Эта страница переведена с помощью Cloud Translation API.

Защитите учетные записи Google Workspace с помощью проверок безопасности.

Проверки безопасности — это дополнительные меры защиты, предназначенные для подтверждения личности пользователя. Существует два типа проверок безопасности:

Проверка авторизации — Если мы подозреваем, что неавторизованный пользователь пытается войти в учетную запись Google Workspace, мы предлагаем ему пройти проверку авторизации. Если пользователь не может ввести запрашиваемую информацию, мы не позволим ему войти в учетную запись.
Проверка личности — Если пользователь пытается выполнить действия, которые считаются конфиденциальными, мы предлагаем ему проверить свою личность. Если пользователь не может ввести запрашиваемую информацию, мы запрещаем выполнение конфиденциальных действий (он может продолжать использовать свою учетную запись в обычном режиме).

Важно : Google применяет двухфакторную аутентификацию (2SV) для учетных записей администраторов. Подробности см. в разделе «О применении 2SV для администраторов» .

Прежде чем использовать проверки безопасности,

Убедитесь, что ваши учетные записи Google Workspace содержат всю необходимую нам информацию:

Напомните сотрудникам добавить в свои учетные записи номер телефона для восстановления доступа и адрес электронной почты. Мы будем периодически запрашивать у них эти данные при входе в систему.
Добавьте идентификаторы сотрудников к своим учетным записям пользователей. Подробности см. в разделе «Добавление идентификатора сотрудника в качестве запроса на вход» .

Типы запросов на авторизацию

Пользователь подтверждает свою личность с помощью мобильного устройства.

Пользователь выбирает способ подтверждения своей личности.

Google использует приложение, установленное на телефоне пользователя, для подтверждения его личности.

Google отправляет SMS-сообщение с кодом подтверждения.

Google звонит пользователю на телефон и предоставляет код подтверждения.

Пользователь вводит свой идентификационный номер сотрудника.

Если вы добавили идентификатор сотрудника в качестве запроса на авторизацию , пользователи смогут использовать этот идентификатор для подтверждения своей личности.

Пользователь вводит свой адрес электронной почты для восстановления.

Пользователь может ввести резервный адрес электронной почты в качестве запроса на вход в систему.

Проверка личности для выполнения конфиденциальных действий.

Если пользователь Google Workspace пытается выполнить конфиденциальное действие, ему иногда предлагается подтвердить свою личность. Если пользователь не может ввести запрашиваемую информацию, Google запретит выполнение конфиденциального действия.

«Действие, требующее конфиденциальности, заблокировано»

Для большинства пользователей, которым предлагается подтвердить свою личность при выполнении конфиденциального действия, отображается окно с заголовком « Конфиденциальное действие заблокировано» . Пользователю предлагается повторить попытку с устройства, которое он обычно использует (например, телефона или ноутбука), или с того места, откуда он обычно входит в систему.

«Невозможно выполнить это действие прямо сейчас»

Поскольку у некоторых пользователей к учетной записи недавно были добавлены устройства или ключи безопасности, они не могут сразу подтвердить свою личность в ответ на запрос о подтверждении личности. Для таких пользователей отображается окно с заголовком « Невозможно выполнить это действие прямо сейчас ». Подтверждение личности возможно после того, как устройство, номер телефона или ключ безопасности будут связаны с их учетной записью не менее 7 дней.

Примеры деликатных действий

Вот несколько примеров деликатных действий:

Отключение двухфакторной аутентификации
Предоставление приложению доступа к данным Google.
Изменение адреса электронной почты или номера телефона для восстановления учетной записи.
Загрузка данных учетной записи
Изменение имени в учетной записи

Включите проверку подлинности при входе в систему с помощью единого входа (SSO).

Если ваша организация использует сторонних поставщиков идентификационных данных (IdP) для аутентификации пользователей единого входа (SSO) через SAML , вы можете предлагать этим пользователям SSO дополнительные проверки входа на основе оценки рисков и применять двухфакторную аутентификацию (если она настроена) после того, как IdP аутентифицирует пользователя во время входа в систему.

