คุณและผู้ใช้มีบทบาทสำคัญในการตั้งค่าการยืนยันแบบ 2 ขั้นตอน (2SV) โดยผู้ใช้จะเลือกวิธีการยืนยันแบบ 2 ขั้นตอนเอง หรือคุณจะบังคับใช้วิธีดังกล่าวกับผู้ใช้บางรายหรือบางกลุ่มในองค์กรก็ได้ เช่น คุณสามารถกำหนดให้ทีมขนาดเล็กในฝ่ายขายใช้คีย์ความปลอดภัยได้
ขั้นตอนที่ 1: แจ้งให้ผู้ใช้ทราบเรื่องการใช้งานการยืนยันแบบ 2 ขั้นตอน
ก่อนที่จะใช้งานการยืนยันแบบ 2 ขั้นตอน ให้แจ้งแผนของบริษัทให้ผู้ใช้ทราบ ซึ่งประกอบด้วย
- การยืนยันแบบ 2 ขั้นตอนคืออะไรและสาเหตุใดที่บริษัทใช้วิธีการนี้
- บริษัทบังคับหรือไม่บังคับให้ใช้การยืนยันแบบ 2 ขั้นตอน
- หากจำเป็น ให้ระบุวันที่ที่ผู้ใช้ต้องเปิดใช้การยืนยันแบบ 2 ขั้นตอน
- บริษัทบังคับหรือแนะนำให้ใช้วิธีการยืนยันแบบ 2 ขั้นตอนแบบใด
ขั้นตอนที่ 2: อนุญาตให้ผู้ใช้เปิดการยืนยันแบบ 2 ขั้นตอน
บัญชีผู้ใช้ที่สร้างก่อนเดือนธันวาคม 2016 จะเปิดใช้การยืนยันแบบ 2 ขั้นตอนโดยค่าเริ่มต้น
ให้ผู้ใช้เปิดการยืนยันแบบ 2 ขั้นตอนและใช้วิธีการยืนยันใดก็ได้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู
ความปลอดภัย
การตรวจสอบสิทธิ์
- หากต้องการใช้การตั้งค่ากับทุกคน ให้เลือกหน่วยขององค์กรระดับบนสุด หรือเลือกหน่วยขององค์กรย่อยหรือกลุ่มการกำหนดค่า
- เลือกช่องอนุญาตให้ผู้ใช้เปิดการยืนยันแบบ 2 ขั้นตอน
- เลือกการบังคับใช้
- คลิกบันทึก หากกำหนดค่าหน่วยขององค์กรหรือกลุ่มไว้แล้ว คุณอาจรับค่าหรือลบล้างหน่วยขององค์กรระดับบนสุด หรือยกเลิกการตั้งค่ากลุ่มได้
ขั้นตอนที่ 3: แจ้งให้ผู้ใช้ลงทะเบียนการยืนยันแบบ 2 ขั้นตอน
- แจ้งให้ผู้ใช้ลงทะเบียนการยืนยันแบบ 2 ขั้นตอนโดยทำตามวิธีการในหัวข้อเปิดการยืนยันแบบ 2 ขั้นตอน
- ให้คำแนะนำในการลงทะเบียนวิธีการยืนยันแบบ 2 ขั้นตอน ดังนี้
ขั้นตอนที่ 4: ติดตามการลงทะเบียนของผู้ใช้
ใช้รายงานเพื่อวัดและติดตามการลงทะเบียนการยืนยันแบบ 2 ขั้นตอนของผู้ใช้ ตรวจสอบสถานะการลงทะเบียน สถานะการบังคับใช้ และจำนวนคีย์ความปลอดภัยของผู้ใช้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู
การรายงาน
- (ไม่บังคับ) หากต้องการเพิ่มคอลัมน์ข้อมูลใหม่ ให้คลิกการตั้งค่า
โปรดดูข้อมูลเพิ่มเติมที่หัวข้อจัดการการตั้งค่าความปลอดภัยของผู้ใช้
ดูแนวโน้มการลงทะเบียน
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่รายงาน
ระบุหน่วยขององค์กรและกลุ่มที่ไม่ได้ใช้การยืนยันแบบ 2 ขั้นตอน
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู
-
ค้นหาความปลอดภัยของระบบ แล้วดูที่ส่วนการยืนยันแบบ 2 ขั้นตอนสำหรับผู้ดูแลระบบ หรือการยืนยันแบบ 2 ขั้นตอนสำหรับผู้ใช้เพื่อตรวจสอบข้อมูลการยืนยันแบบ 2 ขั้นตอน
ขั้นตอนที่ 5: บังคับใช้การยืนยันแบบ 2 ขั้นตอน (ไม่บังคับ)
ก่อนเริ่มต้น: โปรดตรวจสอบว่าผู้ใช้ได้ลงทะเบียนการยืนยันแบบ 2 ขั้นตอนแล้ว
