Validation en deux étapes

Protéger les comptes Google Workspace à l'aide de questions d'authentification

Les questions d'authentification sont des mesures de sécurité supplémentaires qui permettent de valider l'identité d'un utilisateur. Il existe deux types de questions d'authentification :

  • Question d'authentification à la connexion : si nous soupçonnons une tentative de connexion à un compte Google Workspace par un utilisateur non autorisé, il sera invité à répondre à une question d'authentification à la connexion. Si l'utilisateur en question n'est pas en mesure de fournir les informations demandées, il ne sera pas autorisé à se connecter au compte.
  • Validation d'identité : si un utilisateur tente d'effectuer des actions considérées comme sensibles, nous lui demandons de valider son identité. Si l'utilisateur ne peut pas saisir les informations demandées, nous interdisons l'action sensible (il peut continuer à utiliser son compte normalement).

Avant de pouvoir utiliser les questions d'authentification

Vérifiez que vos comptes Google Workspace disposent des informations suivantes :

  • Rappelez à vos collaborateurs d'ajouter un numéro de téléphone et une adresse e-mail de récupération à leur compte. Nous leur demanderons régulièrement d'ajouter ces informations lorsqu'ils se connecteront à leur compte.
  • Ajoutez des ID d'employé aux comptes de vos utilisateurs. Consultez Ajouter l'ID d'employé comme question d'authentification à la connexion.

Tout ouvrir   |   Tout fermer

Types de questions d'authentification à la connexion

L'utilisateur confirme son identité avec son appareil mobile
 

L'utilisateur choisit une méthode de validation de son identité


Google utilise une application installée sur le téléphone de l'utilisateur pour confirmer son identité


Google envoie un SMS contenant un code de validation 


 Google appelle le téléphone de l'utilisateur et fournit un code de validation

L'utilisateur saisit son ID d'employé
Si vous avez ajouté un ID d'employé comme question d'authentification à la connexion, les utilisateurs peuvent utiliser cet ID pour confirmer leur identité.
L'utilisateur saisit son adresse e-mail de récupération
Un utilisateur peut saisir une adresse e-mail de récupération comme question d'authentification à la connexion. 

Validation d'identité pour les actions sensibles

Si un utilisateur Google Workspace tente d'effectuer une action sensible, il peut être invité à confirmer son identité. Si l'utilisateur ne peut pas saisir les informations demandées, Google interdit l'action sensible.

Action sensible bloquée

Pour la plupart des utilisateurs qui doivent valider leur identité pour effectuer une action sensible, une fenêtre s'affiche avec le titre Action sensible bloquée. L'utilisateur est invité à réessayer depuis un appareil qu'il utilise habituellement (son téléphone ou son ordinateur portable, par exemple) ou depuis l'emplacement où il se connecte habituellement.

Impossible d'effectuer cette action pour le moment

Certains utilisateurs possédant des appareils ou des clés de sécurité ayant été récemment ajoutés à leur compte ne peuvent pas valider immédiatement leur identité en réponse à une question d'authentification. Pour ces utilisateurs, une fenêtre s'affiche avec le titre Impossible d'effectuer cette action pour le moment. Ces utilisateurs peuvent valider leur identité s'ils ont associé à leur compte un appareil, un numéro de téléphone ou une clé de sécurité il y a au moins sept jours.

Exemples d'actions sensibles

Voici quelques exemples d'actions sensibles :

  • Désactiver la validation en deux étapes
  • Autoriser une application à accéder aux données Google
  • Modifier l'adresse e-mail ou le numéro de téléphone de récupération du compte
  • Télécharger les données du compte
  • Modifier le nom associé au compte

Activer les questions d'authentification à la connexion à l'aide de l'authentification unique

Si votre organisation fait appel à des fournisseurs d'identité (IdP) tiers pour authentifier les utilisateurs de l'authentification unique (SSO) via le protocole SAML, vous pouvez présenter à ces utilisateurs SSO d'autres questions d'authentification à la connexion basées sur le risque et appliquer la validation en deux étapes (si elle est configurée), après que le fournisseur d'identité a authentifié un utilisateur lors de la connexion.

Le paramètre de validation post-authentification unique par défaut dépend du type d'utilisateur SSO:

  • Pour les utilisateurs qui se connectent à l'aide du profil SSO de votre organisation, le paramètre par défaut prévoit le contournement des questions d'authentification à la connexion et de la validation en deux étapes.
  • Pour les utilisateurs qui se connectent à l'aide d'autres profils SSO, le paramètre par défaut consiste à appliquer des questions d'authentification à la connexion supplémentaires et la validation en deux étapes.

Pour modifier les paramètres par défaut pour l'un ou l'autre type d'utilisateur, suivez les étapes de la section Configurer la validation post-authentification unique ci-dessous.

