部署兩步驟驗證功能

為完成兩步驟驗證 (2SV) 設定,您和您的使用者須分別執行必要的操作。使用者可以自行選擇兩步驟驗證方法,您也可以強制要求機構中的特定使用者或群組採用這項方法。舉例來說,您可以要求銷售部門中的某個團隊使用安全金鑰。

重要事項:Google 即將對管理員帳戶強制執行兩步驟驗證措施。詳情請參閱「關於強制要求管理員啟用兩步驟驗證」。

步驟 1:通知使用者兩步驟驗證部署作業的相關資訊

部署兩步驟驗證功能前,請先向使用者說明貴公司的計畫,包括:

步驟 2:允許使用者開啟兩步驟驗證功能

根據預設,在 2016 年 12 月前建立的使用者帳戶會啟用兩步驟驗證功能。

允許使用者開啟兩步驟驗證功能及使用任何驗證方法。

觀看影片

如要允許使用者開啟兩步驟驗證功能

事前準備:如有需要,請參閱這篇文章,瞭解如何將設定套用至特定部門或群組。

您必須以超級管理員身分登入,才能執行這項工作。

  1. 在 Google 管理控制台中,依序點選「選單」 「安全性」 「驗證」 「兩步驟驗證」

    您必須以超級管理員身分登入,才能執行這項工作。

  2. (選用) 如果只要為部分使用者套用設定,請在側邊選取「機構單位」 (通常用於部門),或是設定「群組」 (進階)。 操作示範

    群組設定會覆寫機構單位。瞭解詳情

  3. 勾選「允許使用者開啟兩步驟驗證功能」方塊。
  4. 依序選取「強制執行」 「關閉」
  5. 按一下「儲存」。如果是機構單位,您也可以按一下「覆寫」

    如要日後還原沿用的值,請按一下「沿用」 (如果是群組,請點選「取消設定」)。

步驟 3:請使用者註冊兩步驟驗證功能

  1. 請使用者按照「開啟兩步驟驗證功能」一文的操作說明註冊兩步驟驗證功能。
  2. 提供註冊兩步驟驗證方法的操作說明:

步驟 4:追蹤使用者註冊狀態

透過報告評估及追蹤使用者註冊兩步驟驗證功能的情形。確認使用者的註冊狀態、強制執行狀態和安全金鑰數量。

觀看影片

追蹤兩步驟驗證註冊情況

  1. 在 Google 管理控制台中,依序點選「選單」 「報告」 「使用者報告」 「安全性」

    必須擁有「報告」管理員權限。

  2. (選用) 如要新增資訊欄,請依序按一下「設定」圖示 「新增資料欄」。選取要新增至表格的資料欄,然後按一下「儲存」

詳情請參閱「管理使用者的安全性設定」。

  1. 在管理控制台首頁中,依序前往「報告」「應用程式報告」「帳戶」

找出未採用兩步驟驗證功能的機構單位和群組

  1. 在 Google 管理控制台中,依序點選「選單」圖示 「安全性」 「安全中心」 「安全性狀態」

    須具備安全中心管理員權限,以及使用者機構單位的讀取權限。

  2. 在「安全性狀態」頁面中搜尋「管理員兩步驟驗證」或「使用者兩步驟驗證」,查看兩步驟驗證資訊。

步驟 5:強制執行兩步驟驗證 (選用)

事前準備:確認使用者已註冊兩步驟驗證。

重要事項:強制執行兩步驟驗證時,如果使用者尚未完成兩步驟驗證的註冊程序,但在帳戶中新增了雙重驗證 (2FA) 資訊 (例如安全金鑰或電話號碼),他們將能使用這些資訊登入。如果未註冊使用者所屬的機構單位已強制執行兩步驟驗證,則該使用者登入帳戶的程序即為兩步驟驗證登入程序。

事前準備:如有需要,請參閱這篇文章,瞭解如何將設定套用至特定部門或群組。

您必須以超級管理員身分登入,才能執行這項工作。

  1. 在 Google 管理控制台中,依序點選「選單」 「安全性」 「驗證」 「兩步驟驗證」

    您必須以超級管理員身分登入,才能執行這項工作。

  2. (選用) 如果只要為部分使用者套用設定,請在側邊選取「機構單位」 (通常用於部門),或是設定「群組」 (進階)。 操作示範

    群組設定會覆寫機構單位。瞭解詳情

  3. 按一下「允許使用者開啟兩步驟驗證功能」
  4. 在「強制執行」部分,選擇下列其中一個選項:

  5. (選用) 如要讓新員工在系統為帳戶套用強制執行設定前有時間完成註冊程序,請在「新使用者註冊期限」選取 1 天到 6 個月的時間範圍。

    使用者在期限內只要使用密碼即可登入。

  6. (選用) 如要避免使用者在信任的裝置上重複進行兩步驟驗證檢查程序,請勾選「頻率」下方的「允許使用者信任裝置」方塊。

    首次透過新裝置登入時,使用者可以勾選相關方塊信任裝置。往後除非使用者清除 Cookie、撤銷裝置,或者您重設使用者的登入 Cookie,否則該裝置不會提示使用者進行兩步驟驗證。

    除非使用者經常切換使用的裝置,否則我們不建議讓使用者在信任的裝置上跳過兩步驟驗證。

  7. 在「方法」部分選取強制執行方式:

    • 僅限安全金鑰:使用者必須設定安全金鑰。

      選取這個強制執行方法之前,請先找出已設定安全金鑰的使用者 (報告資料最多可能會有 48 小時的延遲時間)。如要查看個別使用者的即時兩步驟驗證狀態,請參閱「管理使用者的安全性設定」。

      重要事項:由於我們加入了密碼金鑰,因此「僅限安全金鑰」選項現在支援使用安全金鑰和密碼金鑰做為兩步驟驗證方法。密碼金鑰和安全金鑰提供同等級的網路釣魚防護機制。詳情請參閱「改用密碼金鑰代替密碼登入帳戶」。

  8. 如果您選取「僅限安全金鑰」,請設定「兩步驟驗證政策停權寬限期」

    在寬限期內,使用者可以使用您為他們產生的備用驗證碼登入,這個方法在使用者遺失安全金鑰時非常有用。請選取寬限期的長度。寬限期會從您產生驗證碼的時候起算。如需備用碼相關資訊,請參閱「為使用者取得備用驗證碼」。

    重要事項:如果在「僅限安全金鑰」模式下強制執行兩步驟驗證,使用者就無法自行產生備用驗證碼,管理員必須提供這些驗證碼給使用者。

  9. 在「安全碼」部分,選擇是否要允許使用者透過安全碼登入。

  10. 按一下「儲存」。如果是機構單位,您也可以按一下「覆寫」

    如要日後還原沿用的值,請按一下「沿用」 (如果是群組,請點選「取消設定」)。

如果使用者未於強制執行日期前按照相關規定操作

如要為使用者提供額外的註冊時間,請將他們加入不會強制執行兩步驟驗證的群組。雖然這個解決方法可讓使用者登入帳戶,我們還是不建議當成標準做法。請參閱這篇文章,瞭解如何避免帳戶在強制執行兩步驟驗證後遭到鎖定。

查看機構的應用程式報告