Protéger les comptes Google Workspace à l'aide de questions d'authentification

Voici quelques exemples d'actions sensibles :

• Désactiver la validation en deux étapes
• Autoriser une application à accéder aux données Google
• Modifier l'adresse e-mail ou le numéro de téléphone de récupération du compte
• Télécharger les données du compte
• Modifier le nom associé au compte

L'utilisateur se voit présenter une question d'authentification en cas de détection d'une connexion suspecte, par exemple s'il ne suit pas son schéma de connexion habituel. Un utilisateur se voit demander une validation d'identité dans une session présentant un risque lors d'une tentative d'action sensible.

Important : Google détermine la question d'authentification à présenter à un utilisateur en fonction de différents facteurs de sécurité et d'utilisation. Par exemple, la question d'authentification portant sur l'ID d'employé peut ne pas toujours être présentée à un utilisateur spécifique, même si vous l'avez activée.

La validation en deux étapes est un type de question d'authentification à la connexion. En tant qu'administrateur, vous pouvez en forcer l'application pour vos utilisateurs, afin d'éviter de définir un autre type de question d'authentification en cas de risque.

Si vous n'appliquez pas la validation en deux étapes pour vos utilisateurs, ou si elle n'est pas activée pour certains d'entre eux, Google détermine la question d'authentification à leur présenter en fonction de différents facteurs de sécurité et d'utilisation. Par exemple, la question d'authentification portant sur l'ID d'employé peut ne pas toujours être présentée à un utilisateur spécifique, même si vous l'avez activée.

Oui. Pour en savoir plus, consultez Définir un numéro de téléphone ou une adresse e-mail de récupération.

La validation en deux étapes est un type de question d'authentification à la connexion. Lorsqu'elle est activée par vos utilisateurs, ils n'ont pas besoin de répondre à une autre question d'authentification à la connexion. De même, Admin Reports affiche chaque instance de la validation en deux étapes comme une question d'authentification à la connexion distincte.

Cela dépend de la configuration de l'authentification unique dans votre organisation :

• Si vous avez configuré un profil SSO pour votre organisation : par défaut, les questions d'authentification à la connexion ne sont pas activées. Toutefois, vous pouvez configurer la validation post-authentification unique pour autoriser des questions d'authentification supplémentaires en cas de risque de sécurité et la validation en deux étapes, si elle est configurée.
• Si vous utilisez un autre profil SSO : toute question d'authentification à la connexion supplémentaire (y compris la validation en deux étapes, si elle est configurée) est automatiquement appliquée.

Oui, les questions secrètes et d'authentification supplémentaires sont incluses dans toutes les éditions Google Workspace.

Lorsqu'une connexion est identifiée par notre système d'analyse des risques comme étant différente du comportement habituel de l'utilisateur, nous déterminons si elle est suspecte ou non. Par exemple, un utilisateur peut essayer de se connecter depuis un lieu inhabituel ou d'une manière considérée comme un abus.

Oui, il existe plusieurs types de questions d'authentification à la connexion. Selon les informations disponibles pour le compte d'un utilisateur, les questions d'authentification présentées aux utilisateurs varient, et peuvent par exemple requérir la saisie de leur ID d'employé ou de leur adresse e-mail de récupération. Si un utilisateur n'a pas accès à son téléphone, il peut se connecter à l'aide de codes de secours. Pour en savoir plus, consultez l'article Se connecter à l'aide de codes de secours.

L'utilisateur peut modifier les informations de récupération en accédant aux paramètres du compte.

Si les utilisateurs ne saisissent pas leur numéro de téléphone de récupération, d'autres questions d'authentification leur seront posées. Ils devront par exemple indiquer leur adresse e-mail de récupération ou leur ID d'employé.

Oui, un administrateur peut désactiver la question d'authentification à la connexion ou la validation d'identité pendant 10 minutes. 

Dans certaines situations, un utilisateur autorisé n'est pas en mesure de confirmer son identité. Par exemple, il peut se trouver dans une zone où il n'y a pas de réseau et donc ne pas recevoir le code de validation sur son téléphone portable. Il peut également ne pas se souvenir de son ID d'employé ou ne pas savoir où le trouver. Si cela se produit, en tant que super-administrateur, vous pouvez désactiver la question d'authentification à la connexion ou la validation d'identité pendant 10 minutes pour lui permettre de se connecter ou d'effectuer l'action sensible. Soyez prudent lorsque vous désactivez les questions d'authentification à la connexion ou la validation d'identité, car le compte est moins protégé contre les pirates informatiques durant cette période de 10 minutes.

Non. Vous ne pouvez pas désactiver cette fonctionnalité pour l'ensemble de votre entreprise. Cependant, vous pouvez la désactiver temporairement pour un utilisateur en particulier.

Non, seul un administrateur peut désactiver temporairement les questions d'authentification.

En tant qu'administrateur, vous pouvez récupérer l'accès à votre compte en suivant les instructions de la page de connexion afin de réinitialiser votre mot de passe.

Si vous êtes un administrateur Google Workspace et que vous rencontrez des difficultés pour vous connecter à votre compte administrateur, consultez Récupérer l'accès administrateur à votre compte pour obtenir des instructions.

Si un super-administrateur ne peut pas valider son identité, un autre super-administrateur peut, le cas échéant, désactiver temporairement la question d'authentification à la connexion pour son compte, en suivant la procédure décrite ci-dessus.

Les super-administrateurs peuvent également contourner la question d'authentification à la connexion en réinitialisant leur mot de passe.

Remarque : Les super-administrateurs n'ont pas tous accès à l'option automatisée de réinitialisation du mot de passe. Pour en savoir plus sur la récupération d'un compte administrateur, consultez l'article Ajouter des options de récupération à votre compte administrateur.