Bảo vệ tài khoản Google Workspace bằng biện pháp thử thách bảo mật

Thử thách bảo mật là các biện pháp bảo mật bổ sung giúp xác minh danh tính của người dùng. Có hai loại thử thách bảo mật:

  • Xác thực đăng nhập: Nếu nghi ngờ rằng một người dùng trái phép đang cố gắng đăng nhập vào tài khoản Google Workspace, chúng tôi sẽ yêu cầu người dùng đó xác thực đăng nhập. Nếu người dùng đó không thể nhập thông tin theo yêu cầu, chúng tôi sẽ không cho phép họ đăng nhập vào tài khoản.
  • Xác minh danh tính: Nếu một người dùng đang cố gắng thực hiện các hành động bị coi là nhạy cảm, chúng tôi sẽ yêu cầu họ xác minh danh tính. Nếu người dùng đó không thể nhập thông tin theo yêu cầu, chúng tôi sẽ không cho phép họ thực hiện hành động nhạy cảm (họ vẫn có thể sử dụng tài khoản của mình như bình thường).

Quan trọng: Google đang thực thi tính năng 2SV cho tài khoản quản trị viên. Để biết thông tin chi tiết, hãy xem bài viết Thông tin về việc thực thi tính năng 2SV cho quản trị viên.

Trước khi bạn có thể sử dụng biện pháp thử thách bảo mật

Đảm bảo tài khoản Google Workspace của bạn có thông tin mà chúng tôi cần:

  • Nhắc nhân viên thêm số điện thoại và địa chỉ email khôi phục vào tài khoản của họ. Chúng tôi sẽ định kỳ yêu cầu họ thêm những thông tin này khi họ đăng nhập vào tài khoản của mình.
  • Thêm mã nhân viên vào tài khoản người dùng. Để biết thông tin chi tiết, hãy xem bài viết Thêm mã nhân viên làm thông tin xác thực đăng nhập.

Các loại biện pháp xác thực đăng nhập

Người dùng xác nhận danh tính bằng thiết bị di động

Người dùng chọn cách xác minh danh tính

Google dùng một ứng dụng được cài đặt trên điện thoại của người dùng để xác nhận danh tính của họ

Google gửi tin nhắn văn bản có mã xác minh

Google gọi điện thoại cho người dùng và cung cấp mã xác minh

Người dùng nhập mã nhân viên

Nếu bạn đã thêm mã nhân viên làm thông tin xác thực đăng nhập, thì người dùng có thể dùng mã này để xác nhận danh tính của họ.

Người dùng nhập email khôi phục

Người dùng có thể nhập địa chỉ email khôi phục làm thông tin xác thực đăng nhập.

Xác minh danh tính đối với hành động nhạy cảm

Nếu người dùng Google Workspace cố gắng thực hiện một hành động nhạy cảm, thì đôi khi người dùng đó sẽ phải xác minh danh tính. Nếu người dùng không thể nhập thông tin theo yêu cầu, Google sẽ không cho phép thực hiện hành động nhạy cảm đó.

"Đã chặn hành động nhạy cảm"

Đối với hầu hết những người dùng phải xác minh danh tính khi thực hiện hành động nhạy cảm, một cửa sổ có tiêu đề Đã chặn hành động nhạy cảm sẽ xuất hiện. Họ sẽ được hướng dẫn thử lại trên thiết bị họ thường sử dụng (chẳng hạn như điện thoại hoặc máy tính xách tay) hoặc ở vị trí họ thường đăng nhập.

"Không thể thực hiện hành động này ngay bây giờ"

Vì thiết bị hoặc khoá bảo mật chỉ mới được thêm vào gần đây cho tài khoản của một số người dùng, nên họ không thể xác minh danh tính ngay lập tức cho thử thách bảo mật. Đối với những người dùng này, một cửa sổ có tiêu đề Không thể thực hiện hành động này ngay bây giờ sẽ xuất hiện. Những người dùng này có thể xác minh danh tính sau khi thiết bị, số điện thoại hoặc khoá bảo mật đã liên kết với tài khoản của họ được ít nhất 7 ngày.

