部署两步验证

如要设置两步验证 (2SV),您和您的用户都必须执行相应的操作。用户可以选择两步验证方法,您也可以对组织中的特定用户或群组强制执行某个方法。例如,您可以要求销售团队中的某个小团队使用安全密钥。

重要提示:Google 将对管理员账号强制执行两步验证。如需了解详情,请参阅对管理员强制执行两步验证简介

第 1 步:通知用户两步验证部署事宜

部署两步验证之前,请向用户通知贵公司的计划,包括:

第 2 步:允许用户启用两步验证

2016 年 12 月之前创建的用户账号默认启用两步验证。

允许用户启用两步验证并使用任一验证方法。

观看视频

允许用户启用两步验证

准备工作:如果需要,请了解如何将设置应用于部门或群组

您必须以超级用户身份登录,才能执行此任务。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 安全性 身份验证 两步验证

    您必须以超级用户身份登录,才能执行此任务。

  2. (可选)如要将设置仅应用于部分用户,请在侧边选择一个组织部门(对于部门来说这是常用选项)或配置群组(高级)。 查看操作方法

    群组设置会覆盖组织部门的设置。了解详情

  3. 勾选允许用户启用两步验证复选框。
  4. 依次选择强制执行 关闭
  5. 点击保存。或者,您也可以针对组织部门点击覆盖

    如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。

第 3 步:让用户注册两步验证

  1. 让用户按照启用两步验证中的说明注册两步验证。
  2. 提供注册两步验证方法的操作说明:

第 4 步:跟踪用户注册情况

通过报告衡量和跟踪用户的两步验证注册情况。查看用户的注册状态、强制执行状态和安全密钥数。

观看视频

跟踪两步验证注册情况

  1. 在 Google 管理控制台中,依次点击“菜单”图标 报告 用户报告 安全性

    需要拥有“报告”管理员权限。

  2. (可选)如需添加新信息列,请依次点击“设置”图标 新增列。选择要添加到表格中的列,然后点击保存

如需了解详情,请参阅管理用户的安全设置

  1. 在管理控制台首页,依次点击报告 应用报告 账号

确定未使用两步验证的组织部门和群组。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 安全性 安全中心 安全性

    需要拥有“安全中心”管理员权限,以及“用户”和“组织部门”的读取权限。

  2. 请在安全性部分搜索要求管理员进行两步验证要求用户进行两步验证,以查看两步验证信息。

第 5 步:强制执行两步验证(可选)

准备工作:确保用户已注册两步验证。

重要提示:强制执行两步验证后,如果用户尚未完成两步验证注册流程,但已向账号添加双重身份验证 (2FA) 信息(例如安全密钥或电话号码),则可以使用这些信息登录。如果您看到属于已强制执行两步验证的组织部门的未注册用户的登录,则该登录属于两步验证登录。

准备工作:如果需要,请了解如何将设置应用于部门或群组

您必须以超级用户身份登录,才能执行此任务。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 安全性 身份验证 两步验证

    您必须以超级用户身份登录,才能执行此任务。

  2. (可选)如要将设置仅应用于部分用户,请在侧边选择一个组织部门(对于部门来说这是常用选项)或配置群组(高级)。 查看操作方法

    群组设置会覆盖组织部门的设置。了解详情

  3. 点击允许用户启用两步验证
  4. 强制执行部分,选择一个选项:

  5. (可选)为了让新员工在系统对其账号强制执行两步验证前有时间注册两步验证,请在 1 天到 6 个月范围内选择新用户注册期

    在此期间,用户可以仅使用密码登录。

  6. (可选)为避免用户在可信设备上重复进行两步验证,请在频率下方,勾选允许用户信任设备复选框。

    当用户在新设备上首次登录时,可以勾选信任设备的复选框。除非用户清除 Cookie、取消信任该设备或者您重置用户的登录 Cookie,否则系统不会提示用户在该设备上进行两步验证。

    我们不建议您允许用户在可信设备上避开两步验证,除非您的用户经常在设备之间来回切换。

  7. 方法部分,选择强制执行方法:

    • 仅限安全密钥 - 用户必须设置安全密钥。

      在选择这种强制执行方法之前,请查找已设置安全密钥的用户(报告数据最长可能会延迟 48 小时)。如要查看各位用户的实时两步验证状态,请参阅管理用户的安全设置

      重要提示:自从添加通行密钥以来,仅限安全密钥选项现在支持安全密钥和通行密钥作为两步验证方法。通行密钥和安全密钥的钓鱼式攻击防护级别相同。如需了解详情,请参阅使用通行密钥(而非密码)登录

  8. 如果您选择仅限安全密钥,请设置暂停执行两步验证政策时的宽限期

    在宽限期内,用户可以使用您为其生成的备用验证码登录,这在用户丢失安全密钥时非常有用。选择宽限期,宽限期从验证码生成时开始计算。如需了解备用验证码,请参阅为用户获取备用验证码

    重要提示:如果在仅限安全密钥模式下强制执行两步验证,用户将无法自行生成备用验证码。必须由管理员向用户提供备用验证码。

  9. 安全代码部分,选择用户是否可以使用安全代码登录。

  10. 点击保存。或者,您也可以针对组织部门点击覆盖

    如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。

如果用户在强制执行日期前未准备妥当

您可以将这些用户添加到不强制执行两步验证的群组中,为其提供额外的注册时间。虽然这种解决方法可让用户登录其账号,但并不建议将其作为标准做法。了解如何避免账号在强制执行两步验证时遭到锁定

查看贵组织的应用报告