Cas d'utilisation pour les questions supplémentaires avec l'authentification unique
  • Vous souhaitez utiliser des clés de sécurité pour protéger l'accès aux ressources sensibles hébergées par Google afin d'obtenir une assurance maximale, et votre fournisseur d'identité actuel ne permet pas l'utilisation des clés de sécurité.
  • Vous souhaitez économiser le coût d'utilisation d'un fournisseur d'identité tiers, car les utilisateurs accèdent aux ressources Google dans la plupart des cas.
  • Vous ne souhaitez pas recourir à l'authentification Google (Google en tant que fournisseur d'identité), mais souhaitez exploiter toutes les questions d'authentification en cas de risque de sécurité de Google.
  • Vous souhaitez que Google protège les actions sensibles au sein de l'écosystème Google.
Ce qu'il se passe lorsque vous appliquez des questions supplémentaires
Pour une mise en œuvre fluide, informez vos utilisateurs de la nouvelle règle et du moment où vous prévoyez de l'appliquer. Voici ce qu'il se passe lorsque vous appliquez des questions supplémentaires lors de la connexion :
  • Si vous avez défini des règles de validation en deux étapes, consistant par exemple à en forcer l'application, elles s'appliquent immédiatement.
  • Les utilisateurs concernés par la nouvelle règle et inscrits à la validation en deux étapes reçoivent une question de validation en deux étapes lors de la connexion.
  • En se basant sur l'analyse des risques à la connexion de Google, les utilisateurs peuvent voir des questions d'authentification en cas de risque de sécurité lors de la connexion.
Configurer la validation post-authentification unique
  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Authentification puis Questions d'authentification à la connexion.
  3. Sur la gauche, sélectionnez l'unité organisationnelle pour laquelle vous souhaitez définir la règle.

    Pour la définir pour tous les utilisateurs, sélectionnez l'unité organisationnelle racine. Au départ, les unités organisationnelles héritent des paramètres de leur parent.

  4. Cliquez sur Validation post-authentification unique.
  5. Choisissez les paramètres en fonction de la manière dont vous utilisez les profils SSO dans votre organisation. Vous pouvez appliquer un paramètre aux utilisateurs qui utilisent le profil SSO pour votre organisation et aux utilisateurs qui se connectent à l'aide d'autres profils SSO.
  6. En bas à droite, cliquez sur Enregistrer.

    Google crée une entrée dans le journal d'audit de l'administrateur pour indiquer la modification de la règle.

Remarque : Dans de rares cas, les données d'événements de journaux peuvent ne pas être présentes pour tous les événements. Nous travaillons à la résolution de ce problème.

FAQ

Questions secrètes et d'authentification supplémentaires  |  Validation par téléphone  |  Désactiver une question d'authentification  |  Questions d'authentification pour les administrateurs

Questions secrètes et d'authentification supplémentaires

Dans quel cas l'utilisateur voit-il s'afficher une question d'authentification à la connexion ?

L'utilisateur se voit présenter une question d'authentification en cas de détection d'une connexion suspecte, par exemple s'il ne suit pas son schéma de connexion habituel. Un utilisateur se voit demander une validation d'identité dans une session présentant un risque lors d'une tentative d'action sensible.

Important : Google détermine la question d'authentification à présenter à un utilisateur en fonction de différents facteurs de sécurité et d'utilisation. Par exemple, la question d'authentification portant sur l'ID d'employé peut ne pas toujours être présentée à un utilisateur spécifique, même si vous l'avez activée.

En tant qu'administrateur, puis-je choisir quel type de question d'authentification afficher pour mes utilisateurs ?

La validation en deux étapes est un type de question d'authentification à la connexion. En tant qu'administrateur, vous pouvez en forcer l'application pour vos utilisateurs, afin d'éviter de définir un autre type de question d'authentification en cas de risque.

Si vous n'appliquez pas la validation en deux étapes pour vos utilisateurs, ou si elle n'est pas activée pour certains d'entre eux, Google détermine la question d'authentification à leur présenter en fonction de différents facteurs de sécurité et d'utilisation. Par exemple, la question d'authentification portant sur l'ID d'employé peut ne pas toujours être présentée à un utilisateur spécifique, même si vous l'avez activée.

Les utilisateurs peuvent-ils mettre à jour leurs informations de récupération ? Nous utilisons la validation en deux étapes. Est-il nécessaire d'utiliser des questions d'authentification à la connexion ?

La validation en deux étapes est un type de question d'authentification à la connexion. Lorsqu'elle est activée par vos utilisateurs, ils n'ont pas besoin de répondre à une autre question d'authentification à la connexion. De même, Admin Reports affiche chaque instance de la validation en deux étapes comme une question d'authentification à la connexion distincte.

Comment fonctionnent les questions d'authentification à la connexion lorsque l'authentification unique est activée ?

