Déployer la validation en deux étapes

Vos utilisateurs et vous jouez un rôle important dans la configuration de la validation en deux étapes. Les utilisateurs peuvent choisir leur méthode de validation en deux étapes, ou vous pouvez imposer une méthode spécifique à certains utilisateurs ou groupes de votre organisation. Par exemple, vous pouvez forcer l'utilisation de clés de sécurité pour une petite équipe du service commercial.

Important : Google applique la validation en deux étapes aux comptes administrateur. Pour en savoir plus, consultez À propos de l'application forcée de la validation en deux étapes pour les administrateurs.

Étape 1 : Informez les utilisateurs du déploiement de la validation en deux étapes

Avant de déployer la validation en deux étapes, informez vos utilisateurs des plans de votre entreprise, en incluant les informations suivantes :

Étape 2 : Autorisez les utilisateurs à activer la validation en deux étapes

La validation en deux étapes est activée par défaut pour les comptes utilisateur créés avant décembre 2016.

Autorisez les utilisateurs à activer la validation en deux étapes et à utiliser n'importe quelle méthode de validation.

Regarder la vidéo

Pour permettre aux utilisateurs d'activer la validation en deux étapes

Avant de commencer : si nécessaire, découvrez comment appliquer le paramètre à un service ou à un groupe.

Pour ce faire, vous devez être connecté en tant que super-administrateur.

  1. Dans la console d'administration Google, accédez à Menu  Sécurité Authentification Validation en deux étapes.

    Pour ce faire, vous devez être connecté en tant que super-administrateur.

  2. (Facultatif) Pour n'appliquer le paramètre qu'à certains utilisateurs, sélectionnez sur le côté une unité organisationnelle (souvent utilisée pour des services) ou un groupe de configuration (avancé). Voir la marche à suivre

    Les paramètres de groupe remplacent ceux des unités organisationnelles. En savoir plus

  3. Cochez la case Autoriser les utilisateurs à activer la validation en deux étapes.
  4. Sélectionnez Application Désactivée.
  5. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle.

    Pour rétablir la valeur héritée ultérieurement, cliquez sur Hériter (ou Non défini pour un groupe).

Étape 3 : Demandez à vos utilisateurs de s'inscrire à la validation en deux étapes

  1. Demandez à vos utilisateurs de s'inscrire à la validation en deux étapes en suivant les instructions de l'article Activer la validation en deux étapes.
  2. Fournissez-leur les instructions pour s'inscrire aux méthodes de validation en deux étapes :

Étape 4 : Suivez l'inscription des utilisateurs

Mesurez et suivez l'inscription de vos utilisateurs à la validation en deux étapes grâce aux rapports. Vérifiez l'état d'inscription des utilisateurs, l'état d'application et le nombre de clés de sécurité.

Regarder la vidéo

Suivre l'inscription à la validation en deux étapes

  1. Dans la console d'administration Google, accédez à Menu  Création de rapports Rapports utilisateur Sécurité.

    Vous devez disposer du droit d'administrateur Rapports.

  2. (Facultatif) Pour ajouter une colonne d'informations, cliquez sur Paramètres Ajouter une colonne. Sélectionnez la colonne à ajouter au tableau, puis cliquez sur Enregistrer.

Pour en savoir plus, consultez Gérer les paramètres de sécurité d'un utilisateur.

  1. Sur la page d'accueil de la console d'administration, accédez à Rapports. Rapports sur les applications. Comptes.

Identifier les unités organisationnelles et les groupes qui n'utilisent pas la validation en deux étapes

  1. Dans la console d'administration Google, accédez à Menu  Sécurité Centre de sécurité État de sécurité.

    Vous devez disposer du droit d'administrateur Centre de sécurité, ainsi que d'un accès en lecture aux utilisateurs et aux unités organisationnelles.

  2. Pour consulter des informations sur la validation en deux étapes, recherchez État de sécurité pour la Validation en deux étapes pour les administrateurs ou la Validation en deux étapes pour les utilisateurs.

Étape 5 : Forcez l'application de la validation en deux étapes (facultatif)

Avant de commencer : assurez-vous que les utilisateurs sont inscrits à la validation en deux étapes.

Important : Lorsque la validation en deux étapes est appliquée, les utilisateurs qui n'ont pas finalisé le processus d'inscription à la validation en deux étapes, mais qui ont ajouté des informations d'authentification à deux facteurs à leur compte, comme une clé de sécurité ou un numéro de téléphone, sont en mesure de se connecter à l'aide de ces informations. Si vous voyez une connexion de la part d'un utilisateur désinscrit qui appartient à une unité organisationnelle pour laquelle la validation en deux étapes a été appliquée de force, il s'agit d'une connexion avec validation en deux étapes.