Настройки проверки по умолчанию после SSO зависят от типа пользователя SSO:

Для пользователей, входящих в систему с использованием устаревшего профиля SSO вашей организации , по умолчанию отключены дополнительные запросы на авторизацию и двухфакторная аутентификация.
Для пользователей, входящих в систему с использованием других профилей SSO , по умолчанию применяются дополнительные запросы на авторизацию и двухфакторная аутентификация (2SV).

Чтобы изменить настройки по умолчанию для любого типа пользователей, выполните действия, описанные в разделе «Настройка проверки после SSO» ниже.

Вы хотите использовать ключи безопасности для защиты доступа к конфиденциальным ресурсам, размещенным на серверах Google, с целью обеспечения максимальной надежности, а ваш текущий поставщик идентификации (IdP) не поддерживает ключи безопасности.
Вы хотите сэкономить на услугах стороннего поставщика идентификационных данных, поскольку в большинстве случаев пользователи обращаются к ресурсам Google.
Вам не нужна аутентификация Google (Google как поставщик идентификационных данных), но вы хотите использовать все основанные на оценке рисков проверки при входе в систему от Google.
Вы хотите, чтобы Google защищал конфиденциальные действия внутри своей экосистемы.

Для беспроблемного внедрения сообщите пользователям о новой политике и о том, когда вы планируете её применить. Вот что произойдёт, если вы добавите дополнительные запросы на авторизацию при входе в систему:

Если у вас уже действуют политики 2SV, например, правила принудительного исполнения 2SV, эти политики применяются немедленно.
Пользователи, на которых распространяется действие новой политики и которые зарегистрированы в системе 2SV, получают запрос на авторизацию через 2SV при входе в систему.
Согласно анализу рисков при входе в систему от Google, пользователи могут столкнуться с проверками на соответствие определенным критериям при авторизации.

Настройка проверки после единого входа (SSO).

В консоли администратора Google перейдите в меню. Безопасность Аутентификация Проблемы со входом в систему .
Перейдите к разделу "Проверки входа в систему".
Для этого необходимы права администратора системы управления безопасностью пользователей .
Слева выберите организационное подразделение, в котором вы хотите установить политику.
Для всех пользователей выберите организационное подразделение верхнего уровня. Первоначально организационные подразделения наследуют настройки родительского подразделения.
Нажмите «Проверка после SSO» .
Выберите настройки в соответствии с тем, как вы используете устаревшие профили единого входа (SSO) в вашей организации. Вы можете применить настройку как для пользователей, использующих устаревший профиль SSO для вашей организации , так и для пользователей, которые входят в систему, используя другие профили SSO .
В правом нижнем углу нажмите «Сохранить» .
Google создает запись в журнале аудита администратора, чтобы указать на любое изменение политики.

Примечание: В редких случаях данные журнала событий могут отсутствовать для всех событий. Мы работаем над решением этой проблемы.

Часто задаваемые вопросы

Дополнительные контрольные вопросы и запросы на подтверждение входа | Подтверждение по телефону | Отключение запроса на подтверждение входа или проверки безопасности | Администраторы

Дополнительные контрольные вопросы и проверки при входе в систему.

Когда пользователь видит проблему безопасности?

Пользователю предлагается подтвердить свою личность при обнаружении подозрительной попытки входа, например, если пользователь не следует ранее используемым шаблонам авторизации. Запрос на подтверждение личности также предлагается, если пользователь использует рискованную сессию при попытке выполнения конфиденциального действия.

Важно: Google определяет, какой тип проверки безопасности следует показывать пользователю, основываясь на множестве факторов безопасности и удобства использования. Например, запрос на вход по идентификатору сотрудника может не всегда отображаться для конкретного пользователя, даже если вы включили эту функцию.

Двухфакторная аутентификация (2SV) — это тип проверки подлинности при входе в систему. Как администратор, вы можете принудительно использовать 2SV для своих пользователей. Таким образом, они не будут получать другие типы проверок подлинности, основанные на оценке риска.

Если вы не используете двухфакторную аутентификацию (2SV) для своих пользователей или если у пользователя она отключена, Google сам определяет, какой тип запроса на авторизацию следует ему показать. Выбор подходящего типа запроса зависит от множества факторов безопасности и удобства использования. Например, запрос на авторизацию по идентификатору сотрудника может не всегда отображаться конкретному пользователю, даже если вы его включили.

Могут ли пользователи обновить свои данные для восстановления?

