部署兩步驟驗證功能

為完成兩步驟驗證 (2SV) 設定，您和您的使用者須分別執行必要的操作。 使用者可以自行選擇兩步驟驗證方法，您也可以強制要求機構中的特定使用者或群組採用這項方法。舉例來說，您可以要求銷售部門中的某個團隊使用安全金鑰。

步驟 1：通知使用者兩步驟驗證部署作業的相關資訊

部署兩步驟驗證功能前，請先向使用者說明貴公司的計畫，包括：

• 關於兩步驟驗證的說明，及貴公司採用這個驗證方式的原因。
• 兩步驟驗證機制為選用或必要程序。
• 如有必要，請告知使用者須啟用兩步驟驗證的日期。
• 哪種兩步驟驗證方法為必要做法，哪種為建議措施。

步驟 2：允許使用者開啟兩步驟驗證功能

根據預設，在 2016 年 12 月前建立的使用者帳戶會啟用兩步驟驗證功能。

允許使用者開啟兩步驟驗證功能及使用任何任何驗證方法。

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台中，依序點選「選單」圖示  「安全性」「驗證」「兩步驟驗證」。

3. 如要為所有使用者套用設定，請選取頂層機構單位；如果只要為部分使用者套用設定，請選取子機構單位或配置群組。
4. 勾選「允許使用者開啟兩步驟驗證功能」方塊。
5. 依序選取「強制執行」「關閉」。
6. 按一下 [儲存]。如果您已設定某個機構單位或群組，或許可以沿用或覆寫上層機構單位的設定，或取消該群組的設定。

步驟 3：請使用者註冊兩步驟驗證功能

1. 請使用者按照開啟兩步驟驗證功能一文的操作說明註冊兩步驟驗證功能。
2. 提供註冊兩步驟驗證方法的操作說明：
   • 安全金鑰
   • Google 提示、簡訊或語音通話
   • Google Authenticator 應用程式
   • 備用碼

步驟 4：追蹤使用者的註冊情形

透過報告評估及追蹤使用者註冊兩步驟驗證功能的情形。確認使用者的註冊狀態、強制執行狀態和安全金鑰數量。

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台中，依序點選「選單」圖示 「報告」「使用者報告」「安全性」。
3. (選用) 如要新增資訊欄，請依序按一下「設定」圖示 「新增資料欄」。選取要新增至表格的資料欄，然後按一下「儲存」。

詳情請參閱「管理使用者的安全性設定」。

查看註冊趨勢

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台首頁中，依序前往「報告」「應用程式報告」「帳戶」。

找出未採用兩步驟驗證功能的機構單位和群組

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2.  在管理控制台中，依序點選「選單」圖示  「安全性」「安全中心」「安全性狀態」。
3. 在「安全性狀態」頁面中搜尋「管理員兩步驟驗證」或「使用者兩步驟驗證」，查看兩步驟驗證資訊。

步驟 5：強制執行兩步驟驗證 (選用)

事前準備：確認使用者已註冊兩步驟驗證。

重要事項：強制執行兩步驟驗證時，如果使用者尚未完成兩步驟驗證的註冊程序，但在帳戶中新增了雙重驗證 (2FA) 資訊 (例如安全金鑰或電話號碼)，他們將能使用這些資訊登入。如果某個未註冊使用者所屬的機構單位已強制執行兩步驟驗證，則該使用者登入帳戶的程序即為兩步驟驗證登入程序。 詳情請參閱「已註冊兩步驟驗證的狀態」。

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台中，依序點選「選單」圖示  「安全性」「驗證」「兩步驟驗證」。

