Развертывание двухэтапной аутентификации

Вы и ваши пользователи играете важную роль в настройке двухфакторной аутентификации (2SV). Ваши пользователи могут выбрать свой метод 2SV, или вы можете установить обязательный метод для определенных пользователей или групп в вашей организации. Например, вы можете обязать небольшую команду в отделе продаж использовать ключи безопасности.

Важно : Google применяет двухфакторную аутентификацию (2SV) для учетных записей администраторов. Подробности см. в разделе «О применении 2SV для администраторов» .

Шаг 1: Уведомить пользователей о внедрении двухфакторной аутентификации.

Перед внедрением 2SV сообщите пользователям о планах вашей компании, включая следующую информацию:

Шаг 2: Предоставьте пользователям возможность включить двухфакторную аутентификацию.

Для учетных записей пользователей, созданных до декабря 2016 года, функция 2SV включена по умолчанию.

Разрешите пользователям включить двухфакторную аутентификацию и использовать любой метод проверки.

Посмотрите видео

Чтобы позволить пользователям включить 2SV

Перед началом работы: При необходимости изучите, как применить данную методику к конкретному отделу или группе .

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Двухэтапная проверка .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенные настройки). Покажите, как это сделать.

    Настройки группы имеют приоритет над организационными подразделениями. Подробнее.

  3. Установите флажок « Разрешить пользователям включать двухфакторную аутентификацию» .
  4. Избранное правоприменение а потом Выключенный .
  5. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

    Чтобы впоследствии восстановить унаследованное значение, нажмите «Наследовать» (или «Отменить» для группы).

Шаг 3: Предложите пользователям зарегистрироваться для двухфакторной аутентификации.

  1. Посоветуйте своим пользователям зарегистрироваться в системе двухфакторной аутентификации, следуя инструкциям в разделе «Включение двухфакторной аутентификации» .
  2. Предоставьте инструкции по регистрации в методах 2SV:

Шаг 4: Отслеживание регистрации пользователей

Используйте отчеты для измерения и отслеживания регистрации пользователей в 2SV. Проверяйте статус регистрации пользователей, статус применения и количество ключей безопасности.

Посмотрите видео

Регистрация на трек 2SV

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Отчеты пользователей а потом Безопасность .

    Для этого требуются права администратора отчетов .

  2. (Необязательно) Чтобы добавить новый столбец информации, нажмите «Настройки». а потом Добавить новый столбец . Выберите столбец, который хотите добавить в таблицу, и нажмите «Сохранить» .

Для получения более подробной информации перейдите в раздел «Управление параметрами безопасности пользователя» .

  1. На главной странице консоли администратора перейдите в раздел «Отчеты» . а потом Отчеты о приложениях а потом Счета .

Выявите организационные подразделения и группы, которые не используют двухфакторную аутентификацию.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Безопасность и здоровье .

    Требуется наличие прав администратора центра безопасности , а также права на чтение пользователей и подразделений организации .

  2. Для просмотра информации о двухфакторной аутентификации (2SV) выполните поиск в разделе «Состояние безопасности» по запросам «Двухфакторная аутентификация для администраторов» или «Двухфакторная аутентификация для пользователей» .

Шаг 5: Внедрение двухфакторной аутентификации (необязательно)

Перед началом работы: убедитесь, что пользователи зарегистрированы в системе 2SV.

Важно: При использовании двухфакторной аутентификации (2SV) пользователи, которые не завершили процесс регистрации в 2SV, но добавили информацию для двухфакторной аутентификации (2FA) к своей учетной записи, например, ключ безопасности или номер телефона, смогут войти в систему, используя эти данные. Если вы видите вход в систему от незарегистрированного пользователя, принадлежащего к организационному подразделению, где используется 2SV, это вход в систему с использованием 2SV.

Перед началом работы: При необходимости изучите, как применить данную методику к конкретному отделу или группе .

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Двухэтапная проверка .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенные настройки). Покажите, как это сделать.

    Настройки группы имеют приоритет над организационными подразделениями. Подробнее.

  3. Нажмите « Разрешить пользователям включать двухфакторную аутентификацию» .
  4. Для применения мер принуждения выберите один из вариантов:

  5. (Необязательно) Чтобы дать новым сотрудникам время на регистрацию до применения мер принуждения к их учетным записям, в поле «Период регистрации нового пользователя» выберите временной интервал от 1 дня до 6 месяцев.

    В течение этого периода пользователи могут входить в систему, используя только свои пароли.

  6. (Необязательно) Чтобы пользователи могли избежать повторных проверок 2SV на доверенных устройствах, в разделе «Частота» установите флажок «Разрешить пользователю доверять устройству» .

    При первом входе пользователя в систему с нового устройства он может поставить галочку, подтверждающую доверие к устройству. После этого пользователю не будет предлагаться подтвердить доверие к устройству (2SV), если он не очистит свои cookie-файлы, не отзовет доверие к устройству или вы не сбросите cookie-файл пользователя для входа в систему.

    Избегать использования 2SV на доверенных устройствах не рекомендуется, если только ваши пользователи не часто переключаются между устройствами.

  7. В разделе «Методы» выберите метод принудительного исполнения:

    • Только ключ безопасности — Пользователи должны настроить ключ безопасности.

      Перед выбором этого метода принудительного применения найдите пользователей, которые уже настроили ключи безопасности (данные отчета могут быть задержаны до 48 часов). Чтобы просмотреть статус 2SV в режиме реального времени для каждого пользователя, перейдите в раздел «Управление настройками безопасности пользователя» .

      Важно: После добавления возможности использования паролей, опция « Только ключ безопасности» теперь поддерживает как ключи безопасности, так и пароли в качестве метода двухфакторной аутентификации. И пароли, и ключи безопасности обеспечивают одинаковый уровень защиты от фишинга. Подробнее см. раздел «Вход с помощью пароля вместо стандартного пароля» .

  8. Если вы выберете «Только ключ безопасности» , установите льготный период приостановки политики двухфакторной аутентификации .

    В течение этого периода пользователи могут входить в систему с помощью резервного кода подтверждения, который вы генерируете для пользователя. Это полезно, если пользователь потерял свой ключ безопасности. Выберите продолжительность этого льготного периода, который начинается с момента генерации кода подтверждения. Информацию о резервных кодах можно найти в разделе «Получение резервных кодов подтверждения для пользователя» .

    Важно: если в режиме «Только ключ безопасности» используется двухфакторная аутентификация (2SV), пользователи не могут генерировать собственные резервные коды подтверждения. Администратор должен предоставить эти коды пользователю.

  9. В разделе «Коды безопасности» выберите, могут ли пользователи входить в систему с помощью кода безопасности.

  10. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

    Чтобы впоследствии восстановить унаследованное значение, нажмите «Наследовать» (или «Отменить» для группы).

Если пользователи не выполнят требования к установленному сроку,

Вы можете предоставить пользователям дополнительное время для регистрации, добавив их в группу, где двухфакторная аутентификация не применяется. Хотя этот обходной путь позволяет пользователям входить в систему, он не рекомендуется в качестве стандартной практики. Узнайте, как избежать блокировки учетных записей при использовании двухфакторной аутентификации .

В приложениях View Apps вы найдете отчеты о вашей организации.