Bestätigung in zwei Schritten

Google Workspace-Konten mit Sicherheitsmaßnahmen schützen

Sicherheitsmaßnahmen sind zusätzliche Maßnahmen zum Schutz der Nutzeridentität. Es gibt zwei Arten von Sicherheitsmaßnahmen:

  • Identitätsbestätigung: Wenn wir vermuten, dass sich ein nicht autorisierter Nutzer in einem Google Workspace-Konto anmelden möchte, erhält er eine Aufforderung zur Identitätsbestätigung. Wenn der Nutzer die angeforderten Informationen nicht eingeben kann, darf er sich nicht im Konto anmelden.
  • Nutzerbestätigung: Wenn ein Nutzer Aktionen versucht, die als vertraulich eingestuft werden, erhält er eine Aufforderung zur Nutzerbestätigung. Wenn der Nutzer die angeforderten Informationen nicht eingeben kann, wird die vertrauliche Aktion von Google abgelehnt. (Das Konto kann als normal weiterverwendet werden.)

Bevor Sie Sicherheitsmaßnahmen verwenden können

Achten Sie darauf, dass Ihre Google Workspace-Konten die erforderlichen Informationen bereitstellen können:

  • Erinnern Sie Ihre Mitarbeiter daran, ihrem Konto eine Telefonnummer und eine E-Mail-Adresse zur Kontowiederherstellung hinzuzufügen. Wir werden sie gelegentlich zur Hinzufügung dieser Informationen auffordern, wenn sie sich in ihren Konten anmelden.
  • Ihren Nutzerkonten Mitarbeiter-IDs hinzufügen. Weitere Informationen finden Sie unter Mitarbeiter-ID als Identitätsbestätigung einrichten.

Alle öffnen   |   Alle schließen

Arten der Identitätsbestätigung

Nutzer bestätigt seine Identität mit seinem Mobilgerät
 

Nutzer entscheidet, wie er seine Identität bestätigt


Google verwendet eine auf dem Smartphone des Nutzers installierte App, um seine Identität zu bestätigen


Google sendet eine SMS mit einem Bestätigungscode 


 Google ruft das Telefon des Nutzers an und stellt einen Bestätigungscode bereit

Der Nutzer gibt seine Mitarbeiter-ID ein.
Wenn Sie eine Mitarbeiter-ID als zusätzliche Identitätsbestätigung hinzugefügt haben, können Nutzer ihre Identität mit dieser ID bestätigen.
Der Nutzer gibt seine E-Mail-Adresse zur Kontowiederherstellung ein.
Ein Nutzer kann eine E-Mail-Adresse zur Kontowiederherstellung als Identitätsbestätigung eingeben. 

Nutzerbestätigung für vertrauliche Aktionen

Wenn ein Google Workspace-Nutzer eine vertrauliche Aktion ausführen möchte, erhält er möglicherweise eine Aufforderung zur Nutzerbestätigung. Wenn der Nutzer die angeforderten Informationen nicht eingeben kann, wird die vertrauliche Aktion von Google abgelehnt.

Vertrauliche Aktion blockiert

Bei den meisten Nutzern, die eine vertrauliche Aktion bestätigen müssen, wird ein Fenster mit der Überschrift Vertrauliche Aktion blockiert angezeigt. Der Nutzer wird aufgefordert, den Vorgang auf einem Gerät zu versuchen, das er normalerweise verwendet, wie auf seinem Smartphone oder Laptop, oder auf dem Gerät, von dem aus er sich normalerweise anmeldet.

Diese Aktion kann momentan nicht durchgeführt werden

Da einige Nutzer Geräte oder Sicherheitsschlüssel haben, die kürzlich zu ihrem Konto hinzugefügt wurden, können sie ihre Identität aufgrund einer Sicherheitsmaßnahme nicht sofort bestätigen. Diese Nutzer sehen ein Fenster mit dem Titel Diese Aktion kann momentan nicht durchgeführt werden. Diese Nutzer können ihre Identität bestätigen, nachdem ein Gerät, eine Telefonnummer oder ein Sicherheitsschlüssel mindestens sieben Tage lang mit ihrem Konto verknüpft war.