3. 如要為所有使用者套用設定，請選取頂層機構單位；如果只要為部分使用者套用設定，請選取子機構單位或配置群組。
4. 按一下「允許使用者開啟兩步驟驗證功能」。
5. 在「強制執行」部分，選擇下列其中一個選項：
   • 啟用：立即開始。
   • 開啟「強制執行開始日期」設定：選取開始日期。系統會在使用者登入時提醒他們註冊兩步驟驗證。
     注意：使用「從以下日期開始開啟」選項時，系統會在所選日期後的 24 到 48 小時內開始強制執行。如需精確的開始時間，請使用「開啟」選項。
6. (選用) 如要讓新員工在系統為帳戶套用強制執行設定前有時間完成註冊程序，請在「新使用者註冊期限」選取 1 天到 6 個月的時間範圍。
   使用者在期限內只要使用密碼即可登入。
7. (選用) 如要避免使用者在信任的裝置上重複進行兩步驟驗證檢查程序，請勾選「頻率」下方的「允許使用者信任裝置」方塊。
   首次透過新裝置登入時，使用者可以勾選相關方塊選擇信任裝置。之後除非使用者清除 Cookie、撤銷裝置，或者您重設使用者的登入 Cookie，否則該裝置不會提示使用者進行兩步驟驗證。
   除非使用者經常切換使用的裝置，否則我們不建議讓使用者在信任的裝置上跳過兩步驟驗證。
8. 在「方法」部分選取強制執行方式：
   • 不限：使用者可以設定任何兩步驟驗證方法。
   • 透過簡訊或語音來電之外的其他方式接收驗證碼：使用者無法透過手機接收兩步驟驗證碼，但可以設定此方式以外的任何兩步驟驗證方法。
     重要事項：如果使用者透過簡訊和語音來電進行驗證，系統會鎖定他們的帳戶。如何避免這些使用者帳戶遭到鎖定：
     • 在強制執行前，請要求使用者開始採用其他兩步驟驗證方法，因為一旦過了強制執行日期，便無法透過手機取得兩步驟驗證碼。
     • 您可以使用使用者記錄事件中的 login_verification 屬性，追蹤使用簡訊或語音通話驗證碼的使用者。如果 login_challenge_method 參數的值為 idv_preregistered_phone，表示使用者是透過簡訊或語音驗證碼進行身分驗證。
   • 僅限安全金鑰：使用者必須設定安全金鑰。
     選取這個強制執行方法之前，請先找出已設定安全金鑰的使用者 (報告資料最多可能會有 48 小時的延遲時間)。如要查看個別使用者的兩步驟驗證即時註冊狀態，請參閱「管理使用者的安全性設定」。
     重要事項：由於我們加入了密碼金鑰，因此「僅限安全金鑰」選項現在支援使用安全金鑰和密碼金鑰做為兩步驟驗證方法。密碼金鑰和安全金鑰提供同等級的網路釣魚防護機制。詳情請參閱「改用密碼金鑰代替密碼登入帳戶」。
9. 如果您選取「僅限安全金鑰」，請設定「兩步驟驗證政策停權寬限期」。
   在寬限期內，使用者可以使用您為他們產生的備用驗證碼登入，這個方法在使用者遺失安全金鑰時非常有用。請選取寬限期的長度。寬限期會從您產生驗證碼的時候起算。如需備用碼相關資訊，請參閱「為使用者取得備用驗證碼」。
10. 在「安全碼」部分，選擇是否要允許使用者透過安全碼登入。
    • 禁止使用者產生安全碼：使用者無法產生安全碼。
    • 允許使用沒有遠端存取權的安全碼：使用者可產生適用於同一部裝置或區域網路 (NAT 或 LAN) 的安全碼。
    • 允許使用具備遠端存取權的安全碼：使用者可產生適用於各種裝置或網路 (例如存取遠端伺服器或虛擬機器時) 的安全碼。 
      安全碼不同於 Google Authenticator 這類應用程式產生的一次性代碼。如要產生安全碼，使用者應在要產生安全碼得裝置上輕觸安全金鑰。安全碼的有效期限是 5 分鐘。
11. 按一下 [儲存]。如果您已設定某個機構單位或群組，或許可以沿用或覆寫上層機構單位的設定，或取消該群組的設定。

如果使用者未於強制執行日期前按照相關規定操作

如要為使用者提供額外的註冊時間，請將他們加入不會強制執行兩步驟驗證的群組。雖然這個解決方法可讓使用者登入帳戶，我們還是不建議當成標準做法。請參閱這篇文章，瞭解如何避免帳戶在強制執行兩步驟驗證後遭到鎖定。

相關主題

查看機構的應用程式報告