本文适用于 Google Workspace 管理员。Google Workspace 用户应参阅开启两步验证。
您可以使用两步验证 (2SV) 在您的企业和试图窃取用户名和密码以访问业务数据的网络犯罪分子之间设置额外的屏障。
重要提示:为管理员账号强制执行两步验证
为了更好地保护贵组织的信息,Google 很快会要求所有管理员账号启用两步验证。Google 目前正在对一些使用企业版的组织强制执行此要求。2024 年,Google 将逐步对使用企业版的所有组织强制执行此要求。在 Google 强制执行之前,您应该为组织中的管理员账号启用两步验证。请注意:
- 我们将于明年逐步强制执行两步验证。超级用户会在强制执行前 60 天收到通知。
- 强制执行开始前 30 天,Google 会通过电子邮件和手机通知管理员。在这 30 天内,Google 设置的两步验证强制执行政策会覆盖组织设置的所有两步验证政策。
- 在通知期内,当管理员登录自己的账号时,系统会提醒其在强制日期之前启用两步验证。
- 如果管理员未启用两步验证,则会在 7 天后继续在管理控制台中收到提醒。15 天后,管理员将无法在移动设备上访问 Gmail 和 Google 云端硬盘等 Google Workspace 应用。
- 通知时间可能会因用户所属组织的设置而异,但以上是标准截止期限,旨在让用户有足够的时间进行注册。
- 使用已实施 Google 设置的两步验证强制执行政策的 Google Workspace 版本的管理员无法避免这种情况。如果管理员无法启用两步验证,则移除用户的管理员权限是避免受到强制执行规则约束的唯一方法。
- 您无需为服务账号启用两步验证,但其模拟的管理员账号必须已注册两步验证。
- 您可以在 Google 管理控制台中查看管理员的强制执行状态。如需了解相关步骤,请参阅跟踪用户的注册情况,并添加强制执行两步验证列。
- 如果您将用户设为管理员,系统会立即应用强制执行。
- 如果管理员在强制执行两步验证后无法登录,请按照相应步骤恢复管理员账号。
两步验证是什么?
开启两步验证后,用户需要通过两个步骤才能登录自己的账号,一个步骤会用到用户的密码信息,另一个步骤则会用到用户所拥有的手机或安全密钥等设备。了解工作原理。
Secure your Google Workspace user accounts
小型企业是否需要使用两步验证?
网络犯罪分子的目标是所有企业,不论规模大小。如果黑客破解了您的管理员账号,就可以查看您的电子邮件、文档、电子表格和财务记录等等。
黑客或许可以窃取或猜测密码,但无法复制只有您才拥有的东西。
两步验证方法
设置两步验证时,您可以为用户选择第二个验证步骤。
安全密钥
安全密钥是最安全的两步验证形式,可以防范网上诱骗威胁。安全密钥有 2 种类型:
- 硬件安全密钥或 Titan 安全密钥
- 手机的内置安全密钥(适用于运行 Android 7 或更高版本及 iOS 10 或更高版本的手机)
用户登录其 Google 账号时,其设备会检测到该账号拥有安全密钥。作为第二步验证,用户将使用其安全密钥登录。用户可通过 USB、蓝牙或 NFC(近距离无线通信)将其安全密钥连接到他们的设备,具体取决于密钥类型。详细了解安全密钥。
Google 提示
用户可以设置自己的 Android 或 Apple 移动设备,以接收登录提示。当他们在计算机上登录 Google 账号时,会在移动设备上收到“您是否正尝试在其他计算机上登录?”这条提示。用户只需点按移动设备即可进行确认。使用这种方式登录,您既可享受两步验证的安全性,又可获得比输入验证码更快的登录速度。详细了解手机提示。
Google 身份验证器和其他验证码生成器
用户可通过硬件令牌(小型硬件设备)或其移动设备上的应用(例如 Google 身份验证器)生成一次性验证码。用户需要输入该验证码才能登录自己的计算机和其他设备(包括移动设备本身)。Google 身份验证器和其他应用无需连接互联网即可生成验证码。
两步验证支持使用 TOTP(基于时间的动态密码)标准的软件和硬件令牌。
备用验证码
如果用户没带移动设备,或者工作地点不能携带移动设备,则可以使用备用验证码进行两步验证。用户可以提前生成备用验证码,并将其打印出来。
短信或电话
Google 以短信或语音电话的形式向移动设备发送两步验证码。
注意:由于尼日利亚和象牙海岸存在大量账号滥用行为,因此这两个国家/地区的部分网域目前还不支持使用本地电话号码进行两步验证。如需了解您的网域是否符合条件,请联系支持团队。
通行密钥
如果管理员已为用户账号启用“跳过密码输入步骤”设置,则用户可以跳过密码登录验证步骤,改为使用包含第一重身份验证和双重身份验证的通行密钥。借助通行密钥,用户可以使用手机、安全密钥或计算机的屏幕锁定方式登录受管理的 Google 账号。如需了解详情,请参阅使用通行密钥(而非密码)登录。
两步验证最佳实践
为管理员和关键用户强制执行两步验证
您可以规定用户是否必须使用两步验证。我们建议您强制要求管理员账号和处理最重要商业信息的用户使用两步验证。
- 管理员账号可以删除用户、重置密码和访问贵公司所有数据,因此是最强大的账号。
- 处理财务记录和员工信息等敏感数据的用户也应该使用两步验证。
- 两步验证是第一道防线,可减少高达 50% 的账号接管事件。
建议贵公司使用安全密钥
我们建议贵公司使用安全密钥,因为这是最安全的两步验证方法。
- 安全密钥 - 最安全的两步验证方法,无需用户输入验证码。
- 安全密钥的替代方案 - 如果您决定不使用安全密钥,那么 Google 提示或 Google 身份验证器应用是不错的替代方案。Google 提示只需用户根据提示点按设备,而无需输入验证码,因此用户体验更好。
- 不建议使用短信 - 短信依赖于外部运营商网络,因此可能会被截获。