Avant de commencer : si nécessaire, découvrez comment appliquer le paramètre à un service ou à un groupe.

Pour ce faire, vous devez être connecté en tant que super-administrateur.

  1. Dans la console d'administration Google, accédez à Menu  Sécurité Authentification Validation en deux étapes.

    Pour ce faire, vous devez être connecté en tant que super-administrateur.

  2. (Facultatif) Pour n'appliquer le paramètre qu'à certains utilisateurs, sélectionnez sur le côté une unité organisationnelle (souvent utilisée pour des services) ou un groupe de configuration (avancé). Voir la marche à suivre

    Les paramètres de groupe remplacent ceux des unités organisationnelles. En savoir plus

  3. Cliquez sur Autoriser les utilisateurs à activer la validation en deux étapes.
  4. Dans Application, choisissez une option :

  5. (Facultatif) Pour laisser aux nouveaux employés le temps de s'inscrire avant l'application forcée de la validation en deux étapes à leur compte, sélectionnez une période comprise entre un jour et six mois dans Délai d'inscription pour les nouveaux utilisateurs.

    Pendant ce délai, les utilisateurs peuvent se connecter en utilisant uniquement leur mot de passe.

  6. (Facultatif) Pour permettre aux utilisateurs de ne pas avoir à effectuer la validation en deux étapes à chaque fois qu'ils se connectent sur leurs appareils vérifiés, sous Fréquence, cochez l'option Autoriser l'utilisateur à faire confiance à son appareil.

    La première fois qu'un utilisateur se connecte depuis un nouvel appareil, il peut cocher une option lui permettant de le vérifier. L'utilisateur n'est alors plus invité à effectuer la validation en deux étapes sur cet appareil, sauf s'il supprime ses cookies ou révoque l'appareil, ou si vous réinitialisez son cookie de connexion.

    Il n'est pas recommandé d'éviter la validation en deux étapes sur des appareils vérifiés, sauf si vos utilisateurs changent souvent d'appareil.

  7. Dans Méthodes, sélectionnez la méthode d'application :

    • Clé de sécurité uniquement : les utilisateurs doivent configurer une clé de sécurité.

      Avant de sélectionner cette méthode d'application, recherchez les utilisateurs qui ont déjà configuré des clés de sécurité (l'affichage des données des rapports peut prendre jusqu'à 48 heures). Pour savoir comment accéder en temps réel à l'état de la validation en deux étapes pour chacun des utilisateurs, consultez Gérer les paramètres de sécurité des utilisateurs.

      Important : Depuis l'ajout des clés d'accès, l'option Clé de sécurité uniquement est désormais compatible avec les clés de sécurité et les clés d'accès en tant que méthode de validation en deux étapes. Les clés d'accès et les clés de sécurité offrent le même niveau de protection contre l'hameçonnage. Pour en savoir plus, consultez Se connecter avec une clé d'accès au lieu d'un mot de passe.

  8. Si vous sélectionnez Clé de sécurité uniquement, définissez le délai de grâce pour la suspension de la règle de validation en deux étapes.

    Cette période permet aux utilisateurs de se connecter avec le code de validation de secours que vous générez pour eux, ce qui peut s'avérer utile lorsqu'ils perdent leur clé de sécurité. Sélectionnez la durée de ce délai de grâce, qui commence lorsque vous générez le code de validation. Pour en savoir plus sur les codes de secours, consultez Obtenir des codes de validation de secours pour un utilisateur.

    Important : Si la validation en deux étapes est appliquée en mode Clé de sécurité uniquement, les utilisateurs ne peuvent pas générer leurs propres codes de validation supplémentaires. Un administrateur doit fournir ces codes à l'utilisateur.

  9. Dans Codes de sécurité, indiquez si les utilisateurs peuvent se connecter à l'aide d'un code de sécurité.

  10. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle.

    Pour rétablir la valeur héritée ultérieurement, cliquez sur Hériter (ou Non défini pour un groupe).

Si la date d'application forcée n'est pas respectée par certains utilisateurs

Vous pouvez accorder un délai supplémentaire aux utilisateurs en les ajoutant à un groupe dans lequel la validation en deux étapes n'est pas appliquée. Bien que cette solution temporaire permette aux utilisateurs de se connecter, elle ne doit pas se prolonger. Découvrez comment éviter le blocage de comptes lors de l'application de la validation en deux étapes.

Afficher les rapports sur les applications pour votre organisation