Ví dụ về hành động nhạy cảm

Sau đây là một vài ví dụ về hành động nhạy cảm:

  • Tắt tính năng xác minh 2 bước
  • Cho phép ứng dụng truy cập vào dữ liệu trên Google
  • Thay đổi địa chỉ email hoặc số điện thoại khôi phục của tài khoản
  • Tải dữ liệu tài khoản xuống
  • Thay đổi tên trên tài khoản

Bật biện pháp xác thực đăng nhập với dịch vụ SSO

Nếu tổ chức của bạn sử dụng nhà cung cấp dịch vụ danh tính (IdP) bên thứ ba để xác thực những người dùng đăng nhập một lần (SSO) thông qua SAML, bạn có thể yêu cầu những người dùng SSO này thực hiện thêm các bước xác thực đăng nhập dựa trên rủi ro và áp dụng tính năng Xác minh 2 bước (nếu đã định cấu hình) sau khi IdP xác thực người dùng trong quá trình đăng nhập.

Chế độ cài đặt mặc định cho việc xác minh sau quy trình SSO phụ thuộc vào loại người dùng SSO:

  • Đối với những người dùng đăng nhập bằng cấu hình SSO cũ cho tổ chức, chế độ cài đặt mặc định là bỏ qua các biện pháp xác thực đăng nhập bổ sung và tính năng xác minh 2 bước.
  • Đối với những người dùng đăng nhập bằng các cấu hình SSO khác, chế độ cài đặt mặc định là áp dụng các biện pháp xác thực đăng nhập bổ sung và tính năng xác minh 2 bước.

Để thay đổi chế độ cài đặt mặc định cho một trong hai loại người dùng nêu trên, hãy làm theo các bước trong phần Thiết lập quy trình xác minh sau khi đăng nhập một lần bên dưới.

Trường hợp sử dụng cho các biện pháp xác thực đăng nhập bổ sung với dịch vụ SSO

  • Bạn muốn sử dụng khoá bảo mật để bảo vệ quyền truy cập vào các tài nguyên nhạy cảm do Google lưu trữ để có sự đảm bảo cao nhất, nhưng IdP hiện tại của bạn không hỗ trợ khoá bảo mật.
  • Bạn muốn tiết kiệm chi phí sử dụng nhà cung cấp dịch vụ danh tính bên thứ ba vì trong hầu hết trường hợp, người dùng đều truy cập vào các tài nguyên của Google.
  • Bạn không muốn xác thực bằng Google (Google đóng vai trò nhà cung cấp dịch vụ danh tính), nhưng muốn tận dụng tất cả biện pháp xác thực đăng nhập dựa trên rủi ro của Google.
  • Bạn muốn Google bảo vệ các hành động nhạy cảm trong hệ sinh thái của Google.

Điều gì xảy ra khi bạn áp dụng các biện pháp xác thực đăng nhập bổ sung

Để triển khai suôn sẻ, hãy thông báo cho người dùng về chính sách mới và thời điểm bạn dự định áp dụng chính sách đó. Sau đây là những trường hợp sẽ xảy ra khi bạn áp dụng các biện pháp xác thực bổ sung khi đăng nhập:

  • Nếu bạn có các chính sách về 2SV (chẳng hạn như chính sách thực thi 2SV), thì những chính sách đó sẽ áp dụng ngay lập tức.
  • Những người dùng chịu ảnh hưởng của chính sách mới và đã đăng ký sử dụng tính năng 2SV sẽ được yêu cầu xác thực đăng nhập bằng tính năng 2SV khi đăng nhập.
  • Dựa trên kết quả phân tích rủi ro khi đăng nhập của Google, người dùng có thể thấy các biện pháp xác thực đăng nhập dựa trên rủi ro khi đăng nhập.

Thiết lập quy trình xác minh sau khi đăng nhập một lần

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Bảo mậtsau đóXác thựcsau đóThử thách đăng nhập.

    Bạn phải có đặc quyền Quản lý chế độ cài đặt bảo mật cho người dùng của quản trị viên.

  2. Ở bên trái, hãy chọn đơn vị tổ chức mà bạn muốn thiết lập chính sách.

    Để áp dụng cho tất cả người dùng, hãy chọn đơn vị tổ chức cấp cao nhất. Ban đầu, các đơn vị tổ chức sẽ kế thừa chế độ cài đặt của đơn vị tổ chức mẹ.

  3. Nhấp vào Xác minh sau quy trình Đăng nhập một lần (SSO).
  4. Chọn chế độ cài đặt theo cách bạn sử dụng cấu hình SSO cũ trong tổ chức. Bạn có thể áp dụng một chế độ cài đặt cho những người dùng sử dụng cấu hình SSO cũ trong tổ chức và một chế độ cài đặt khác cho những người dùng đăng nhập bằng các cấu hình SSO khác.
  5. Ở dưới cùng bên phải, hãy nhấp vào Lưu.

    Google sẽ tạo một mục trong nhật ký kiểm tra của quản trị viên để cho biết mọi thay đổi về chính sách.

