Bestätigung in zwei Schritten implementieren

Wenn Sie die 2-Faktor-Authentifizierung (2FA) einrichten möchten, müssen sowohl Sie als auch Ihre Nutzer aktiv werden. Ihre Nutzer können ihre Methode für die 2‑Faktor-Authentifizierung (2FA) auswählen oder eine Methode für bestimmte Nutzer oder Gruppen in Ihrer Organisation erzwingen. So können Sie beispielsweise erfordern, dass ein kleines Team im Vertrieb Sicherheitsschlüssel verwendet.

Wichtig: Google erzwingt die 2-Faktor-Authentifizierung für Administratorkonten. Weitere Informationen finden Sie im Hilfeartikel 2‑Faktor-Authentifizierung für Administratoren erzwingen.

Schritt 1: Nutzer darüber informieren, dass die Bestätigung in zwei Schritten implementiert werden soll

Bevor Sie die Bestätigung in zwei Schritten implementieren, informieren Sie Ihre Nutzer über die Pläne Ihres Unternehmens:

  • Was die Bestätigung in zwei Schritten ist und warum sie von Ihrem Unternehmen verwendet wird.
  • Ob die Bestätigung in zwei Schritten optional oder erforderlich ist.
  • Geben Sie bei Bedarf das Datum an, bis zu dem die Nutzer die Bestätigung in zwei Schritten aktivieren müssen.
  • Welche Methode erforderlich ist oder empfohlen wird.

Schritt 2: Nutzern erlauben, die 2‑Faktor-Authentifizierung zu aktivieren

Für Nutzerkonten, die vor Dezember 2016 erstellt wurden, ist die 2-Faktor-Authentifizierung standardmäßig aktiviert.

Lassen Sie zu, dass Nutzer die 2-Faktor-Authentifizierung (2FA) aktivieren und eine beliebige Bestätigungsmethode verwenden.

Video ansehen

Nutzern erlauben, die 2‑Faktor-Authentifizierung zu aktivieren

Hinweis:Bei Bedarf können Sie die Einstellung auf eine Abteilung oder Gruppe anwenden.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Gehen Sie in der Admin-Konsole zum Menü  und dann Sicherheit und dann Authentifizierung und dann 2‑Faktor-Authentifizierung.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Organisationseinheit (häufig für Abteilungen verwendet) oder eine Konfigurationsgruppe (erweitert) aus.

    Gruppeneinstellungen überschreiben die Einstellungen von Organisationseinheiten. Weitere Informationen

  3. Klicken Sie das Kästchen Nutzer dürfen die Bestätigung in zwei Schritten aktivieren an.
  4. Wählen Sie Erzwingung und dann Aus aus.
  5. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

    Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen (oder bei einer Gruppe auf Nicht festgelegt).

Schritt 3: Nutzer dazu auffordern, sich für die Bestätigung in zwei Schritten zu registrieren

  1. Fordern Sie Ihre Nutzer auf, sich gemäß dieser Anleitung zu registrieren.
  2. Stellen Sie Anleitungen für die Registrierung verschiedener Methoden zur Verfügung:

Schritt 4: Registrierung von Nutzern erfassen

Mit Berichten können Sie die Registrierung Ihrer Nutzer für die 2‑Faktor-Authentifizierung (2FA) zahlenmäßig im Blick behalten. Sehen Sie sich den Registrierungsstatus, den Erzwingungsstatus und die Anzahl der Sicherheitsschlüssel an.

Video ansehen

Registrierung für die 2‑Faktor-Authentifizierung verfolgen

  1. Gehen Sie in der Admin-Konsole zum Menü  und dann Berichterstellung und dann Nutzerberichte und dann Sicherheit.

    Gehen Sie zu Sicherheit.

    Hierfür benötigen Sie die Administratorberechtigung Berichte.

  2. Optional: Wenn Sie eine neue Spalte mit Informationen hinzufügen möchten, klicken Sie auf „Einstellungen“  und dann Neue Spalte hinzufügen. Wählen Sie die Spalte aus, die der Tabelle hinzugefügt werden soll, und klicken Sie auf Speichern.

Weitere Informationen finden Sie unter Sicherheitseinstellungen eines Nutzers verwalten.

  1. Klicken Sie auf der Startseite der Admin-Konsole auf Berichte und dann App-Berichte und dann Konten.

Ermitteln Sie Organisationseinheiten und Gruppen, die die Bestätigung in zwei Schritten nicht verwenden.

  1. Öffnen Sie in der Google Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Sicherheitscenter und dann Sicherheitsstatus.