Beispiele für vertrauliche Aktionen

Hier einige Beispiele für sensible Aktionen:

  • Deaktivieren der Bestätigung in zwei Schritten
  • Apps den Zugriff auf Google-Daten gewähren
  • E-Mail-Adresse oder Telefonnummer zur Kontowiederherstellung ändern
  • Kontodaten herunterladen
  • Den Namen im Konto ändern

Identitätsbestätigungen mit Einmalanmeldung aktivieren

Wenn Ihre Organisation externe Identitätsanbieter (Identity Providers, IdPs) verwendet, um Nutzer mit der Einmalanmeldung (SSO) über SAML zu authentifizieren, können Sie diesen Nutzern zusätzliche risikoabhängige Identitätsbestätigungen anbieten und –falls konfiguriert – die Bestätigung in zwei Schritten anwenden, nachdem der IdP einen Nutzer während der Anmeldung authentifiziert hat.

Die Standardeinstellung für die Bestätigung nach der SSO hängt vom SSO-Nutzertyp ab:

  • Für Nutzer, die sich mit dem SSO-Profil für Ihre Organisation anmelden, ist die Standardeinstellung, zusätzliche Identitätsbestätigungen und die Bestätigung in zwei Schritten zu umgehen.
  • Für Nutzer, die sich über andere SSO-Profile anmelden, werden in der Standardeinstellung zusätzliche Identitätsbestätigungen und die Bestätigung in zwei Schritten angewendet.

Um die Standardeinstellungen für beide Nutzertypen zu ändern, folgen Sie der Anleitung unter Nach der SSO-Bestätigung einrichten unten.

Anwendungsfälle für zusätzliche Identitätsbestätigungen mit SSO
  • Sie möchten Sicherheitsschlüssel verwenden, um maximale Sicherheit zu gewährleisten und den Zugriff auf vertrauliche, von Google gehostete Ressourcen zu schützen. Ihr aktueller Identitätsanbieter unterstützt jedoch keine Sicherheitsschlüssel.
  • Sie möchten die Kosten für einen externen Identitätsanbieter sparen, da Nutzer in den meisten Fällen auf Google-Ressourcen zugreifen.
  • Sie möchten keine Google-Authentifizierung (Google als Identitätsanbieter), sondern alle risikoabhängigen Identitätsbestätigungen von Google nutzen.
  • Sie möchten, dass Google vertrauliche Aktionen in der Google-Umgebung schützt.
Was passiert, wenn Sie zusätzliche Identitätsbestätigungen verwenden?
Informieren Sie Ihre Nutzer über die neue Richtlinie und über die beabsichtigte Anwendung, um eine reibungslose Implementierung zu gewährleisten. Wenn Sie zusätzliche Identitätsbestätigungen bei der Anmeldung einsetzen, passiert Folgendes:
  • Wenn Sie Richtlinien für die Bestätigung in zwei Schritten haben (und diese beispielsweise erzwingen), gelten diese Richtlinien sofort.
  • Wenn Nutzer von der neuen Richtlinie betroffen und für die Bestätigung in zwei Schritten registriert sind, wird von ihnen bei der Anmeldung die Bestätigung in zwei Schritten verlangt.
  • Auf Grundlage der Risikoanalyse von Google sehen Nutzer bei der Anmeldung möglicherweise risikoabhängige Identitätsbestätigungen.
Identitätsbestätigung nach der Einmalanmeldung einrichten
  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannAuthentifizierungund dannIdentitätsbestätigungen.
  3. Wählen Sie links die Organisationseinheit aus, für die Sie die Richtlinie festlegen möchten.

    Wenn die Einstellungen für alle Nutzer in der Organisation gelten sollen, ist das die oberste Organisationsebene. Dabei gehen Einstellungen erst einmal von der übergeordneten Organisationseinheit auf die anderen über.

  4. Klicken Sie auf Identitätsbestätigung nach der Einmalanmeldung (SSO).
  5. Wählen Sie die Einstellungen entsprechend der Verwendung von SSO-Profilen in Ihrer Organisation aus. Sie können eine Einstellung für Nutzer anwenden, die das SSO-Profil für Ihre Organisation verwenden, sowie für Nutzer, die sich über andere SSO-Profile anmelden.
  6. Klicken Sie rechts unten auf Speichern.

    Google erstellt einen Eintrag im Audit-Log für die Admin-Konsole, um die Änderung der Richtlinie zu dokumentieren.

Hinweis: In seltenen Fällen sind Logereignisdaten nicht für alle Ereignisse vorhanden. Wir arbeiten an der Lösung dieses Problems.

