En tant qu'administrateur du service Google Workspace ou Cloud Identity de votre organisation, vous pouvez consulter et gérer les paramètres de sécurité d'un utilisateur donné. Par exemple, vous pouvez réinitialiser le mot de passe d'un utilisateur, ajouter ou supprimer des clés de sécurité pour une authentification multifacteur, ou encore réinitialiser les cookies de connexion des utilisateurs.
Ouvrir les paramètres de sécurité des utilisateurs
Pour suivre cette procédure, vous avez besoin des droits d'administrateur appropriés. En conséquence, vous n'aurez peut-être pas accès à toutes les commandes requises pour effectuer cette procédure. En savoir plus sur les droits d'administrateur.
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
- Dans la console d'administration, accédez à Menu Annuaire Utilisateurs.
- Recherchez l'utilisateur dans la liste Utilisateurs.
Conseil : Pour rechercher un utilisateur, vous pouvez également saisir son nom ou son adresse e-mail dans le champ de recherche situé en haut de la console d'administration. Si vous avez besoin d'aide, consultez Rechercher un compte utilisateur.
- Cliquez sur le nom de l'utilisateur pour ouvrir la page de son compte.
- Cliquez sur l'option Sécurité située en haut de la page.
- Affichez ou gérez les paramètres de sécurité de l'utilisateur en suivant la procédure ci-dessous.
Afficher et gérer les paramètres de sécurité des utilisateurs
Tout développer | Tout réduire
Réinitialiser le mot de passe d'un utilisateur- Cliquez sur Mot de passe Réinitialiser le mot de passe.
- Vous pouvez choisir de saisir un mot de passe ou de le générer automatiquement.
Par défaut, le mot de passe doit comporter au moins huit caractères. Vous pouvez modifier les règles relatives aux mots de passe pour votre organisation.
- (Facultatif) Pour afficher le mot de passe, cliquez sur Aperçu .
- (Facultatif) Pour obliger l'utilisateur à modifier son mot de passe, vérifiez que l'option Exiger la modification du mot de passe à la prochaine connexion est bien activée .
- Cliquez sur Réinitialiser.
- (Facultatif) Pour copier-coller le mot de passe, par exemple dans une fenêtre de conversation Google Chat pour l'envoyer à l'utilisateur, cliquez sur Cliquer pour copier le mot de passe.
- Vous pouvez choisir de l'envoyer par e-mail à l'utilisateur. Sinon, cliquez sur OK.
Une clé de sécurité est un petit dispositif qui vous permet de vous connecter à un compte Google à l'aide de la validation en deux étapes. De toutes les méthodes de validation en deux étapes acceptées par Google, la clé de sécurité est la plus sécurisée. Elle se branche sur le port USB de votre ordinateur ou se connecte à votre appareil mobile via NFC ou Bluetooth. En savoir plus
Si une clé de sécurité est enregistrée pour ce compte utilisateur, cliquez sur la section Clés de sécurité pour savoir quand la clé a été ajoutée et à quand remonte sa dernière utilisation.
Ajouter une clé
Vous pouvez ajouter une clé de sécurité à un compte utilisateur ou laisser l'utilisateur ajouter lui-même sa propre clé.
- Pour autoriser les utilisateurs à ajouter leur propre clé :
- Assurez-vous que l'option "Ignorer le mot de passe" est désactivée pour les utilisateurs. Pour connaître la procédure à suivre, consultez Activer ou désactiver l'option "Ignorer les mots de passe" pour les utilisateurs.
- Demandez aux utilisateurs de suivre les instructions de l'article Utiliser une clé de sécurité pour la validation en deux étapes.
- Pour ajouter une clé au compte de l'utilisateur, procédez comme suit :
- Cliquez sur Clés de sécuritéAjouter une clé de sécurité.
- Suivez les instructions à l'écran.
Remarque : Si vous avez inséré une clé de sécurité dans votre ordinateur, retirez-la avant d'en enregistrer une nouvelle pour un compte utilisateur.
- Cliquez sur OK.
Supprimer une clé
Une clé de sécurité doit uniquement être supprimée lorsqu'elle est perdue. Si une clé est temporairement indisponible, vous pouvez générer des codes de sécurité en guise de solution de remplacement temporaire. Consultez Obtenir des codes de validation de supplémentaires pour un utilisateur.
- Cliquez sur Clés de sécurité pour afficher le tableau d'informations de la clé.
- Faites défiler le tableau complètement vers la droite.
- Pointez sur la ligne du tableau correspondant à la clé que vous souhaitez supprimer, puis cliquez sur Supprimer à droite.
- Cliquez sur Supprimer Supprimer.
- Cliquez sur OK.
Les événements du journal d'administration ajoutent une entrée chaque fois que vous révoquez une clé de sécurité.
Remarque : Vous pouvez exiger l'utilisation de clés de sécurité par les utilisateurs pour la validation en deux étapes.