    Hierfür sind die Administratorberechtigung Sicherheitscenter und der Lesezugriff auf Nutzer und Organisationseinheiten erforderlich.

  2. Suchen Sie unter Sicherheitsstatus nach Bestätigung in zwei Schritten für Administratoren oder Bestätigung in zwei Schritten für Nutzer, um Informationen zur Bestätigung in zwei Schritten zu prüfen.

Schritt 5: Bestätigung in zwei Schritten erzwingen (optional)

Hinweis:Achten Sie darauf, dass Nutzer für die Bestätigung in zwei Schritten registriert sind.

Wichtig:Wenn die Bestätigung in zwei Schritten erzwungen wird, können sich Nutzer, die ihrem Konto Informationen zur 2‑Faktor-Authentifizierung hinzugefügt haben, z. B. einen Sicherheitsschlüssel oder eine Telefonnummer, mit diesen Informationen anmelden. Wenn Sie eine Anmeldung von einem nicht registrierten Nutzer sehen, der zu einer Organisationseinheit gehört, in der die Bestätigung in zwei Schritten erzwungen wird, ist dies eine Anmeldung mit Bestätigung in zwei Schritten.

Hinweis:Bei Bedarf können Sie die Einstellung auf eine Abteilung oder Gruppe anwenden.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Gehen Sie in der Admin-Konsole zum Menü  und dann Sicherheit und dann Authentifizierung und dann 2‑Faktor-Authentifizierung.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Optional: Wenn Sie die Einstellung nur auf bestimmte Nutzer anwenden möchten, wählen Sie an der Seite eine Organisationseinheit (häufig für Abteilungen verwendet) oder eine Konfigurationsgruppe (erweitert) aus.

    Gruppeneinstellungen überschreiben die Einstellungen von Organisationseinheiten. Weitere Informationen

  3. Klicken Sie auf Nutzern erlauben, die Bestätigung in zwei Schritten zu aktivieren.

  4. Wählen Sie für Erzwingung eine Option aus:

    • An: ab sofort.

    • Erzwingung aktivieren ab: Wählen Sie das Startdatum aus. Nutzer sehen dann beim Anmelden Erinnerungen, dass sie sich für die Bestätigung in zwei Schritten registrieren sollen. Nutzer erhalten möglicherweise auch eine E‑Mail von Google, in der sie daran erinnert werden, sich für die 2‑Faktor-Authentifizierung (2FA) zu registrieren.

      Hinweis:Wenn Sie die Option Ab dem Datum verwenden, beginnt die Durchsetzung innerhalb von 24 bis 48 Stunden nach dem ausgewählten Datum. Eine genaue Startzeit können Sie mit der Option An festlegen.

  5. Optional: Damit sich neue Mitarbeiter für die Zeit registrieren können, bevor die Erzwingung gilt, wählen Sie für den Anmeldezeitraum für neue Nutzer einen Zeitraum zwischen 1 Tag und 6 Monaten aus.

    In diesem Zeitraum benötigen Nutzer nur ihr Passwort, um sich anzumelden.

  6. Optional: Wenn Sie verhindern möchten, dass Nutzer die 2-Faktor-Authentifizierung (2FA) auf vertrauenswürdigen Geräten wiederholen, setzen Sie unter Häufigkeit ein Häkchen bei Der Nutzer darf dem Gerät vertrauen.

    Wenn sich ein Nutzer zum ersten Mal auf einem neuen Gerät anmeldet, kann er das entsprechende Kästchen anklicken. Die Aufforderung zur 2-Faktor-Authentifizierung (2FA) auf dem Gerät erfolgt erst wieder, wenn der Nutzer die Cookies löscht, wenn Sie die Anmeldecookies des Nutzers zurücksetzen oder wenn der Nutzer die Einstellung für das Gerät in seinem Konto aufhebt.

    Wir raten davon ab, die 2-Faktor-Authentifizierung (2FA) auf vertrauenswürdigen Geräten zu vermeiden, es sei denn, Ihre Nutzer wechseln häufig zwischen Geräten.

  7. Wählen Sie unter Methoden die Methode zur Erzwingung aus:

    • Alle: Nutzer können jede beliebige Methode für die Bestätigung in zwei Schritten einrichten.

    • Alle, außer Bestätigungscodes per SMS oder Anruf: Sofern sie den Bestätigungscode nicht über das Smartphone erhalten, können Nutzer eine beliebige Methode für die Bestätigung in zwei Schritten einrichten.