Да. Подробности см. в разделе «Настройка номера телефона или адреса электронной почты для восстановления доступа».

Двухфакторная аутентификация (2SV) — это тип проверки подлинности при входе в систему. Если она включена, пользователям не потребуется дополнительная проверка подлинности. По той же причине в отчетах администратора каждая проверка 2SV отображается как запрос на вход в систему.

Это зависит от того, как вы настроили единый вход (SSO) в вашей организации:

Если вы настроили устаревший профиль SSO для вашей организации , по умолчанию проверка подлинности при входе в систему отключена. Однако вы можете настроить проверку после SSO , чтобы разрешить дополнительные проверки подлинности на основе оценки рисков и двухфакторную аутентификацию (2SV), если это настроено.
Если вы используете другой профиль SSO , все дополнительные запросы на авторизацию (включая 2SV, если он настроен) применяются автоматически.

Доступна ли эта функция в образовательных версиях?

Да, все версии Google Workspace включают дополнительные контрольные вопросы и запросы на авторизацию.

Мы определяем, является ли вход в систему подозрительным, когда наша система анализа рисков выявляет попытку, выходящую за рамки обычного поведения пользователя. Например, пользователь может попытаться войти в систему из необычного места или способом, связанным со злоупотреблениями.

Подтверждение по телефону

Если у моих пользователей нет корпоративного телефона, есть ли другой способ подтвердить их учетные записи?

Да, существуют разные типы запросов на авторизацию. В зависимости от информации, доступной для учетной записи пользователя, ему предлагается другой тип запроса на авторизацию, например, ввод идентификационного номера сотрудника или резервного адреса электронной почты. Если у пользователя нет доступа к телефону, он может использовать резервные коды для входа в систему. Подробнее см. раздел «Вход в систему с использованием резервных кодов» .

Как пользователь может обновить номер телефона или адрес электронной почты для восстановления доступа, связанные с его учетной записью?

Пользователь может обновить информацию для восстановления через настройки учетной записи .

Может ли пользователь выбрать проверку критериев, отличных от номера телефона для восстановления доступа?

Если пользователь не введёт номер телефона для восстановления доступа, будут применяться другие типы проверок при входе в систему, например, ввод адреса электронной почты для восстановления доступа или использование идентификационного номера сотрудника.

Отключение запроса на подтверждение авторизации или запроса на подтверждение вашей личности.

Да, администратор может отключить проверку авторизации или подтверждение вашей личности на 10 минут.

В некоторых ситуациях авторизованный пользователь не может подтвердить свою личность. Например, у него может не быть сигнала сотовой связи, и он не может получить код подтверждения. Или он не может вспомнить или найти свой идентификационный номер сотрудника. В этом случае вы, как суперадминистратор, можете отключить проверку личности при входе в систему на 10 минут, чтобы позволить пользователю войти в систему или выполнить конфиденциальное действие. Будьте осторожны при отключении проверки личности при входе в систему, так как в течение 10 минут учетная запись менее защищена от взлома.

Нет, вы не можете отключить эту функцию для всей организации. Вы можете отключить её только временно для каждого пользователя отдельно.

Может ли пользователь отключить эту функцию самостоятельно в настройках своей учетной записи?

Нет, только администратор может временно отключить проверку входа в систему или контрольные вопросы.

Запросы на вход администратора

Как администратор, не сумевший подтвердить свою личность, может повторно войти в свою учетную запись?

Как администратор, вы можете восстановить доступ к своей учетной записи, следуя инструкциям на странице входа для сброса пароля.

Если вы являетесь администратором Google Workspace и у вас возникли проблемы со входом в свою учетную запись администратора, перейдите в раздел «Восстановление доступа администратора к вашей учетной записи» для получения инструкций.

Что если суперадминистратор не сможет подтвердить свою личность?

Если пользователь с правами суперадминистратора не может подтвердить свою личность, то другой суперадминистратор (если таковой имеется) может временно отключить для него запрос на подтверждение входа в систему, как описано в шагах выше.

В качестве альтернативы, суперадминистратор может обойти проверку авторизации, сбросив свой пароль.

Примечание: Функция автоматического сброса пароля доступна не всем суперадминистраторам. Для получения дополнительной информации о восстановлении учетной записи администратора см. раздел «Добавление параметров восстановления в учетную запись администратора» .