安全验证是一种额外的安全保护措施,用于核实用户身份。安全验证分为两类:
- 登录验证 - 当 Google 怀疑有未经授权的人员企图登录某个 Google Workspace 账号时,就会要求其进行登录验证。如果用户不能输入需要提供的信息,我们就不会让他们登录账号。
- “验证身份”验证 - 如果用户尝试执行的操作被视为敏感操作,我们会要求他们进行身份验证。如果用户不能输入需要提供的信息,我们将禁止他们执行相应敏感操作(他们可以继续照常使用其账号)。
重要提示:Google 将对管理员账号强制执行两步验证。如需了解详情,请参阅对管理员强制执行两步验证简介。
使用安全验证功能前的准备工作
确保您的 Google Workspace 账号包含我们需要的信息:
- 提醒员工为其账号添加辅助电话号码和辅助邮箱地址。我们会定期要求他们在登录账号时添加这些详细信息。
- 将员工 ID 添加到您的用户账号。有关详情,请参阅将员工 ID 添加为登录验证方式。
登录验证类型
用户通过移动设备确认其身份
用户选择如何验证身份
Google 使用用户手机上安装的应用来确认其身份
Google 通过短信发送验证码
Google 致电用户的电话号码,并提供验证码
用户输入员工 ID
如果您已将员工 ID 添加为登录验证方式,则用户可以使用此 ID 确认自己的身份。
用户输入辅助邮箱
用户可以输入辅助邮箱地址进行登录验证。
针对敏感操作进行身份验证
如果 Google Workspace 用户尝试执行敏感操作,系统有时会要求该用户进行身份验证。如果用户不能输入需要提供的信息,Google 会禁止其执行敏感操作。
“敏感操作已被阻止”
系统针对敏感操作要求用户进行身份验证时,大多数用户会看到标题为敏感操作已被阻止的窗口。系统会指引用户通过他们常用的设备(如自己的手机或笔记本电脑)或在他们通常登录所在的位置重试。
“目前无法完成此操作”
由于部分用户的设备或安全密钥是近期添加到他们的账号的,因此他们无法按安全验证要求立即验证自己的身份。这些用户会看到一个标题为目前无法完成此操作的窗口。设备、电话号码或安全密钥与用户的账号关联至少 7 天后,这些用户就可以验证自己的身份了。
敏感操作示例
以下是一些敏感操作的示例:
- 停用两步验证
- 允许应用访问 Google 数据
- 更改账号的辅助邮箱地址或辅助电话号码
- 下载账号数据
- 更改账号名称
针对单点登录启用登录验证功能
如果贵组织使用第三方身份提供方 (IdP) 通过 SAML 对单点登录 (SSO) 用户进行身份验证,那么您可以向这些单点登录用户设置额外的基于风险的登录验证方式,并在登录期间 IdP 对用户进行身份验证后应用两步验证(如果已配置)。
默认的单点登录后验证设置取决于单点登录用户类型:
- 对于使用贵组织的旧版单点登录配置文件进行登录的用户,默认设置是绕过额外的登录验证和两步验证。
- 对于使用其他单点登录配置文件进行登录的用户,默认设置是应用额外的登录验证和两步验证。
如需更改任一种用户类型的默认设置,请按照下文设置单点登录后验证中的步骤操作。
针对单点登录进行额外登录验证的用例
- 您想使用安全密钥来防止他人访问您托管在 Google 的敏感资源,以最大限度地保障安全,但您当前的身份提供商不支持安全密钥。
- 您想节省使用第三方身份提供商的成本,因为用户访问的大多是 Google 资源。
- 您不想使用 Google 身份验证(Google 是身份提供方),但想充分利用 Google 的所有风险触发的登录验证方式。
- 您希望 Google 保护 Google 生态系统中的敏感操作。
应用额外的登录验证方式有何影响
为了顺利实施,请告知用户新政策以及您计划何时应用该政策。您应用额外的登录验证方式后,会出现以下情况:
- 如果您已有两步验证政策(例如两步验证强制执行),系统会立即应用这些政策。
- 用户若受新政策的影响并注册了两步验证,则需要在登录时进行两步登录验证。
- 根据 Google 登录风险分析,用户在登录时可能需要进行基于风险的登录验证。
设置单点登录后验证
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性身份验证登录验证。需要拥有用户安全管理管理员权限。
- 在左侧,选择要设置政策的组织部门。
如要为所有用户设置,请选择顶级组织部门。初始状态下,组织部门会沿用其上级组织的设置。
- 点击单点登录后验证。
- 根据您在组织中使用旧版单点登录配置文件的方式选择设置。您可以为使用贵组织的旧版单点登录配置文件的用户以及使用其他单点登录配置文件登录的用户应用相应设置。
- 点击右下角的保存。
Google 会在管理控制台审核日志中创建一个条目,表明政策发生了变更。
注意:在极少数情况下,部分事件可能不会显示日志事件数据。我们正在努力解决这一问题。
常见问题解答
额外的安全问题和登录验证 | 手机验证 | 停用某种登录验证或安全验证 | 管理员
额外的安全问题和登录验证
用户在什么情况下会看到登录验证屏幕?
