Gestire le impostazioni di sicurezza di un utente

1. Fai clic su Password Reimposta password.
2. Scegli se generare la password automaticamente o inserirne una a tua scelta.

   Per impostazione predefinita, la lunghezza minima della password è di 8 caratteri. Puoi modificare i requisiti per le password della tua organizzazione.

3. (Facoltativo) Per visualizzare la password, fai clic su Anteprima .
4. (Facoltativo) Per richiedere all'utente di cambiare la password, assicurati che l'opzione Richiedi di cambiare la password all'accesso successivo sia impostata su On .
5. Fai clic su Reimposta.
6. (Facoltativo) Per incollare la password in qualche punto, ad esempio in una conversazione di Google Chat con l'utente, fai clic su Fai clic per copiare la password.
7. Scegli se inviare la password all'utente via email o fai clic su Fine.

La sezione Passkey e token di sicurezza mostra le seguenti informazioni sulle chiavi registrate da un utente:

• Nome della chiave, predefinito o specificato dall'utente
• Piattaforma o dispositivo su cui è stata creata la chiave
• Il modo in cui è stato registrato, dall'utente o automaticamente
• Supporto senza password, se è possibile utilizzare una passkey per saltare le verifiche delle password
• Quando e dove sono state aggiunte e utilizzate per l'ultima volta le chiavi

Puoi aggiungere o rimuovere i token di sicurezza e le passkey di un utente.

Passkey

Le passkey sono un'alternativa semplice e sicura alle password. Con le passkey, gli utenti possono accedere al proprio Account Google gestito utilizzando lo smartphone, un token di sicurezza o il blocco schermo del computer. Se un amministratore ha attivato l'opzione per ignorare i controlli con password per l'account di un utente, può saltare le verifiche dell'accesso con password e utilizzare invece una passkey che incorpora la verifica del primo e del secondo passaggio. Per maggiori dettagli, vai ad Accedere con una passkey anziché con una password?

Rimuovere una passkey creata dall'utente

1. Fai clic su Passkey e token di sicurezza per visualizzare la tabella delle informazioni sulla chiave.
2. Scorri completamente la tabella verso destra.
3. Passa il mouse sopra la riga della tabella relativa alla chiave che vuoi rimuovere e fai clic su Rimuovi.
4. Fai clic su Rimuovi per confermare.
5. Fai clic su Fine.
   Eventi dei log amministrativi: aggiunge una voce ogni volta che revochi una passkey.

Rimuovere una passkey creata automaticamente

Le passkey vengono generate automaticamente sui dispositivi Android quando un utente accede al proprio Account Google. Per rimuoverne una:

1. Vai alla sezione App collegate nella pagina Sicurezza dell'utente.
2. Individua il dispositivo Android nella colonna Applicazione che vuoi rimuovere.
3. Passa il mouse sopra la riga e fai clic su Rimuovi .
4. Fai clic su Rimuovi.
5. Fai clic su Fine.

Per impedire a un utente di creare un'altra passkey automatica, reimposta la sua password e scollegalo dal suo Account Google (incluse le applicazioni Google Workspace) su tutti i dispositivi e browser.

1. Segui la procedura illustrata in Reimposta la password di un utente.
2. Per farlo uscire dal suo Account Google, segui la procedura per reimpostare i cookie di accesso dell'utente.

Se reimposti i cookie di un utente senza reimpostare la password, l'utente potrà comunque accedere al proprio dispositivo Android, che aggiungerà di nuovo una passkey creata automaticamente.

Per un maggiore controllo sulla creazione automatica delle passkey, puoi limitare l'uso dei dispositivi Android utilizzando la gestione di base dei dispositivi. Per maggiori dettagli, vedi Configurare la gestione dei dispositivi mobili di base.

Token di sicurezza

Un token di sicurezza è un piccolo dispositivo che consente di accedere a un Account Google utilizzando la verifica in due passaggi (V2P). Puoi collegare il token di sicurezza alla porta USB del tuo computer oppure al tuo dispositivo mobile tramite NFC o Bluetooth. Per maggiori dettagli, vai a Utilizzare un token di sicurezza per la verifica in due passaggi.