ข้อสำคัญ: เมื่อบังคับใช้การยืนยันแบบ 2 ขั้นตอนแล้ว ผู้ใช้ที่ไม่ได้ลงทะเบียนการยืนยันแบบ 2 ขั้นตอนให้เสร็จสิ้น แต่ได้เพิ่มการตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA) ลงในบัญชี เช่น คีย์ความปลอดภัยหรือหมายเลขโทรศัพท์ จะลงชื่อเข้าใช้ด้วยข้อมูลนี้ได้ หากพบการลงชื่อเข้าใช้จากผู้ใช้ที่ไม่ได้ลงทะเบียนซึ่งอยู่ในหน่วยขององค์กรที่บังคับใช้การยืนยันแบบ 2 ขั้นตอน แสดงว่าเป็นการลงชื่อเข้าใช้ด้วยวิธีการดังกล่าว โปรดดูรายละเอียดที่หัวข้อสถานะการยืนยันแบบ 2 ขั้นตอนที่ลงทะเบียนครึ่งหนึ่ง
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู
- หากต้องการใช้การตั้งค่ากับทุกคน ให้เลือกหน่วยขององค์กรระดับบนสุด หรือเลือกหน่วยขององค์กรย่อยหรือกลุ่มการกำหนดค่า
- คลิกอนุญาตให้ผู้ใช้เปิดการยืนยันแบบ 2 ขั้นตอน
- ในส่วนการบังคับใช้ ให้เลือกตัวเลือกต่อไปนี้
- เปิด - เริ่มทันที
- เปิดการบังคับใช้นับจากวันที่ - เลือกวันที่เริ่มต้น ผู้ใช้จะเห็นการแจ้งเตือนให้ลงทะเบียนการยืนยันแบบ 2 ขั้นตอนเมื่อลงชื่อเข้าใช้
หมายเหตุ: เมื่อใช้ตัวเลือกเปิดตั้งแต่วันที่ การบังคับใช้จะเริ่มภายใน 24-48 ชั่วโมงของวันที่เลือก หากต้องการเริ่มต้นการบังคับใช้ในเวลาที่แน่นอน ให้ใช้ตัวเลือกเปิด
- (ไม่บังคับ) หากต้องการให้พนักงานใหม่มีเวลาในการลงทะเบียนก่อนที่จะเริ่มการบังคับใช้กับบัญชี ให้เลือกกรอบเวลาตั้งแต่ 1 วันถึง 6 เดือนในส่วนระยะเวลาการลงทะเบียนผู้ใช้ใหม่
โดยที่ในช่วงเวลานี้ ผู้ใช้จะลงชื่อเข้าใช้โดยใช้เพียงรหัสผ่านได้ - (ไม่บังคับ) หากต้องการให้ผู้ใช้หลีกเลี่ยงการตรวจสอบการยืนยันแบบ 2 ขั้นตอนซ้ำในอุปกรณ์ที่เชื่อถือได้ ให้เลือกช่องอนุญาตให้ผู้ใช้เชื่อถืออุปกรณ์ในส่วนความถี่
ครั้งแรกที่ลงชื่อเข้าใช้จากอุปกรณ์ใหม่ ผู้ใช้สามารถเลือกช่องนี้เพื่อเชื่อถืออุปกรณ์ได้ จากนั้นระบบจะไม่แจ้งให้ผู้ใช้ยืนยันแบบ 2 ขั้นตอนในอุปกรณ์ดังกล่าว เว้นแต่ว่าผู้ใช้จะล้างข้อมูลคุกกี้หรือเพิกถอนอุปกรณ์ หรือคุณรีเซ็ตคุกกี้การลงชื่อเข้าใช้ของผู้ใช้
เราไม่แนะนำให้ผู้ใช้หลีกเลี่ยงการยืนยันแบบ 2 ขั้นตอนในอุปกรณ์ที่เชื่อถือได้ เว้นแต่ผู้ใช้จะเปลี่ยนอุปกรณ์บ่อย - ในส่วนวิธีการ ให้เลือกวิธีการบังคับใช้ดังต่อไปนี้
- วิธีใดก็ได้ - ผู้ใช้จะตั้งค่าการยืนยันแบบ 2 ขั้นตอนวิธีใดก็ได้
- วิธีใดก็ได้ยกเว้นการยืนยันรหัสด้วย SMS หรือการโทร - ผู้ใช้จะตั้งค่าการยืนยันแบบ 2 ขั้นตอนด้วยวิธีใดก็ได้ยกเว้นการรับรหัสยืนยันทางโทรศัพท์
สำคัญ: ผู้ใช้ที่ใช้การยืนยันทาง SMS หรือการโทรจะถูกล็อกไม่ให้ใช้งานบัญชี วิธีหลีกเลี่ยงการล็อกไม่ให้ผู้ใช้เหล่านี้ใช้งานบัญชีมีดังนี้- ก่อนการบังคับใช้ โปรดแจ้งให้ผู้ใช้เริ่มใช้วิธีการยืนยันแบบ 2 ขั้นตอนวิธีอื่น เนื่องจากรหัสยืนยันแบบ 2 ขั้นตอนจะใช้ในโทรศัพท์ไม่ได้หลังจากวันที่บังคับใช้
