安全驗證問題是額外的安全措施,用於驗證使用者身分。安全問題分為以下兩種類型:
- 登入身分確認問題:如果 Google 懷疑有未經授權的使用者企圖登入 Google Workspace 帳戶,會要求對方回答登入身分確認問題。如果使用者無法輸入系統要求的資訊,就無法登入帳戶。
- 身分驗證問題:如果使用者嘗試採取敏感動作,我們會要求使用者進行身分驗證問題。如果使用者無法輸入要求的資訊,我們將禁止該敏感動作 (使用者仍可照常使用自己的帳戶)。
重要事項:Google 即將對管理員帳戶強制執行兩步驟驗證措施。詳情請參閱「關於強制要求管理員啟用兩步驟驗證」。
使用安全驗證問題的事前準備
請確認您的 Google Workspace 帳戶含有我們需要的資訊:
- 提醒員工在自己的帳戶中加入備援電話號碼和電子郵件地址。我們會在他們登入帳戶時定期顯示相關訊息,要求新增這些詳細資料。
- 將員工 ID 新增至使用者帳戶。詳情請參閱「將員工 ID 新增為登入身分確認問題」。
登入身分確認問題類型
使用者用自己的行動裝置確認身分
使用者選擇驗證身分的方式
Google 透過使用者手機上安裝的應用程式確認身分
Google 傳送含有驗證碼的簡訊
Google 撥打使用者的電話並提供驗證碼
使用者輸入員工 ID
如果您已將員工 ID 新增為登入身分確認問題,使用者就可以使用這個 ID 來驗證他們的身分。
使用者輸入備援電子郵件地址
使用者可以輸入備援電子郵件地址,做為登入身分確認問題。
驗證敏感動作的身分驗證問題
如果 Google Workspace 使用者嘗試執行敏感動作,系統有時可能會要求使用者驗證身分。如果使用者無法輸入要求的資訊,Google 會禁止該敏感動作。
「已封鎖涉及機密資訊的動作」
多數使用者在執行敏感動作的身分驗證問題時,系統會顯示一個標題為「已封鎖敏感動作」的視窗,並要求使用者透過自己常用的裝置 (例如手機或筆記型電腦) 再試一次,或是從他們平常登入帳戶的位置登入。
「目前無法完成這項操作」
部分使用者的裝置或安全金鑰是最近才加入帳戶,因此他們無法立即驗證身分來回覆安全驗證問題。系統會向這些使用者顯示視窗,標題名稱為「目前無法完成這項操作」。他們在裝置、電話號碼或安全金鑰與帳戶建立關聯至少 7 天後,即可驗證身分。
敏感動作示例
敏感動作示例如下:
- 停用兩步驟驗證
- 允許應用程式存取 Google 資料
- 變更帳戶的備援電子郵件地址或電話號碼
- 下載帳戶資料
- 變更帳戶名稱
針對單一登入 (SSO) 啟用登入身分確認問題
如果貴機構是使用第三方識別資訊提供者 (IdP) 來透過 SAML 驗證單一登入 (SSO) 使用者,在使用者於登入階段通過 IdP 驗證後,對這些單一登入 (SSO) 使用者採用額外的風險相關登入身分確認問題,並套用兩步驟驗證機制 (如已設定)。
預設的單一登入 (SSO) 後驗證設定,取決於單一登入 (SSO) 使用者類型:
- 如果使用者透過貴機構的舊版單一登入 (SSO) 設定檔登入,預設設定會略過額外的登入身分確認問題及兩步驟驗證機制。
- 如果使用者透過其他單一登入 (SSO) 設定檔登入,預設設定會套用額外的登入身分確認問題和兩步驟驗證機制。
如要變更任一使用者類型的預設設定,請按照下方「設定單一登入 (SSO) 驗證後」一節的步驟操作。
針對單一登入 (SSO) 要求回答額外登入身分確認問題的使用案例
- 您想要使用安全金鑰為 Google 代管的敏感資源添加最高程度的安全保障,但您目前的 IdP 不支援安全金鑰。
- 您想要省下使用第三方身分識別提供者的費用,因為使用者在大多數情況下只會存取 Google 資源。
- 您不想使用 Google 驗證 (即 Google 做為識別資訊提供者),但希望能徹底運用 Google 所有的風險相關登入身分確認問題。
- 您希望 Google 保護 Google 生態系統內的敏感動作。
套用額外登入身分確認問題政策會有什麼影響
如要順利導入這項政策,請向貴機構使用者說明這項新政策並告知預計施行的時間。在登入時要求回答額外登入身分確認問題會造成下列影響:
- 如果您已設定兩步驟驗證政策 (例如強制執行兩步驟驗證),系統將立即套用這些政策。
- 受新政策影響且已註冊兩步驟驗證的使用者,將在登入時回答兩步驟驗證這種登入身分確認問題。
- 根據 Google 登入風險分析,系統可能會在使用者登入時要求他們回答風險相關登入身分確認問題。
設定單一登入 (SSO) 後驗證
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」
「驗證」「登入身分確認問題」。必須具備使用者安全性管理管理員權限。
- 在左側選取要設定政策的組織單位。
如要為所有使用者套用設定,請選取頂層機構單位。根據預設,機構單位會沿用上層機構的設定。
- 按一下「單一登入 (SSO) 後驗證」。
- 根據您在貴機構使用舊版單一登入 (SSO) 設定檔的方式選擇設定。您可以為採用貴機構舊版單一登入 (SSO) 設定檔的使用者,以及透過其他單一登入 (SSO) 設定檔登入的使用者套用設定。
- 按一下右下方的「儲存」。
Google 會在管理員稽核記錄中建立項目,表示已變更這項政策。
注意:在極少數情況下,可能不是所有事件都會顯示記錄事件資料。我們目前正設法解決這個問題。
常見問題
額外的安全性問題和登入身分確認問題 | 電話驗證 | 停用登入或安全驗證問題 | 管理員
額外的安全性問題和登入身分確認問題
使用者在什麼情況下會收到安全驗證問題?