Aggiungere un token di sicurezza solo come chiave V2P

Puoi aggiungere un token di sicurezza per un utente oppure l'utente può aggiungere il proprio token in autonomia. Se aggiungi un token di sicurezza in questo modo, questo sarà solo per la verifica in due passaggi e l'utente dovrà accedere con la password quando lo utilizza.

• Per aggiungere un token di sicurezza per l'utente:
  1. Fai clic su Passkey e token di sicurezza per visualizzare il pulsante Aggiungi token di sicurezza.
  2. Fai clic su Aggiungi token di sicurezza.
  3. Segui le istruzioni sullo schermo.
     Nota se hai un token di sicurezza collegato al computer, rimuovilo prima di registrare un nuovo token per un utente.
  4. Fai clic su Fine.
• Per consentire agli utenti di aggiungere il proprio token di sicurezza che può essere utilizzato solo per la verifica in due passaggi:
  1. Assicurati che l'impostazione per saltare la password sia disattivata per gli utenti, altrimenti potranno aggiungere solo un token di sicurezza come passkey. Per i passaggi da seguire, vedi Attivare o disattivare l'impostazione per ignorare la password per gli utenti.
  2. Chiedi agli utenti di seguire le istruzioni riportate in Utilizza un token di sicurezza per la verifica in due passaggi.

Rimuovere un token di sicurezza

Rimuovi un token di sicurezza solo quando è stato smarrito. Se il token è temporaneamente non disponibile, come soluzione alternativa puoi generare codici di sicurezza di backup. Per maggiori dettagli, vedi Generare i codici di verifica di backup per un utente.

1. Fai clic su Passkey e token di sicurezza per visualizzare la tabella delle informazioni sulla chiave.
2. Scorri completamente la tabella verso destra.
3. Passa il mouse sopra la riga della tabella relativa alla chiave che vuoi rimuovere e fai clic su Rimuovi.
4. Fai clic su Rimuovi per confermare.
5. Fai clic su Fine.
   Eventi dei log amministrativi aggiunge una voce ogni volta che revochi un token di sicurezza.

In qualità di amministratore, puoi controllare lo stato di registrazione alla protezione avanzata di un utente e, se necessario, annullare la registrazione a livello di utente.

• Lo stato On indica che l'utente è attualmente iscritto alla protezione avanzata.
• Lo stato Off indica che l'utente non è iscritto alla protezione avanzata.

Se disattivi qui la registrazione alla protezione avanzata, solo l'utente può registrarsi nuovamente, a condizione che l'impostazione Abilita la registrazione degli utenti sia attiva in SicurezzaAutenticazioneProgramma di protezione avanzata. Per maggiori dettagli, vai a Consenti agli utenti di registrarsi.

Solo l'utente può attivare la verifica in due passaggi (V2P). In qualità di amministratore, puoi controllare l'impostazione attuale della verifica in due passaggi e, se necessario, procurarti un codice di backup per un utente bloccato.

La sezione Verifica in due passaggi mostra se questa funzionalità è attiva per l'utente e se è attualmente applicata in modo forzato nella tua organizzazione.

• Hai la possibilità di disattivare la V2P per un utente bloccato, ma non è consigliabile. In alternativa, puoi generare un codice di backup per consentire all'utente di accedere al proprio account.

  Nota:non puoi disattivare la V2P per un utente se il suo account è sospeso.

• Se la V2P è applicata per l'intera organizzazione, i singoli utenti non potranno disattivarla manualmente.

Gli utenti che non possono accedere temporaneamente al secondo metodo di autenticazione potrebbero rimanere bloccati. Ad esempio, un utente potrebbe aver lasciato il token di sicurezza a casa o non riuscire a ricevere un codice di accesso per telefono. Per consentire l'accesso a questi utenti, puoi generare codici di verifica di backup.