FAQ

Zusätzliche Sicherheitsfragen und Identitätsbestätigung  |  Bestätigung der Telefonnummer  |  Identitätsbestätigung oder Sicherheitsmaßnahme deaktivieren  |  Administratoren

Zusätzliche Sicherheitsfragen und Identitätsbestätigung

Wann wird eine Sicherheitsmaßnahme angewendet?

Die Identitätsbestätigung wird verlangt, wenn eine verdächtige Anmeldung festgestellt wurde. Dies ist zum Beispiel der Fall, wenn das Anmeldeverhalten des Nutzers von seinem bisherigen Verhalten abweicht. Ein Nutzer erhält eine Nutzerbestätigung, wenn der Versuch einer vertraulichen Aktion zu einer riskanten Sitzung führt.

Wichtig: Google entscheidet, in welcher Form ein Nutzer seine Identität bestätigen muss. Dabei werden verschiedene Sicherheitsfaktoren und Gesichtspunkte der Nutzerfreundlichkeit berücksichtigt. Das bedeutet beispielsweise: Auch wenn Sie die Identitätsbestätigung durch Eingabe der Mitarbeiter-ID aktiviert haben, kann es vorkommen, dass Nutzer ihre Identität bei der Anmeldung auf andere Weise bestätigen müssen.

Kann ich als Administrator auswählen, welche Art von Identitätsbestätigung für meine Nutzer angezeigt werden soll?

Die Bestätigung in zwei Schritten ist eine Art der Identitätsbestätigung. Als Administrator können Sie für Ihre Nutzer die Bestätigung in zwei Schritten erzwingen. Dadurch werden ihnen keine weiteren Arten von risikobasierten Identitätsbestätigungen angezeigt.

Wenn Sie die Bestätigung in zwei Schritten für Ihre Nutzer nicht erzwingen oder wenn ein Nutzer sie nicht aktiviert hat, entscheidet Google, welche Art der Identitätsbestätigung für diesen Nutzer angemessen ist. Dabei werden verschiedene Sicherheitsfaktoren und Gesichtspunkte der Nutzerfreundlichkeit berücksichtigt. Das bedeutet beispielsweise: Auch wenn Sie die Identitätsbestätigung durch Eingabe der Mitarbeiter-ID aktiviert haben, kann es vorkommen, dass Nutzer ihre Identität bei der Anmeldung auf andere Weise bestätigen müssen.

Können Nutzer Wiederherstellungsinformationen aktualisieren?

Ja. Weitere Informationen finden Sie unter Telefonnummer oder E-Mail-Adresse zur Kontowiederherstellung einrichten

Wir verwenden die Bestätigung in zwei Schritten. Brauchen wir trotzdem die Identitätsbestätigung?

Die Bestätigung in zwei Schritten ist eine Art der Identitätsbestätigung. Wenn Ihre Nutzer sie aktiviert haben, werden von ihnen keine weiteren Identitätsbestätigungen verlangt. Aus diesem Grund wird auch in Administratorberichten jede Bestätigung in zwei Schritten als Identitätsbestätigung angezeigt​.​

Wie funktioniert die Identitätsbestätigung, wenn ich die SSO aktiviert habe?

Das hängt davon ab, wie Sie die SSO in Ihrer Organisation konfiguriert haben:

  • Wenn Sie für Ihre Organisation ein SSO-Profil konfiguriert haben: Standardmäßig sind keine Identitätsbestätigungen aktiviert. Sie können jedoch die Identitätsbestätigung nach der Einmalanmeldung (SSO) einrichten, um zusätzliche risikoabhängige Identitätsbestätigungen für die Authentifizierung und die Bestätigung in zwei Schritten zu ermöglichen, sofern sie konfiguriert sind.
  • Wenn Sie ein anderes SSO-Profil verwenden, werden alle zusätzlichen Identitätsbestätigungen (einschließlich Bestätigung in zwei Schritten) angewendet.
Ist die Funktion in den Education-Versionen verfügbar?

Ja, in allen Google Workspace-Versionen werden zusätzliche Sicherheitsfragen und die Identitätsbestätigung verwendet.

Wann stuft Google einen Anmeldeversuch als verdächtig ein?

Unser System zur Risikoanalyse stuft eine Anmeldung als verdächtig ein, wenn sie nicht dem üblichen Verhalten des Nutzers entspricht, also beispielsweise dann, wenn sich ein Nutzer von einem neuen Ort aus anmeldet oder die Verhaltensweise auf einen Missbrauch hindeutet.