Lưu ý: Trong một số ít trường hợp, dữ liệu sự kiện trong nhật ký có thể sẽ không xuất hiện trong tất cả sự kiện. Chúng tôi đang làm việc để giải quyết vấn đề này.

Câu hỏi thường gặp

Câu hỏi bảo mật và biện pháp xác thực đăng nhập bổ sung | Xác minh qua điện thoại | Tắt biện pháp xác thực đăng nhập hoặc thử thách bảo mật | Quản trị viên

Câu hỏi bảo mật và biện pháp xác thực đăng nhập bổ sung

Khi nào người dùng thấy thử thách bảo mật?

Người dùng sẽ phải thực hiện biện pháp xác thực đăng nhập khi hệ thống phát hiện có hoạt động đăng nhập đáng ngờ, chẳng hạn như người dùng không đăng nhập theo khuôn mẫu hành vi như trước đó. Người dùng sẽ phải xác minh danh tính nếu phiên hoạt động của họ chứa rủi ro khi cố gắng thực hiện hành động nhạy cảm.

Quan trọng: Google quyết định loại thử thách bảo mật nào phù hợp để đưa ra cho người dùng dựa trên nhiều yếu tố về bảo mật và khả năng sử dụng. Ví dụ: Biện pháp xác thực đăng nhập bằng mã nhân viên có thể không phải lúc nào cũng áp dụng cho một người dùng cụ thể, kể cả khi bạn đã bật biện pháp này.

Là quản trị viên, tôi có thể chọn loại biện pháp xác thực đăng nhập mà người dùng sẽ phải thực hiện không?

Xác minh 2 bước (2SV) là một loại biện pháp xác thực đăng nhập. Là quản trị viên, bạn có thể thực thi biện pháp xác thực đăng nhập bằng tính năng 2SV cho người dùng. Khi bạn thực thi, họ sẽ không nhận được một loại biện pháp xác thực đăng nhập khác dựa trên rủi ro.

Nếu bạn không bắt buộc người dùng sử dụng 2SV hoặc nếu tính năng này không được bật cho người dùng, thì Google sẽ quyết định loại biện pháp xác thực đăng nhập phù hợp cho người dùng đó. Loại biện pháp xác thực đăng nhập phù hợp được xác định dựa trên nhiều yếu tố về bảo mật và khả năng sử dụng. Ví dụ: Biện pháp xác thực đăng nhập bằng mã nhân viên có thể không phải lúc nào cũng áp dụng cho một người dùng cụ thể, kể cả khi bạn đã bật biện pháp này.

Người dùng có thể cập nhật thông tin khôi phục không?

Có. Để biết thông tin chi tiết, hãy xem bài viết Thiết lập số điện thoại hoặc địa chỉ email khôi phục.

Chúng tôi sử dụng tính năng Xác minh 2 bước. Tại sao chúng tôi cần biện pháp xác thực đăng nhập?

Xác minh 2 bước (2SV) là một loại biện pháp xác thực đăng nhập. Khi tính năng này được bật cho người dùng, họ sẽ không được yêu cầu thực hiện biện pháp xác thực đăng nhập khác. Cũng vì lý do này nên các báo cáo của quản trị viên sẽ hiển thị từng quy trình Xác minh 2 bước dưới dạng một biện pháp xác thực đăng nhập.

Biện pháp xác thực đăng nhập hoạt động như thế nào khi tôi bật dịch vụ SSO?

Điều này tuỳ thuộc vào cách bạn định cấu hình dịch vụ SSO trong tổ chức:

  • Trường hợp bạn định cấu hình SSO cũ cho tổ chức: Theo mặc định, các biện pháp xác thực đăng nhập sẽ không được bật. Tuy nhiên, bạn có thể thiết lập quy trình xác minh sau khi đăng nhập một lần để cho phép các yêu cầu xác thực bổ sung dựa trên rủi ro và tính năng Xác minh 2 bước (2SV) nếu đã định cấu hình.
  • Trường hợp bạn dùng cấu hình SSO khác: Mọi biện pháp xác thực đăng nhập bổ sung (kể cả 2SV, nếu đã định cấu hình) đều được tự động áp dụng.

Tính năng này có trong các phiên bản Education không?

Có, tất cả phiên bản Google Workspace đều có các câu hỏi bảo mật và biện pháp xác thực đăng nhập bổ sung.

Khi nào Google coi một lượt đăng nhập là đáng ngờ?

Chúng tôi xác định xem một lượt đăng nhập có đáng ngờ hay không khi hệ thống phân tích rủi ro của chúng tôi xác định được một lượt đăng nhập khác với khuôn mẫu hành vi bình thường của người dùng. Ví dụ: Người dùng có thể cố gắng đăng nhập ở một vị trí lạ hoặc theo cách liên quan đến hành vi sai trái.

