Вы и ваши пользователи играете важную роль в настройке двухэтапной аутентификации (2SV). Ваши пользователи могут выбрать свой метод аутентификации, или вы можете принудительно применять его для определённых пользователей или групп в вашей организации. Например, вы можете обязать небольшую команду отдела продаж использовать ключи безопасности.
Важно : Google вводит двухэтапную аутентификацию (2SV) для учётных записей администраторов. Подробнее см. в статье «О применении двухэтапной аутентификации для администраторов» .
Шаг 1: Уведомите пользователей о развертывании двухэтапной аутентификации
Перед развертыванием 2SV сообщите пользователям о планах вашей компании, включая следующее:
Шаг 2: Разрешите пользователям включать двухэтапную аутентификацию
Учетные записи пользователей, созданные до декабря 2016 года, по умолчанию имеют двухэтапную аутентификацию.
Разрешите пользователям включать 2SV и использовать любой метод проверки.
Посмотрите видео
Чтобы разрешить пользователям включать 2SV
Прежде чем начать: При необходимости узнайте, как применить настройку к отделу или группе .
Для выполнения этой задачи вам необходимо войти в систему как суперадминистратор .В консоли администратора Google перейдите в меню.
Безопасность Аутентификация Двухэтапная верификация .Для выполнения этой задачи вам необходимо войти в систему как суперадминистратор .
- (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенный вариант). Покажите, как
Настройки группы имеют приоритет над организационными подразделениями. Подробнее
- Установите флажок Разрешить пользователям включать двухэтапную аутентификацию .
- Выберите «Исполнение» Выключенный .
- Нажмите «Сохранить». Или нажмите «Переопределить» для организационного подразделения.
Чтобы позже восстановить унаследованное значение, нажмите «Наследовать» (или «Отменить» для группы).
Шаг 3: Предложите пользователям зарегистрироваться на двухэтапную аутентификацию
- Предложите своим пользователям зарегистрироваться в 2SV, следуя инструкциям в разделе Включение двухэтапной аутентификации .
- Предоставьте инструкции по регистрации в методах 2SV:
Шаг 4: Отслеживание регистрации пользователей
Используйте отчёты для измерения и отслеживания регистрации пользователей в двухэтапной аутентификации. Проверяйте статус регистрации пользователей, статус применения аутентификации и количество ключей безопасности.
Посмотрите видео
Регистрация на трек 2SV
В консоли администратора Google перейдите в меню.
Отчетность Отчеты пользователей Безопасность .Требуется наличие прав администратора отчетов .
- (Необязательно) Чтобы добавить новый столбец информации, нажмите «Настройки».
Добавить новый столбец . Выберите столбец для добавления в таблицу и нажмите «Сохранить» .
Для получения более подробной информации перейдите в раздел Управление настройками безопасности пользователя .
Просмотр тенденций зачисления
- На главной странице консоли администратора перейдите в раздел «Отчеты» . Отчеты о приложениях Счета .
Определите организационные подразделения и группы, которые не используют двухэтапную аутентификацию.
В консоли администратора Google перейдите в меню.
Безопасность Центр безопасности Безопасность и здоровье .Требуются права администратора Центра безопасности , а также право на чтение данных пользователей и организационных подразделений .
- Найдите в разделе «Состояние безопасности» раздел «Двухэтапная аутентификация для администраторов» или «Двухэтапная аутентификация для пользователей» для просмотра информации о 2SV.
Шаг 5: Включите двухэтапную аутентификацию (необязательно)
Прежде чем начать: убедитесь, что пользователи зарегистрированы в 2SV.
Важно: При принудительном включении двухэтапной аутентификации пользователи, не завершившие процесс регистрации, но добавившие в свою учётную запись данные для двухфакторной аутентификации (2FA), например, ключ безопасности или номер телефона, смогут войти в систему, используя эти данные. Если вы видите вход незарегистрированного пользователя, принадлежащего к организационному подразделению, в котором принудительно включена двухэтапная аутентификация, это и есть вход с использованием двухэтапной аутентификации.
Прежде чем начать: При необходимости узнайте, как применить настройку к отделу или группе .
Для выполнения этой задачи вам необходимо войти в систему как суперадминистратор .В консоли администратора Google перейдите в меню.
Безопасность Аутентификация Двухэтапная верификация .Для выполнения этой задачи вам необходимо войти в систему как суперадминистратор .
- (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенный вариант). Покажите, как
Настройки группы имеют приоритет над организационными подразделениями. Подробнее
- Нажмите Разрешить пользователям включать двухэтапную аутентификацию .
- Для Принудительного исполнения выберите вариант:
(Необязательно) Чтобы дать новым сотрудникам время зарегистрироваться до того, как к их учетным записям будут применены меры принудительного характера, в поле Период регистрации новых пользователей выберите временной интервал от 1 дня до 6 месяцев.
В течение этого периода пользователи смогут входить в систему, используя только свои пароли.
(Необязательно) Чтобы разрешить пользователям избегать повторных проверок 2SV на доверенных устройствах, в разделе Частота установите флажок Разрешить пользователю доверять устройству .
При первом входе в систему с нового устройства пользователь может установить флажок, подтверждающий доверие к своему устройству. После этого двухэтапная аутентификация не будет запрашиваться на устройстве, пока пользователь не очистит файлы cookie, не отзовёт устройство или вы не сбросите файлы cookie входа.
Не рекомендуется избегать использования 2SV на доверенных устройствах, если только ваши пользователи не перемещаются между устройствами часто.
В поле «Методы» выберите метод принуждения:
Только ключ безопасности — пользователи должны настроить ключ безопасности.
Прежде чем выбрать этот метод принудительной аутентификации, найдите пользователей, которые уже установили ключи безопасности (данные отчёта могут быть получены с задержкой до 48 часов). Чтобы просмотреть статус двухэтапной аутентификации в режиме реального времени для каждого пользователя, перейдите в раздел «Управление настройками безопасности пользователя» .
Важно: С добавлением паролей опция « Только ключ безопасности» теперь поддерживает как ключи безопасности, так и ключи безопасности в качестве метода двухэтапной аутентификации. Как ключи безопасности, так и ключи безопасности имеют одинаковый уровень защиты от фишинга. Подробнее см. в статье «Вход с паролем вместо пароля» .
Если выбран вариант «Только ключ безопасности» , задайте льготный период приостановки политики двухэтапной проверки .
В течение этого периода пользователи могут войти в систему с помощью резервного кода подтверждения, который вы сгенерируете для пользователя. Это полезно, если пользователь потеряет свой ключ безопасности. Выберите продолжительность этого льготного периода, который начинается с момента генерации кода подтверждения. Информация о резервных кодах подтверждения приведена в статье «Получение резервных кодов подтверждения для пользователя» .
Важно: если двухэтапная аутентификация включена в режиме «Только ключ безопасности» , пользователи не смогут генерировать собственные резервные коды подтверждения. Администратор должен предоставить эти коды пользователю.
Для параметра Коды безопасности выберите, могут ли пользователи входить в систему с помощью кода безопасности.
- Нажмите «Сохранить». Или нажмите «Переопределить» для организационного подразделения.
Чтобы позже восстановить унаследованное значение, нажмите «Наследовать» (или «Отменить» для группы).
Если пользователи не соблюдают требования к дате вступления их в силу
Вы можете дать пользователям больше времени на регистрацию, добавив их в группу, где двухэтапная аутентификация не применяется. Хотя этот способ позволяет пользователям входить в систему, он не рекомендуется к использованию в качестве стандартной практики. Узнайте, как избежать блокировки учётной записи при принудительной двухэтапной аутентификации .