Bestätigung per Telefon

Können meine Nutzer ihr Konto auch ohne geschäftlich genutztes Telefon bestätigen?

Ja, es gibt verschiedene Arten von Identitätsbestätigungen. Die Identitätsbestätigung richtet sich nach den Informationen, die für ein Nutzerkonto zur Verfügung stehen. Nutzer werden beispielsweise aufgefordert, ihre Mitarbeiter-ID oder die E-Mail-Adresse zur Kontowiederherstellung anzugeben. Hat ein Nutzer keinen Zugriff auf sein Smartphone, kann er sich über einen Back-up-Code anmelden. Weitere Informationen finden Sie im Hilfeartikel Mit Back-up-Codes anmelden.

Wie kann ein Nutzer die mit seinem Konto verknüpfte Telefonnummer oder E-Mail-Adresse zur Kontowiederherstellung ändern?

Diese Informationen lassen sich jederzeit in den Kontoeinstellungen aktualisieren.

Kann der Nutzer festlegen, dass zur Identitätsbestätigung andere Kriterien als die Telefonnummer zur Kontowiederherstellung verwendet werden sollen?

Wenn ein Nutzer seine Telefonnummer nicht angibt, sind alternative Identitätsbestätigungen verfügbar, etwa die Eingabe der Mitarbeiter-ID oder der E-Mail-Adresse zur Kontowiederherstellung.

Identitäts- oder Nutzerbestätigung deaktivieren

Kann ich die Identitäts- oder Nutzerbestätigung deaktivieren, wenn der Nutzer seine Identität nicht bestätigen kann?

Ja, ein Administrator kann die Identitätsbestätigung für zehn Minuten deaktivieren

Es kann vorkommen, dass ein autorisierter Nutzer nicht in der Lage ist, seine Identität zu bestätigen, z. B. wenn der Nutzer keinen Empfang hat und daher den Bestätigungscode nicht erhält oder wenn der Nutzer seine Mitarbeiter-ID nicht parat hat. In diesem Fall können Sie als Super Admin die Identitäts- oder Nutzerbestätigung für zehn Minuten deaktivieren, damit sich der Nutzer anmelden oder die vertrauliche Aktion ausführen kann. Seien Sie vorsichtig beim Deaktivieren der Identitäts- oder Nutzerbestätigung, da das Konto während des 10-minütigen Zeitfensters weniger gut vor Kontodiebstahl geschützt ist.

Kann ich die Identitäts- oder Nutzerbestätigung für meine Organisation deaktivieren?

Nein, diese Funktion lässt sich nicht für Ihre gesamte Organisation deaktivieren. Dies ist nur zeitlich begrenzt für einzelne Nutzer möglich.

Kann ein Nutzer die Funktion über seine Kontoeinstellungen selbst deaktivieren?

Nein, nur ein Administrator kann die Identitätsbestätigung oder Sicherheitsmaßnahmen vorübergehend deaktivieren.

Identitätsbestätigungen für Administratoren

Wie erhält ein Administrator, der seine Identität nicht bestätigen kann, Zugriff auf sein Konto?

Als Administrator können Sie wieder Zugriff auf Ihr Konto erhalten, indem Sie der Anleitung zum Zurücksetzen des Passworts auf der Anmeldeseite folgen.

Wenn Sie Google Workspace-Administrator sind und Probleme bei der Anmeldung in Ihrem Administratorkonto haben, lesen Sie die Informationen unter Administratorzugriff auf Ihr Konto wiederherstellen.

Was geschieht, wenn ein Super Admin seine Identität nicht bestätigen kann?

In diesem Fall kann ein anderer Super Admin die Identitätsbestätigung wie oben beschrieben vorübergehend deaktivieren.

Der Super Admin kann außerdem sein Passwort zurücksetzen und die Identitätsbestätigung auf diese Weise umgehen.

Hinweis: Die Option zum automatischen Zurücksetzen des Passworts ist nicht für alle Super Admins verfügbar. Weitere Informationen zur Wiederherstellung des Administratorkontos finden Sie im Hilfeartikel Meinem Administratorkonto Wiederherstellungsoptionen hinzufügen.

War das hilfreich?

Wie können wir die Seite verbessern?
Suche
Suche löschen
Suche schließen
Hauptmenü
1520511738706672424
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false