1. Per visualizzare i codici di verifica di backup dell'utente, fai clic su Verifica in due passaggi Genera codici di verifica di backup.
   Nota:la creazione di nuovi codici di verifica rende non validi i codici esistenti. Ad esempio, se hai creato il codice di verifica di un utente utilizzando la Console di amministrazione e, in seguito, hai generato un nuovo codice di verifica utilizzando i codici di verifica, l'insieme di codici precedente viene invalidato e viceversa.
2. Copia uno dei codici di backup esistenti o genera nuovi codici. Nota: seleziona Genera nuovi codici se ritieni che i codici di backup esistenti siano stati rubati o già utilizzati. La serie di codici di backup precedente diventa automaticamente inattiva.
3. Invita l'utente a seguire le istruzioni riportate nell'articolo Accedere con i codici di backup.

Se l'utente deve utilizzare la verifica in due passaggi con un token di sicurezza:

• L'utente non può generare i propri codici di verifica di backup. Un amministratore deve generare questi codici e fornirli all'utente in caso di necessità.
• Una volta generati i codici per l'utente, inizia il periodo di tolleranza per l'utilizzo di questi codici. Visualizzerai il periodo di tolleranza rimanente prima che sia necessario il token di sicurezza per l'accesso.

Per maggiori dettagli sulla configurazione dei requisiti della verifica in due passaggi per gli utenti, vai a Eseguire il deployment della verifica in due passaggi.

Amministratori rivenditori

Solo i super amministratori possono generare codici di verifica di backup per altri amministratori. Ciò significa che gli amministratori, inclusi gli amministratori rivenditori, possono visualizzare e creare codici di verifica di backup solo per i propri utenti, non per altri amministratori o super amministratori. Se vuoi consentire agli amministratori di generare e visualizzare i codici di verifica di backup per utenti, amministratori e super amministratori, devi concedere loro i privilegi di super amministratore.

Se sospetti che la password dell'utente sia stata rubata, puoi imporgli di reimpostarla all'accesso successivo.

1. Fai clic su Richiedi modifica della password Attiva .
2. Fai clic su Fine.

Dopo che l'utente ha reimpostato la password, questa impostazione viene automaticamente disattivata.

Nota:se la tua organizzazione utilizza il SSO tramite un IdP di terze parti, l'impostazione "Forza la modifica delle password" non è disponibile, a meno che non utilizzi una maschera di rete per consentire ad alcuni utenti di accedere direttamente a Workplace. Per verificare se è stata configurata una maschera di rete, vai a SicurezzaSSO con IdP di terze partiProfilo SSO per la tua organizzazione.

Se Google sospetta che si sia verificato un tentativo di accesso non autorizzato all'account di un utente, quest'ultimo dovrà superare una verifica dell'accesso per poter accedere al proprio account. L'utente deve:

• Inserire un codice di verifica inviato da Google al suo numero di telefono o indirizzo email di recupero (che deve essere esterno all'organizzazione).
• Effettuare una verifica superabile solo dal proprietario dell'account.

Per aggiungere o modificare le informazioni di recupero di un utente:

1. Fai clic su Informazioni di recupero.
2. Aggiungi o modifica uno dei seguenti elementi:
   • Indirizzo email (esterno all'organizzazione)
   • Numero di telefono di recupero

     Nota:il numero di telefono di recupero deve essere univoco per ogni utente. Se viene utilizzato lo stesso numero di telefono di recupero per più utenti, quel numero viene automaticamente bloccato per motivi di sicurezza.

3. Fai clic su Salva.

Se Google sospetta che si sia verificato un tentativo di accesso non autorizzato all'account di un utente, quest'ultimo dovrà superare una verifica dell'accesso per poter accedere al proprio account. L'utente deve inserire un codice di verifica inviato da Google al suo smartphone. In alternativa, l'utente può scegliere di risolvere un'altra verifica che solo il proprietario dell'account può superare.

