.

הערה: אם השעיתם משתמש, אתם לא צריכים לבצע את הפעולה הזו. השעיה של משתמש גורמת לאיפוס של קובצי Cookie של פרטי הכניסה לחשבון.

אם הגדרתם כניסה יחידה (SSO) באמצעות ספק זהויות (IdP) של צד שלישי, יכול להיות שפעילות ה-SSO של המשתמש עדיין תאפשר גישה לחשבון Google שלו אחרי האיפוס של קובצי ה-Cookie של פרטי הכניסה. במקרה כזה, צריך לסיים את פעילות ה-SSO לפני שמאפסים את קובצי ה-Cookie של פרטי הכניסה לחשבון Google. אם אתם צריכים עזרה בניהול SSO, אתם יכולים לפנות לצוות התמיכה של ה-IdP.

כדי לאפס את קובצי ה-Cookie של המשתמש:

1. לוחצים על קובצי Cookie של פרטי כניסה לחשבוןאיפוס.
2. לוחצים על סיום.

תהליך הוצאת המשתמש מכל הפעילויות הנוכחיות ב-Gmail נמשך עד שעה. משך הזמן שנדרש לאפליקציות אחרות יכול להיות שונה.

אם המשתמשים שלכם משתמשים באימות דו-שלבי וצריכים להיכנס לאפליקציות או למכשירים שלא מקבלים קודי אימות, הם צריכים סיסמאות לאפליקציות (ASP) כדי לגשת לאפליקציות האלה. מידע נוסף על כניסה לחשבון באמצעות סיסמאות לאפליקציות

כל האפליקציות שהמשתמש יצר בשבילן סיסמאות לאפליקציות רשומות בקטע סיסמה ספציפית לאפליקציה. הערה: אם אתם לא משתמשים בסיסמאות לאפליקציות, הקטע הזה לא פעיל.

כדי לראות עוד פרטים על סיסמה של אפליקציה מסוימת, כמו מתי יצרו אותה והשתמשו בה לאחרונה, לוחצים על השם של האפליקציה.

אם משתמש איבד מכשיר או הפסיק להשתמש באפליקציה שהגישה אליה היא באמצעות סיסמה לאפליקציה, מומלץ לבטל את הסיסמה.

1. לוחצים על הקטע סיסמה ספציפית לאפליקציה כדי לראות את האפליקציות שמשתמשות בסיסמאות לאפליקציות.
2. מציבים את העכבר מעל השם של האפליקציה ולוחצים על סמל הביטול משמאל.
3. לוחצים על ביטול.
4. לוחצים על סיום.

המשתמשים יכולים גם לבטל את הסיסמאות לאפליקציות שלהם בעצמם.

בקטע אפליקציות משויכות רשומות כל האפליקציות של צד שלישי (לדוגמה, אפליקציות מ-Google Workspace Marketplace) שיש להן גישה לנתונים בחשבון Google של המשתמש הספציפי. איך פועלת גישה מורשית

הערה: אם לא הותקנו אפליקציות של צד שלישי, הקטע הזה לא פעיל.

כדי לראות מידע נוסף, לוחצים על השם של האפליקציה:

• בעמודה רמת גישה מוצגים נתוני המשתמש שלאפליקציה יש גישה אליהם. המשתמשים יכולים להעניק גישה מלאה או חלקית לנתונים בחשבון Google שלהם.
• בעמודה תאריך מתן הרשאה מוצג התאריך שבו האפליקציה קיבלה הרשאת גישה לנתונים.

כדי להסיר את הגישה של אפליקציה לנתונים באופן זמני:

1. מציבים את העכבר מעל השם של האפליקציה ולוחצים על סמל ההסרה משמאל.
2. לוחצים על הסרה.
3. לוחצים על סיום.

הערה: הסרה של הגישה של אפליקציה לנתונים לא מונעת מהמשתמש להשתמש באפליקציה בעתיד (אם יש לו את ההרשאות שנדרשות). הגישה לנתונים משוחזרת אחרי שהמשתמש מתחבר שוב לאפליקציה. כדי להגביל את הגישה של המשתמשים לאפליקציות באופן קבוע, אתם יכולים לחסום את הגישה להיקפים ספציפיים של אפליקציות ולהגדיר רשימת היתרים של אפליקציות מאושרות לארגון.