En tant qu'administrateur, vous pouvez vérifier l'état de l'inscription à la Protection Avancée d'un utilisateur et, si nécessaire, le désinscrire au niveau de l'utilisateur.
- L'état Activé signifie que l'utilisateur est actuellement inscrit au programme Protection Avancée.
- L'état Désactivé signifie que l'utilisateur n'est pas inscrit au programme Protection Avancée.
Si vous désactivez l'inscription à la Protection Avancée ici, seul l'utilisateur pourra se réinscrire, à condition que le paramètre Activer l'enregistrement des utilisateurs soit activé sous Sécurité Authentification Programme Protection Avancée. Pour en savoir plus, consultez Autoriser les utilisateurs à s'inscrire au programme.
Seul l'utilisateur peut activer la validation en deux étapes. En tant qu'administrateur, vous pouvez consulter le paramètre actuel de la validation en deux étapes d'un utilisateur et, si nécessaire, obtenir un code de secours pour un compte utilisateur bloqué.
La section Validation en deux étapes indique si l'option est activée pour l'utilisateur et si elle est actuellement appliquée dans l'ensemble de votre organisation.
- Vous avez la possibilité de désactiver l'option de validation en deux étapes pour un compte utilisateur bloqué, mais ce n'est pas recommandé. À la place, générez un code de secours pour l'utilisateur afin de lui permettre de se connecter à son compte.
Remarque : Vous ne pouvez pas désactiver la validation en deux étapes pour un utilisateur si son compte est suspendu.
- Si la validation en deux étapes est appliquée dans l'ensemble de votre organisation, l'option permettant de la désactiver pour un utilisateur spécifique n'est pas disponible.
Les utilisateurs qui perdent temporairement leur deuxième méthode d'authentification risquent de perdre l'accès à leur compte. Par exemple, il peut arriver qu'un utilisateur oublie sa clé de sécurité chez lui ou ne puisse pas recevoir de code d'accès par téléphone. Pour ces utilisateurs, vous pouvez générer des codes de validation de secours afin de leur permettre de se connecter.
- Pour afficher les codes de validation supplémentaires de l'utilisateur, cliquez sur Validation en deux étapes Recevoir des codes de validation de secours.
Remarque : La création de nouveaux codes de validation invalide les codes existants. Par exemple, si vous avez créé le code de validation d'un utilisateur dans la console d'administration, puis que vous en générez un autre à l'aide de verificationCodes, le jeu de codes précédent est invalidé (et inversement). - Copiez l'un des codes de secours existants ou générez-en de nouveaux. Remarque : Sélectionnez Générer de nouveaux codes si vous pensez que les codes de secours existants ont été volés ou utilisés pour un autre compte. L'ancien jeu de codes de secours est automatiquement désactivé.
- Demandez à l'utilisateur de suivre les instructions de Se connecter à l'aide de codes de secours.
Si l'utilisateur doit utiliser la validation en deux étapes avec une clé de sécurité:
- L'utilisateur ne peut pas générer ses propres codes de validation de supplémentaires. Un administrateur doit générer ces codes et les fournir à l'utilisateur si nécessaire.
- Une fois que vous avez généré des codes pour l'utilisateur, le délai de grâce pour l'utilisation de ces codes commence. Vous serez informé du délai de grâce restant avant qu'il ne doive utiliser sa clé de sécurité pour se connecter.
Pour savoir comment configurer les exigences de validation en deux étapes pour les utilisateurs, consultez Déployer la validation en deux étapes.
Si vous pensez que le mot de passe d'un utilisateur a été piraté, vous pouvez l'obliger à réinitialiser son mot de passe à la prochaine connexion.
- Cliquez sur Exiger un nouveau mot de passe Activer .
- Cliquez sur OK.
Une fois que l'utilisateur a réinitialisé son mot de passe, le paramètre est automatiquement désactivé.
Remarque : Si votre organisation utilise l'authentification unique via un fournisseur d'identité tiers, le paramètre de changement de mot de passe forcé n'est disponible que si vous utilisez un masque de réseau pour autoriser certains utilisateurs à se connecter directement à Workspace. Pour vérifier si un masque de réseau est configuré, accédez à SécuritéSSO avec des fournisseurs d'identité tiersProfil SSO pour votre organisation.
Si Google soupçonne une tentative d'accès non autorisée au compte d'un utilisateur, une question d'authentification à la connexion s'affiche avant que l'accès au compte ne soit accordé. L'utilisateur doit, au choix :
- saisir le code de validation que Google envoie sur son numéro de téléphone ou son adresse e-mail de récupération, adresse n'appartenant pas à votre organisation ;
- répondre à une question d'authentification dont seul le titulaire du compte connaît la réponse.
Pour ajouter ou modifier les informations de récupération d'un utilisateur :
- Cliquez sur Informations de récupération.
