Skydda Google Workspace-konton mot säkerhetsutmaningar

Användaren väljer hur de vill verifiera sin identitet

Google använder en app installerad på användarens telefon för att bekräfta deras identitet

Google skickar ett sms med en verifieringskod

Google ringer upp användarens telefon och tillhandahåller en verifieringskod

Om du har lagt till medarbetar-ID som en inloggningsutmaning kan användare använda detta ID för att bekräfta sin identitet.

En användare kan ange en återställnings-e-postadress som en inloggningsutmaning.

För de flesta användare som får en verifieringsfråga för en känslig åtgärd visas ett fönster med titeln Känslig åtgärd blockerad . Användaren instrueras att försöka igen från en enhet de normalt använder (som sin telefon eller bärbara dator) eller från den plats de vanligtvis loggar in från.

Eftersom vissa användare har enheter eller säkerhetsnycklar som nyligen har lagts till i deras konto kan de inte omedelbart verifiera sin identitet som svar på en säkerhetsutmaning. För dessa användare visas ett fönster med rubriken " Det går inte att slutföra den här åtgärden just nu" . Dessa användare kan verifiera sin identitet efter att en enhet, ett telefonnummer eller en säkerhetsnyckel har varit kopplad till deras konto i minst 7 dagar.

Här är några exempel på känsliga åtgärder:

• Inaktivera tvåstegsverifiering
• Tillåta en app åtkomst till Google-data
• Ändra e-postadress eller telefonnummer för kontoåterställning
• Laddar ner kontodata
• Ändra namnet på kontot

• Du vill använda säkerhetsnycklar för att skydda åtkomst till känsliga resurser som Google hostar för maximal trygghet, och din nuvarande IdP stöder inte säkerhetsnycklar.
• Du vill spara kostnaden för att använda en tredjepartsleverantör av identiteter eftersom användare i de flesta fall använder Googles resurser.
• Du vill inte ha Google-autentisering (Google som identitetsleverantör), utan vill utnyttja alla Googles riskbaserade inloggningsutmaningar.
• Du vill att Google ska skydda känsliga handlingar inom Googles ekosystem.

För en smidig implementering, berätta för dina användare om den nya policyn och när du planerar att tillämpa den. Här är vad som händer när du tillämpar ytterligare inloggningsutmaningar vid inloggning:

• Om du har befintliga 2SV-policyer, till exempel 2SV-tillämpning, gäller dessa policyer omedelbart.
• Användare som berörs av den nya policyn och som är registrerade i 2SV får en 2SV-inloggningsutmaning vid inloggning.
• Baserat på Googles riskanalys för inloggning kan användare uppleva riskbaserade inloggningsproblem vid inloggning.

1. I Googles administratörskonsol, gå till Meny Säkerhet Autentisering Inloggningsutmaningar .

   Gå till inloggningsutmaningar

   Kräver administratörsbehörighet för användarsäkerhetshantering .

2. Till vänster väljer du den organisationsenhet där du vill ställa in policyn.

   För alla användare, välj den överordnade organisationsenheten. Inledningsvis ärver organisationsenheterna inställningarna från den överordnade.

3. Klicka på Verifiering efter SSO .
4. Välj inställningar baserat på hur du använder äldre SSO-profiler i din organisation. Du kan tillämpa en inställning för användare som använder den äldre SSO-profilen för din organisation och för användare som loggar in med andra SSO-profiler .
5. Klicka på Spara längst ner till höger.

   Google skapar en post i administratörens granskningslogg för att indikera eventuella policyändringar.

Obs! I sällsynta fall kanske logghändelsedata inte finns för alla händelser. Vi arbetar med att lösa problemet.

En användare får en inloggningsfråga när en misstänkt inloggning upptäcks, till exempel att användaren inte följer de inloggningsmönster som de har visat tidigare. En användare får en verifiera-det-är-du-fråga om de har en riskabel session när de försöker utföra en känslig åtgärd.

Viktigt: Google avgör vilken typ av säkerhetsutmaning som är lämplig att presentera för en användare baserat på flera säkerhets- och användbarhetsfaktorer. Till exempel kanske inloggningsutmaningen för medarbetar-ID inte alltid visas för en specifik användare, även om du har aktiverat den.