Xác minh qua điện thoại

Nếu người dùng không có điện thoại do công ty cấp, thì có cách nào khác để xác minh tài khoản của họ không?

Có, có nhiều loại biện pháp xác thực đăng nhập. Tuỳ thuộc vào thông tin trong tài khoản của người dùng, người dùng sẽ phải thực hiện một loại biện pháp xác thực đăng nhập khác, chẳng hạn như nhập mã nhân viên hoặc địa chỉ email khôi phục. Nếu không dùng được điện thoại, người dùng có thể sử dụng mã dự phòng để đăng nhập. Để biết thông tin chi tiết, hãy xem bài viết Đăng nhập bằng mã dự phòng.

Làm cách nào để người dùng cập nhật số điện thoại hoặc địa chỉ email khôi phục được liên kết với tài khoản của họ?

Người dùng có thể cập nhật thông tin khôi phục thông qua phần cài đặt tài khoản.

Người dùng có thể chọn xác minh bằng tiêu chí khác ngoài số điện thoại khôi phục không?

Nếu người dùng không nhập số điện thoại khôi phục, thì các loại biện pháp xác thực đăng nhập khác sẽ áp dụng, chẳng hạn như nhập địa chỉ email khôi phục hoặc sử dụng mã nhân viên.

Tắt biện pháp xác thực đăng nhập hoặc xác minh danh tính

Nếu người dùng không xác minh được danh tính của họ, thì tôi có thể tắt biện pháp xác thực đăng nhập hoặc xác minh danh tính không?

Có, quản trị viên có thể tắt biện pháp xác thực đăng nhập hoặc xác minh danh tính trong 10 phút.

Trong một số tình huống, người dùng được uỷ quyền sẽ không thể xác minh danh tính. Ví dụ: họ có thể không có tín hiệu điện thoại nên không lấy được mã xác minh. Hoặc họ không nhớ hoặc không tìm thấy mã nhân viên. Trong những trường hợp này, với tư cách là quản trị viên cấp cao, bạn có thể tắt biện pháp xác thực đăng nhập hoặc xác minh danh tính trong 10 phút để cho phép họ đăng nhập hoặc hoàn tất hành động nhạy cảm. Hãy thận trọng khi tắt các biện pháp xác thực đăng nhập hoặc xác minh danh tính, vì tài khoản sẽ dễ bị những kẻ chiếm đoạt tài khoản tấn công hơn trong khoảng thời gian 10 phút đó.

Tôi có thể tắt các biện pháp xác thực đăng nhập hoặc xác minh danh tính trong tổ chức không?

Không, bạn không thể tắt tính năng này trong toàn bộ tổ chức. Bạn chỉ có thể tắt tính năng này tạm thời cho từng người dùng.

Người dùng có thể tự tắt tính năng này trong phần cài đặt tài khoản không?

Không, chỉ quản trị viên mới có thể tạm thời tắt biện pháp xác thực đăng nhập hoặc thử thách bảo mật.

Biện pháp xác thực đăng nhập dành cho quản trị viên

Nếu không thể xác minh danh tính, quản trị viên có thể làm gì để đăng nhập lại vào tài khoản của mình?

Là quản trị viên, bạn có thể lấy lại quyền truy cập vào tài khoản của mình bằng cách làm theo hướng dẫn trên trang đăng nhập để đặt lại mật khẩu.

Nếu bạn là quản trị viên Google Workspace và gặp vấn đề khi đăng nhập vào tài khoản quản trị viên, hãy xem hướng dẫn trong bài viết Khôi phục quyền truy cập của quản trị viên vào tài khoản.

Điều gì sẽ xảy ra nếu quản trị viên cấp cao không xác minh được danh tính của mình?

Nếu người dùng quản trị viên cấp cao không xác minh được danh tính, thì một quản trị viên cấp cao khác (nếu có) có thể tạm thời tắt biện pháp xác thực đăng nhập cho họ, như mô tả trong các bước ở trên.

Quản trị viên cấp cao cũng có thể bỏ qua biện pháp xác thực đăng nhập bằng cách đặt lại mật khẩu.

Lưu ý: Không phải quản trị viên cấp cao nào cũng có thể sử dụng phương án đặt lại mật khẩu tự động. Để biết thêm thông tin về cách khôi phục tài khoản quản trị viên, hãy xem bài viết Thêm tuỳ chọn khôi phục vào tài khoản quản trị viên.