- คุณสามารถใช้แอตทริบิวต์ login_verification ในเหตุการณ์ในบันทึกของผู้ใช้เพื่อติดตามผู้ใช้ที่ใช้รหัสจาก SMS หรือการโทรได้ หากพารามิเตอร์ login_challenge_method มีค่าเป็น idv_preregistered_phone หมายความว่าผู้ใช้ตรวจสอบสิทธิ์ด้วยรหัสยืนยันทาง SMS หรือโทรศัพท์
- คีย์ความปลอดภัยเท่านั้น - ผู้ใช้จะต้องตั้งค่าคีย์ความปลอดภัย
ก่อนเลือกวิธีการบังคับใช้นี้ ให้ค้นหาผู้ใช้ที่ตั้งค่าคีย์ความปลอดภัยไว้แล้ว (ข้อมูลรายงานอาจล่าช้าถึง 48 ชั่วโมง) หากต้องการดูสถานะการยืนยันแบบ 2 ขั้นตอนแบบเรียลไทม์สำหรับผู้ใช้แต่ละราย โปรดดูหัวข้อจัดการการตั้งค่าความปลอดภัยของผู้ใช้
สำคัญ: จากการเพิ่มพาสคีย์ ตอนนี้ตัวเลือกคีย์ความปลอดภัยเท่านั้นจึงรองรับทั้งคีย์ความปลอดภัยและพาสคีย์เป็นวิธีการยืนยันแบบ 2 ขั้นตอน ซึ่งทั้งพาสคีย์และคีย์ความปลอดภัยมีการป้องกันฟิชชิงในระดับเดียวกัน โปรดดูรายละเอียดที่หัวข้อลงชื่อเข้าใช้ด้วยพาสคีย์แทนการใช้รหัสผ่าน
- หากเลือกคีย์ความปลอดภัยเท่านั้น ให้กำหนดระยะเวลาผ่อนผันของการระงับตามนโยบายการยืนยันแบบ 2 ขั้นตอน
ระยะเวลาผ่อนผันนี้จะให้ผู้ใช้ลงชื่อเข้าใช้ด้วยรหัสยืนยันสำรองที่คุณสร้างขึ้นให้ผู้ใช้ ซึ่งจะมีประโยชน์เมื่อผู้ใช้ทำคีย์ความปลอดภัยหาย โดยให้เลือกระยะเวลาผ่อนผันซึ่งจะเริ่มต้นเมื่อคุณสร้างรหัสยืนยัน โปรดดูข้อมูลเกี่ยวกับรหัสสำรองที่หัวข้อรับรหัสยืนยันสำรองให้ผู้ใช้ - ในส่วนรหัสความปลอดภัย ให้เลือกว่าผู้ใช้จะลงชื่อเข้าใช้ด้วยรหัสความปลอดภัยได้หรือไม่
- ไม่อนุญาตให้ผู้ใช้สร้างรหัสความปลอดภัย - ผู้ใช้จะสร้างรหัสความปลอดภัยไม่ได้
- อนุญาตรหัสความปลอดภัยที่ไม่มีการเข้าถึงระยะไกล - ผู้ใช้จะสร้างรหัสความปลอดภัยและใช้รหัสดังกล่าวในอุปกรณ์หรือเครือข่ายในระบบเดียวกัน (NAT หรือ LAN) ได้
- อนุญาตรหัสความปลอดภัยที่มีการเข้าถึงระยะไกล - ผู้ใช้จะสร้างรหัสความปลอดภัยและใช้รหัสดังกล่าวในอุปกรณ์หรือเครือข่ายอื่นๆ ได้ เช่น เมื่อเข้าถึงเซิร์ฟเวอร์ระยะไกลหรือเครื่องเสมือน
รหัสความปลอดภัยนั้นต่างจากรหัสแบบใช้ครั้งเดียวที่สร้างในแอป เช่น Google Authenticator หากต้องการสร้างรหัสความปลอดภัย ผู้ใช้ก็แตะคีย์ความปลอดภัยในอุปกรณ์เพื่อสร้างรหัสดังกล่าวได้ โดยรหัสความปลอดภัยจะมีอายุ 5 นาที
- คลิกบันทึก หากกำหนดค่าหน่วยขององค์กรหรือกลุ่มไว้แล้ว คุณอาจรับค่าหรือลบล้างหน่วยขององค์กรระดับบนสุด หรือยกเลิกการตั้งค่ากลุ่มได้
หากผู้ใช้ไม่ได้ปฏิบัติตามภายในวันบังคับใช้ที่กำหนด
คุณสามารถขยายเวลาให้ผู้ใช้ลงทะเบียนได้โดยเพิ่มผู้ใช้ลงในกลุ่มที่ไม่ได้บังคับใช้การยืนยันแบบ 2 ขั้นตอน แม้ว่าวิธีแก้ปัญหานี้จะอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ได้ แต่เราไม่แนะนำให้ใช้วิธีนี้เป็นวิธีมาตรฐาน โปรดดูวิธีหลีกเลี่ยงการล็อกบัญชีเมื่อมีการบังคับใช้การยืนยันแบบ 2 ขั้นตอน