一旦检测到可疑登录(例如用户的登录模式和以前不一样),系统就会显示登录验证屏幕。如果用户在尝试敏感操作时,其会话存在风险,那么系统会要求该用户进行身份验证。
重要提示:Google 会从安全和易用的角度权衡多种因素,以便决定对用户采用哪种安全验证方式比较合适。举例来说,即使您已启用员工 ID 登录验证功能,系统也未必会每次都要求特定用户通过员工 ID 进行登录验证。
作为管理员,我可以选择向用户显示哪种登录验证方式吗?
两步验证 (2SV) 是一种登录验证方式。作为管理员,您可以为您的用户强制执行两步登录验证。执行此操作后,用户不会收到进行其他基于风险防范的登录验证提示。
如果您没有为用户强制执行两步验证,或如果用户没有启用两步验证,那么 Google 会决定对用户采用哪种登录验证方式比较合适。Google 会从安全和易用的角度权衡多种因素,以便决定对用户采用哪种登录验证方式比较合适。举例来说,即使您已启用员工 ID 登录验证功能,系统也未必会每次都要求特定用户通过员工 ID 进行登录验证。
用户可以更新恢复信息吗?
可以。有关详情,请参阅设置辅助电话号码或辅助邮箱地址。
我们使用了两步验证,为什么需要登录验证?
两步验证 (2SV) 是一种登录验证方式。当您的用户启用两步验证后,系统就不会要求他们再进行登录验证。也因此,管理员报告会将每次两步验证都作为登录验证加以显示。
如果我启用了单点登录,登录验证将如何进行?
这取决于您为组织配置单点登录的方式:
- 如果您为贵组织配置了旧版单点登录配置文件:默认情况下,登录验证处于停用状态。不过,您可以设置单点登录后验证,以允许使用其他由风险触发的身份验证和两步验证 (2SV)(如有配置)。
- 如果您使用的是其他单点登录配置文件:系统会自动应用所有其他登录验证方式,包括两步验证(如有配置)。
教育版提供此功能吗?
提供,所有 Google Workspace 版本都包含安全问题和登录验证等额外安全功能。
在什么情况下,Google 会将登录活动判定为可疑行为?
当我们的风险分析系统认定某次登录不符合用户平时的行为模式时,我们就会判定该次登录属于可疑登录行为。例如,用户从非同寻常的地点登录或以涉嫌滥用的方式登录。
电话验证
如果我的用户没有公司电话,是否可以通过其他方法来验证他们的账号?
可以,登录验证方式有多种。根据为用户账号提供的信息,系统会对用户采取不同的登录验证方式,例如要求其输入员工 ID 或辅助邮箱地址。如果用户无法使用手机,可以使用备用验证码登录。有关详情,请参阅使用备用验证码登录。
用户如何更新与其账号关联的辅助电话号码或辅助邮箱?
用户可在账号设置中更新其辅助联系信息。
用户能否选择除辅助电话号码以外的其他验证方式?
如果用户不输入辅助电话号码,也可以采用其他登录验证方式,例如输入辅助邮箱地址或使用员工 ID 进行验证。
关闭登录验证或身份验证
如果用户无法验证自己的身份,我可以停用登录验证或身份验证功能吗?
可以,管理员可以关闭登录验证或身份验证 10 分钟。
在某些情况下,授权用户无法验证自己的身份。例如,他们所在地点可能没有手机信号,因而无法接收验证码。或者,他们不记得或找不到自己的员工 ID。在这种情况下,作为超级用户,您可以将登录验证或身份验证关闭 10 分钟,以允许他们登录或完成敏感操作。关闭登录验证或身份验证时务必要谨慎,因为在这 10 分钟内,账号的安全性会降低,更容易遭到盗用。
我可以为我的组织关闭登录验证或身份验证吗?
不可以,您无法为整个组织关闭此功能。只能针对具体的用户暂时关闭此功能。
用户是否可以通过其账号设置自行关闭登录验证功能?
不可以,只有管理员可以暂时关闭登录验证或安全验证。
管理员登录验证
无法验证自己身份的管理员如何重新登录其账号?
作为管理员,您可以按照登录页面上的提示重置密码,从而重新获得账号的访问权限。
如果您是 Google Workspace 管理员,并且无法登录管理员账号,请参阅恢复对管理员账号的访问权限以获取相关说明。
如果超级用户无法验证自己身份会怎么样?
如果某一超级用户无法验证自己的身份,其他超级用户(如果有)可以按照上述步骤暂时为其停用登录验证功能。
另外,超级用户也可以通过重置密码绕过登录验证。
注意:不是所有超级用户都可以使用自动密码重置选项。如需详细了解管理员账号恢复,请参阅为管理员账号添加恢复选项。