- Ajoutez ou modifiez l'un des éléments suivants :
- Adresse e-mail n'appartenant pas à votre organisation
- Numéro de téléphone de récupération
Remarque: Le numéro de téléphone de récupération doit être propre à chaque utilisateur. Si un même numéro est utilisé par plusieurs utilisateurs, il est automatiquement bloqué pour des raisons de sécurité.
- Cliquez sur Enregistrer.
Si Google soupçonne une tentative d'accès non autorisée au compte d'un utilisateur, une question d'authentification à la connexion s'affiche avant que l'accès au compte ne soit accordé. L'utilisateur doit alors saisir un code de validation que Google lui envoie sur son téléphone. Il peut aussi choisir de répondre à une autre question dont seul le titulaire du compte connaît la réponse.
Par ailleurs, si un utilisateur Google Workspace tente d'effectuer une action sensible, il peut être invité à confirmer son identité. S'il ne peut pas saisir les informations demandées, Google interdit l'action sensible.
Si l'utilisateur autorisé ne peut pas valider son identité, vous pouvez désactiver les questions d'authentification à la connexion pendant 10 minutes pour permettre à l'utilisateur de se connecter.
Lorsqu'un utilisateur perd son ordinateur ou son appareil mobile, vous pouvez empêcher les accès non autorisés à son compte Google en réinitialisant ses cookies de connexion. L'utilisateur est alors déconnecté de son compte Google, ainsi que de toutes les applications Google Workspace, sur tous les appareils et navigateurs.
Remarque : Si vous avez suspendu un compte utilisateur, veuillez ignorer ces étapes. Le fait de suspendre le compte d'un utilisateur réinitialise ses cookies de connexion.
Si vous avez configuré l'authentification unique via un fournisseur d'identité tiers, il se peut que la session d'authentification unique de l'utilisateur lui donne encore accès à son compte Google malgré la réinitialisation des cookies. Dans ce cas, mettez fin à sa session d'authentification unique avant de réinitialiser ses cookies de connexion Google. Pour en savoir plus sur la gestion de l'authentification unique, contactez l'équipe d'assistance de votre fournisseur d'identité.
Pour réinitialiser les cookies de l'utilisateur :
- Cliquez sur Cookies de connexionRéinitialiser.
- Cliquez sur OK.
La déconnexion de l'utilisateur des sessions Gmail en cours peut prendre jusqu'à une heure. Le temps nécessaire à la déconnexion des autres applications est variable.
Si vos utilisateurs ont recours à la validation en deux étapes et doivent se connecter à des applications ou appareils n'acceptant pas les codes de validation, ils ont besoin de mots de passe spécifiques pour y accéder. En savoir plus sur la connexion avec des mots de passe d'application
Toutes les applications pour lesquelles l'utilisateur a créé un mot de passe sont répertoriées dans la section Mot de passe spécifique à une application. Remarque : Si l'utilisateur n'utilise aucun mot de passe d'application, cette section est inactive.
Cliquez sur le nom d'une application pour savoir quand son mot de passe a été créé et utilisé pour la dernière fois.
Nous vous recommandons de révoquer un mot de passe d'application dans le cas où l'utilisateur perd un appareil ou cesse d'utiliser une application qui bénéficiait d'un accès autorisé avec ce mot de passe.
- Cliquez sur la section Mot de passe spécifique à une application pour afficher les applications qui utilisent des mots de passe d'application.
- Passez la souris sur le nom d'une application, puis cliquez sur Révoquer à droite.
- Cliquez sur Révoquer.
- Cliquez sur OK.
Vos utilisateurs peuvent également révoquer leurs propres mots de passe d'application.
La section Applications connectées répertorie toutes les applications tierces (par exemple, les applications Google Workspace Marketplace) ayant accès aux données du compte Google de cet utilisateur. Découvrez le fonctionnement de l'accès autorisé.
Remarque : Si aucune application tierce n'a été installée, cette section est inactive.
Cliquez sur le nom d'une application pour en savoir plus :
- La colonne Niveau d'accès affiche les données utilisateur auxquelles l'application peut accéder. Un utilisateur peut accorder un accès total ou partiel à ses données Google.
- La colonne Date d'autorisation indique quand l'application a été autorisée à accéder aux données.
Pour supprimer temporairement l'accès d'une application aux données, procédez comme suit :
- Passez la souris sur le nom d'une application, puis cliquez sur Supprimer à droite.
- Cliquez sur Supprimer.
- Cliquez sur OK.
Remarque : La suppression de l'accès d'une application aux données n'empêche pas l'utilisateur d'utiliser cette application à l'avenir (pour peu qu'il dispose des autorisations nécessaires). Dès que l'utilisateur se connecte de nouveau à l'application, l'accès aux données est rétabli. Pour interdire définitivement l'accès des utilisateurs à certaines applications, vous pouvez bloquer l'accès à des habilitations spécifiques et définir une liste d'autorisation d'applications approuvées dans votre organisation.
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.