Inoltre, se un utente di Google Workspace tenta di eseguire un'azione sensibile, potrebbe dover superare una verifica dell'identità. Se l'utente non è in grado di inserire le informazioni richieste, Google non consentirà l'azione sensibile.

Se l'utente autorizzato non è in grado di verificare la propria identità, puoi disattivare l'accesso o la verifica dell'identità per 10 minuti per consentire l'accesso.

Se un utente perde il proprio computer o dispositivo mobile, puoi impedire l'accesso non autorizzato al suo Account Google reimpostando i cookie di accesso. In questo modo l'utente viene disconnesso dal proprio Account Google (incluse le applicazioni Google Workspace) su tutti i dispositivi e browser.

Nota:se hai sospeso un utente, non è necessario effettuare questa operazione. La sospensione di un utente comporta la reimpostazione dei suoi cookie di accesso.

Se hai configurato Single Sign-On (SSO) tramite un provider di identità (IdP) di terze parti, la sessione SSO dell'utente può comunque consentire l'accesso all'Account Google dopo aver reimpostato i cookie di accesso. In questo caso, interrompi la sessione SSO prima di reimpostare i cookie di accesso di Google. Se hai bisogno di aiuto per la gestione SSO, contatta il team di assistenza IdP.

Per reimpostare i cookie dell'utente:

1. Fai clic su Cookie di accessoReimposta.
2. Fai clic su Fine.

La disconnessione dell'utente dalle sessioni di Gmail aperte può richiedere fino a un'ora. Il tempo necessario per le altre applicazioni può variare.

Se gli utenti utilizzano la verifica in due passaggi e devono accedere ad app o dispositivi che non accettano codici di verifica, per l'accesso dovranno utilizzare password specifiche per le applicazioni. Scopri di più sull'accesso con le password per le app.

Le applicazioni per cui l'utente ha creato password specifiche sono elencate nella sezione Password specifica dell'applicazione. Nota: se non sono in uso password per le app, questa sezione non è attiva.

Fai clic sul nome di un'app per avere ulteriori informazioni sulla data di creazione della password e sull'ultimo utilizzo della relativa password.

Devi revocare una password per l'app se un utente perde un dispositivo o smette di utilizzare un'app autorizzata con tale password.

1. Fai clic nella sezione Password specifica dell'applicazione per visualizzare le app che utilizzano password specifiche.
2. Passa il mouse sopra il nome di un'app e fai clic su Revoca a destra.
3. Fai clic su Revoca.
4. Fai clic su Fine.

Anche gli utenti possono revocare le proprie password per le app.

Nella sezione Applicazioni connesse sono elencate tutte le applicazioni di terze parti (ad esempio le app di Google Workspace Marketplace) che hanno accesso ai dati dell'Account Google dell'utente. Scopri come funziona l'accesso autorizzato.

Nota: se non sono state installate applicazioni di terze parti, questa sezione non è attiva.

Fai clic sul nome di un'applicazione per visualizzare ulteriori informazioni:

• La colonna Livello di accesso mostra i dati dell'utente a cui può accedere l'applicazione. L'utente può concedere l'accesso completo o parziale ai dati di Google.
• La colonna Data autorizzazione indica quando è stato concesso l'accesso ai dati per l'applicazione.

Per rimuovere temporaneamente l'accesso ai dati per un'app:

1. Passa il mouse sul nome di un'app e fai clic su Rimuovi a destra.
2. Fai clic su Rimuovi.
3. Fai clic su Fine.

Nota: la rimozione dell'accesso ai dati per un'app non impedisce a un utente di utilizzare l'app in futuro (se l'utente dispone delle autorizzazioni necessarie). Quando l'utente accede di nuovo all'app, l'accesso ai dati viene ripristinato. Per limitare in modo permanente l'accesso degli utenti alle applicazioni, puoi bloccare l'accesso ad ambiti di applicazione specifici e impostare una lista consentita di app approvate per la tua organizzazione.