如果系統要求使用者回答登入身分確認問題,代表我們偵測到可疑的登入活動,例如使用者的登入模式與過去有所不同。如果使用者在執行敏感動作時出現有風險的工作階段,會看到身分驗證問題。
重要事項:Google 會依據多項安全性和可用性因素,決定使用者適用哪一種安全驗證問題。舉例來說,即使開啟員工 ID 登入身分確認問題,系統也未必會每次都要求該使用者以員工 ID 進行登入驗證。
管理員可以選擇向使用者顯示哪一種登入身分確認問題嗎?
兩步驟驗證 (2SV) 是登入身分確認問題的一種類型,管理員可以為使用者強制執行兩步驟驗證這種登入身分確認問題。這樣一來,使用者就不會收到其他類型的風險相關登入身分確認問題。
如果您沒有對使用者強制執行兩步驟驗證,或使用者未啟用這項功能,Google 會依據多項安全性和可用性因素,決定該使用者適用哪一種登入身分確認問題。舉例來說,即使開啟員工 ID 登入身分確認問題,系統也未必會每次都要求該使用者以員工 ID 進行登入驗證。
使用者能否更新自己的備援資訊?
可以。詳情請參閱「設定備援電話號碼或電子郵件地址」。
我們使用兩步驟驗證。為什麼需要使用登入身分確認問題?
兩步驟驗證 (2SV) 是登入身分確認問題的一種類型,因此已啟用兩步驟驗證的使用者將不會收到登入身分確認問題;也因為如此,每筆兩步驟驗證資料在管理員報告中都會顯示為一項登入身分確認問題。
如果已啟用單一登入 (SSO),登入身分確認問題會如何運作?
視您如何為機構設定單一登入 (SSO) 服務而定:
- 如果您已為貴機構設定舊版單一登入 (SSO) 設定檔:根據預設,系統不會啟用登入身分確認問題。不過,您也可以設定單一登入 (SSO) 後驗證,允許其他的風險相關驗證和兩步驟驗證 (如有設定)。
- 如果您使用其他單一登入 (SSO) 設定檔:系統會自動套用額外的登入身分確認問題,如果已設定兩步驟驗證,則會一併啟用。
Education 版本是否提供這項功能?
是,所有 Google Workspace 版本都包含額外的安全性問題和登入身分確認問題功能。
Google 會在什麼情況下將登入活動判定為可疑活動?
如果我們的風險分析系統判斷使用者登入時的行為異於往常,我們就會將其視為可疑的登入活動。例如,使用者可能試圖從不尋常的位置登入,或是以近似濫用行為的方式登入。
電話驗證
如果我的使用者沒有公司電話號碼,可以透過其他方法來驗證帳戶嗎?
可以,登入身分確認問題有三種類型。我們會根據使用者帳戶可用的資訊,要求使用者提供不同的登入身分確認問題資訊,例如輸入員工 ID 或備援電子郵件地址。萬一使用者身邊沒有手機,也可透過輸入備用碼登入。詳情請參閱「使用備用碼登入」。
使用者如何更新與個人帳戶相關聯的備援電話號碼或備援電子郵件?
使用者可在帳戶設定中更新備援資訊。
使用者可以選擇透過備援電話號碼以外的資訊來證明自己的身分嗎?
如果使用者不想提供備援電話號碼,也可以改為提供備援電子郵件地址或使用員工 ID 等資訊來回答登入身分確認問題。
停用登入身分確認問題或身分驗證問題
如果使用者無法驗證自己的身分,我可以停用登入身分確認問題或身分驗證問題嗎?
可以。管理員可以關閉登入身分確認問題或身分驗證問題 10 分鐘。
在某些情況下,獲得授權的使用者可能無法驗證自己的身分。舉例來說,使用者因為手機沒有訊號,所以無法接收驗證碼。或者,他們忘記或找不到員工 ID。如果發生這種情況,超級管理員可以關閉登入身分確認問題或身分驗證問題 10 分鐘,允許他們登入帳戶或完成敏感動作。停用登入身分確認問題或身分驗證問題時,請格外小心,因為在這 10 分鐘內您帳戶遭盜用的風險較高。
我可以為機構關閉登入身分確認問題或身分驗證問題嗎?
不可以,您無法為整個機構關閉這項功能,只能為個別使用者暫時關閉這項功能。
使用者可以自行透過個人帳戶設定關閉這項功能嗎?
不可以。只有管理員可以暫時關閉登入驗證功能或安全驗證問題。
系統管理員登入身分確認問題
無法驗證身分的管理員如何重新取得帳戶存取權?
管理員可以按照登入頁面上的提示重設密碼,重新取得帳戶存取權。
如果您是 Google Workspace 管理員,若在登入管理員帳戶時遇到問題,請參閱「重新取得帳戶的管理員存取權」一文的操作說明。
如果超級管理員無法驗證身分,會發生什麼情況?
如果超級管理員無法驗證身分,其他超級管理員 (如果有的話) 可以按照上述步驟暫時停用登入身分確認問題。
或者,超級管理員可以透過重設密碼的方式來略過登入身分確認問題。
注意:部分超級管理員可能無法使用自動化密碼重設選項。如要進一步瞭解管理員帳戶救援資訊,請參閱新增管理員帳戶救援選項。