Tvåstegsverifiering (2SV) är en typ av inloggningsutmaning. Som administratör kan du tillämpa 2SV-inloggningsutmaningen för dina användare. Genom att göra det slipper de ytterligare en typ av riskbaserad inloggningsutmaning.

Om du inte tillämpar 2SV för dina användare, eller om en användare inte har aktiverat det, avgör Google vilken typ av inloggningsutmaning som är lämplig att presentera för den användaren. Vilken typ av inloggningsutmaning som är lämplig baseras på flera säkerhets- och användbarhetsfaktorer. Till exempel kanske inloggningsutmaningen för anställnings-ID inte alltid presenteras för en specifik användare, även om du har aktiverat den.

Ja. Mer information finns i Konfigurera ett telefonnummer eller en e-postadress för återställning.

Tvåstegsverifiering (2SV) är en typ av inloggningsutmaning. När dina användare har aktiverat den får de ingen annan inloggningsutmaning. Av samma anledning visar administratörsrapporter varje tvåstegsverifiering som en inloggningsutmaning.

Det beror på hur du har konfigurerat SSO i din organisation:

• Om du har konfigurerat en äldre SSO-profil för din organisation – Som standard är inloggningsutmaningar inte aktiverade. Du kan dock konfigurera verifiering efter SSO för att tillåta ytterligare riskbaserade autentiseringsutmaningar och tvåstegsverifiering (2SV) om det har konfigurerats.
• Om du använder en annan SSO-profil — Alla ytterligare inloggningsutmaningar (inklusive 2SV, om det är konfigurerat) tillämpas automatiskt.

Ja, alla Google Workspace-utgåvor innehåller extra säkerhetsfrågor och inloggningsutmaningar.

Vi avgör om en inloggning är misstänkt när vårt riskanalyssystem identifierar ett försök som ligger utanför det normala användarbeteendet. Till exempel kan en användare försöka logga in från en ovanlig plats eller på ett sätt som förknippas med missbruk.

Ja, det finns olika typer av inloggningsutmaningar. Beroende på vilken information som är tillgänglig för en användares konto presenteras användarna med en annan typ av inloggningsutmaning, till exempel att ange sitt anställnings-ID eller sin återställnings-e-postadress. Om en användare inte har tillgång till sin telefon kan de använda reservkoder för att logga in. Mer information finns i Logga in med reservkoder .

Användaren kan uppdatera återställningsinformationen via kontoinställningarna .

Om användaren inte anger ett återställningstelefonnummer gäller andra typer av inloggningsutmaningar, till exempel att ange sin återställnings-e-postadress eller använda sitt anställnings-ID.

Ja, en administratör kan stänga av en inloggning eller en verifieringsutmaning i 10 minuter.

I vissa situationer kan en behörig användare inte verifiera sin identitet. Till exempel kanske de inte har telefontäckning och inte kan hämta verifieringskoden. Eller så kan de inte komma ihåg eller hitta sitt anställnings-ID. Om detta händer kan du som superadministratör stänga av inloggnings- eller verifieringsutmaningen i 10 minuter för att låta dem logga in eller slutföra den känsliga åtgärden. Var försiktig när du stänger av inloggnings- eller verifieringsutmaningar, eftersom kontot är mindre säkert från kontokapare under 10-minutersfönstret.

Nej, du kan inte inaktivera den här funktionen för hela organisationen. Du kan bara inaktivera den tillfälligt per användare.

Nej, endast en administratör kan tillfälligt stänga av inloggning eller säkerhetsutmaningar.

Som administratör kan du återställa åtkomsten till ditt konto genom att följa anvisningarna på inloggningssidan för att återställa ditt lösenord.

Om du är Google Workspace-administratör och har problem med att logga in på ditt administratörskonto kan du läsa mer i Återställa administratörsåtkomst till ditt konto .

Om en användare som är superadministratör inte kan verifiera sin identitet kan en annan superadministratör (om tillgänglig) tillfälligt stänga av inloggningsutmaningen för dem, enligt beskrivningen i stegen ovan.

Alternativt kan superadministratören kringgå inloggningsutmaningen genom att återställa sitt lösenord.

Obs! Alternativet för automatisk lösenordsåterställning är inte tillgängligt för alla avancerade administratörer. Mer information om återställning av administratörskonton finns i Lägg till återställningsalternativ till ditt administratörskonto .