      Wichtig: Bei Nutzern, die SMS und Telefonanrufe zur Bestätigung verwenden, werden die Konten gesperrt. So verhindern Sie, dass die Konten dieser Nutzer gesperrt werden:

      • Bevor die Erzwingung wirksam wird, bitten Sie die Nutzer, eine andere Methode zur 2-Faktor-Authentifizierung (2FA) zu verwenden, da die Codes zur Bestätigung nach dem Datum nicht mehr über Smartphone verfügbar sein werden.
      • Ermitteln Sie über das Ereignis „login_verification“ im Audit-Log für Anmeldeaktivitäten die Nutzer, die für die Bestätigung in zwei Schritten Codes per SMS oder Sprachanruf erhalten. Wenn der Parameter login_challenge_method den Wert idv_preregistered_phone hat, wurde die Authentifizierung über einen solchen Bestätigungscode durchgeführt.

    • Nur Sicherheitsschlüssel: Die Nutzer müssen einen Sicherheitsschlüssel einrichten.

      Bevor Sie diese Methode erzwingen, prüfen Sie Nutzer, die bereits Sicherheitsschlüssel eingerichtet haben. Die Berichtsdaten können sich um bis zu 48 Stunden verzögern. Weitere Informationen zum Echtzeitstatus der Bestätigung in zwei Schritten für einzelne Nutzer finden Sie unter Sicherheitseinstellungen eines Nutzers verwalten.

      Wichtig:Seit der Einführung von Passkeys unterstützt die Option Nur Sicherheitsschlüssel sowohl Sicherheitsschlüssel als auch Passkeys als 2-Faktor-Authentifizierung. Passkeys und Sicherheitsschlüssel bieten beide dasselbe Maß an Phishingschutz. Weitere Informationen finden Sie im Hilfeartikel Mit einem Passkey anstelle eines Passworts anmelden.

  8. Wenn Sie Nur Sicherheitsschlüssel auswählen, legen Sie den Kulanzzeitraum, in dem die Richtlinie zur Bestätigung in zwei Schritten aufgehoben wird, fest.

    In diesem Zeitraum können sich Nutzer mit einem Back-up-Code anmelden, den Sie für den jeweiligen Nutzer generieren. Das ist nützlich, wenn ein Nutzer seinen Sicherheitsschlüssel verliert. Wählen Sie die Dauer dieses Kulanzzeitraums aus, der beginnt, wenn Sie den Bestätigungscode generieren. Weitere Informationen zu Back-up-Codes finden Sie im Hilfeartikel Back-up-Codes für einen Nutzer abrufen.

    Wichtig:Wenn die Bestätigung in zwei Schritten im Modus Nur Sicherheitsschlüssel erzwungen wird, können Nutzer keine eigenen Bestätigungscodes für den Notfall generieren. Ein Administrator muss dem Nutzer diese Codes zur Verfügung stellen.

  9. Wählen Sie unter Sicherheitscodes aus, ob Nutzer sich mit einem Sicherheitscode anmelden dürfen.

    • Nicht zulassen, dass Nutzer Sicherheitscodes generieren: Damit schalten Sie diese Möglichkeit für Nutzer aus.
    • Sicherheitscodes ohne Remote-Zugriff zulassen: Nutzer dürfen Sicherheitscodes über g.co/sc generieren und sie auf demselben Gerät oder im selben lokalen Netzwerk (NAT oder LAN) verwenden.

    • Sicherheitscodes mit Remote-Zugriff zulassen: Nutzer dürfen Sicherheitscodes über g.co/sc generieren und sie auf anderen Geräten oder in anderen Netzwerken verwenden, z. B. beim Zugriff auf einen Remote-Server oder eine virtuelle Maschine.

      Sicherheitscodes unterscheiden sich von Einmalcodes, die von Apps wie Google Authenticator generiert werden. Um einen Sicherheitscode zu generieren, tippt ein Nutzer auf den Sicherheitsschlüssel auf seinem Gerät. Die Sicherheitscodes sind fünf Minuten lang gültig.

  10. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

    Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen (oder bei einer Gruppe auf Nicht festgelegt).

Nutzer, die am Umstellungsdatum noch keine Methode ausgewählt haben

Sie können Nutzern mehr Zeit geben. Nehmen Sie sie dazu in eine Gruppe auf, in der die 2-Faktor-Authentifizierung (2FA) nicht erzwungen wird. Diese Problemumgehung ermöglicht zwar solchen Nutzern die Anmeldung, wird aber nicht als Standard empfohlen. Weitere Informationen dazu, wie Sie Kontosperrungen bei der Erzwingung der Bestätigung in zwei Schritten vermeiden können

App-Berichte für Ihre Organisation ansehen