Cela dépend de la configuration de l'authentification unique dans votre organisation :

  • Si vous avez configuré un profil SSO pour votre organisation : par défaut, les questions d'authentification à la connexion ne sont pas activées. Toutefois, vous pouvez configurer la validation post-authentification unique pour autoriser des questions d'authentification supplémentaires en cas de risque de sécurité et la validation en deux étapes, si elle est configurée.
  • Si vous utilisez un autre profil SSO : toute question d'authentification à la connexion supplémentaire (y compris la validation en deux étapes, si elle est configurée) est automatiquement appliquée.
Cette fonctionnalité est-elle disponible dans les éditions Education ?

Oui, les questions secrètes et d'authentification supplémentaires sont incluses dans toutes les éditions Google Workspace.

Quand Google considère-t-il qu'une tentative de connexion est suspecte ?

Lorsqu'une connexion est identifiée par notre système d'analyse des risques comme étant différente du comportement habituel de l'utilisateur, nous déterminons si elle est suspecte ou non. Par exemple, un utilisateur peut essayer de se connecter depuis un lieu inhabituel ou d'une manière considérée comme un abus.

Validation par téléphone

Si mes utilisateurs ne possèdent pas de téléphone professionnel, peuvent-ils valider leur compte d'une autre manière ?

Oui, il existe plusieurs types de questions d'authentification à la connexion. Selon les informations disponibles pour le compte d'un utilisateur, les questions d'authentification présentées aux utilisateurs varient, et peuvent par exemple requérir la saisie de leur ID d'employé ou de leur adresse e-mail de récupération. Si un utilisateur n'a pas accès à son téléphone, il peut se connecter à l'aide de codes de secours. Pour en savoir plus, consultez l'article Se connecter à l'aide de codes de secours.

Comment les utilisateurs peuvent-ils modifier le numéro de téléphone ou l'adresse e-mail de récupération associés à leur compte ?

L'utilisateur peut modifier les informations de récupération en accédant aux paramètres du compte.

Les utilisateurs peuvent-ils choisir des critères de validation autres que leur numéro de téléphone de récupération ?

Si les utilisateurs ne saisissent pas leur numéro de téléphone de récupération, d'autres questions d'authentification leur seront posées. Ils devront par exemple indiquer leur adresse e-mail de récupération ou leur ID d'employé.

Désactiver la question d'authentification à la connexion ou la validation d'identité

Si l'utilisateur ne peut pas valider son identité, puis-je désactiver la question d'authentification à la connexion ou la validation d'identité ?

Oui, un administrateur peut désactiver la question d'authentification à la connexion ou la validation d'identité pendant 10 minutes. 

Dans certaines situations, un utilisateur autorisé n'est pas en mesure de confirmer son identité. Par exemple, il peut se trouver dans une zone où il n'y a pas de réseau et donc ne pas recevoir le code de validation sur son téléphone portable. Il peut également ne pas se souvenir de son ID d'employé ou ne pas savoir où le trouver. Si cela se produit, en tant que super-administrateur, vous pouvez désactiver la question d'authentification à la connexion ou la validation d'identité pendant 10 minutes pour lui permettre de se connecter ou d'effectuer l'action sensible. Soyez prudent lorsque vous désactivez les questions d'authentification à la connexion ou la validation d'identité, car le compte est moins protégé contre les pirates informatiques durant cette période de 10 minutes.

Puis-je désactiver la question d'authentification à la connexion ou la validation d'identité pour mon entreprise ?

Non. Vous ne pouvez pas désactiver cette fonctionnalité pour l'ensemble de votre entreprise. Cependant, vous pouvez la désactiver temporairement pour un utilisateur en particulier.

Les utilisateurs peuvent-ils désactiver cette fonctionnalité dans les paramètres de leur compte ?

Non, seul un administrateur peut désactiver temporairement les questions d'authentification.

Questions d'authentification pour les administrateurs

Comment un administrateur qui ne peut pas valider son identité peut-il accéder à nouveau à son compte ?

En tant qu'administrateur, vous pouvez récupérer l'accès à votre compte en suivant les instructions de la page de connexion afin de réinitialiser votre mot de passe.

Si vous êtes un administrateur Google Workspace et que vous rencontrez des difficultés pour vous connecter à votre compte administrateur, consultez Récupérer l'accès administrateur à votre compte pour obtenir des instructions.

Que se passe-t-il si un super-administrateur ne peut pas valider son identité ?

Si un super-administrateur ne peut pas valider son identité, un autre super-administrateur peut, le cas échéant, désactiver temporairement la question d'authentification à la connexion pour son compte, en suivant la procédure décrite ci-dessus.

Les super-administrateurs peuvent également contourner la question d'authentification à la connexion en réinitialisant leur mot de passe.

Remarque : Les super-administrateurs n'ont pas tous accès à l'option automatisée de réinitialisation du mot de passe. Pour en savoir plus sur la récupération d'un compte administrateur, consultez l'article Ajouter des options de récupération à votre compte administrateur.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
5707350337825258934
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false