คำถามยืนยันเพื่อความปลอดภัยเป็นมาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อยืนยันตัวตนของผู้ใช้ คำถามยืนยันเพื่อความปลอดภัยมี 2 ประเภท ได้แก่
- คำถามในการเข้าสู่ระบบ - เมื่อเราสงสัยว่ามีผู้ใช้ที่ไม่ได้รับอนุญาตกําลังพยายามลงชื่อเข้าใช้บัญชี Google Workspace เราจะแสดงคําถามในการเข้าสู่ระบบให้ผู้ใช้ดังกล่าว โดยหากผู้ใช้ดังกล่าวป้อนข้อมูลที่ขอไม่ได้ เราจะไม่อนุญาตให้ลงชื่อเข้าใช้บัญชี
- คําถามยืนยันตัวตน - หากผู้ใช้พยายามดําเนินการที่ถือว่ามีความละเอียดอ่อน เราจะแสดงคําถามยืนยันตัวตนให้แก่ผู้ใช้ หากผู้ใช้ป้อนข้อมูลที่ขอไม่ได้ เราจะไม่อนุญาตให้ผู้ใช้ดําเนินการที่มีความละเอียดอ่อน (ผู้ใช้สามารถใช้บัญชีของตนได้ตามปกติ)
สิ่งที่ต้องทําก่อนใช้คำถามยืนยันตัวตนเพื่อความปลอดภัย
ตรวจสอบว่าบัญชี Google Workspace มีข้อมูลที่เราต้องการดังนี้
- แจ้งให้พนักงานเพิ่มหมายเลขโทรศัพท์และอีเมลสําหรับการกู้คืนในบัญชีของตนเอง โดยเราจะขอให้พนักงานเพิ่มรายละเอียดเหล่านี้เป็นระยะเมื่อลงชื่อเข้าใช้บัญชี
- เพิ่มรหัสพนักงานลงในบัญชีผู้ใช้ของคุณ โปรดดูหัวข้อเพิ่มรหัสพนักงานเป็นคำถามในการเข้าสู่ระบบ
ประเภทคำถามในการเข้าสู่ระบบ
ผู้ใช้เลือกวิธียืนยันตัวตนด้วยตนเอง
Google ใช้แอปที่ติดตั้งในโทรศัพท์ของผู้ใช้เพื่อยืนยันตัวตน
Google ส่งข้อความพร้อมรหัสยืนยัน
Google โทรเข้าโทรศัพท์ของผู้ใช้และแจ้งรหัสยืนยัน
คำถามยืนยันตัวตนสำหรับการดำเนินการที่มีความละเอียดอ่อน
หากผู้ใช้ Google Workspace พยายามดำเนินการที่มีความละเอียดอ่อน บางครั้งระบบจะแสดงคำถามยืนยันตัวตน หากผู้ใช้ป้อนข้อมูลที่ระบบร้องขอไม่ได้ Google จะไม่อนุญาตให้ดําเนินการที่มีความละเอียดอ่อน
สำหรับผู้ใช้ส่วนใหญ่ที่มองเห็นคำถามยืนยันตัวตนสำหรับการดำเนินการที่มีความละเอียดอ่อน จะมีหน้าต่างแสดงขึ้นพร้อมข้อความว่าการดําเนินการที่มีความละเอียดอ่อนถูกบล็อก ผู้ใช้จะได้รับคําสั่งให้ลองอีกครั้งจากอุปกรณ์ที่เคยใช้ตามปกติ (เช่น โทรศัพท์หรือแล็ปท็อป) หรือจากตําแหน่งที่มักลงชื่อเข้าใช้
เนื่องจากผู้ใช้บางรายมีอุปกรณ์หรือคีย์ความปลอดภัยที่เพิ่งเพิ่มลงในบัญชี จึงไม่สามารถยืนยันตัวตนได้โดยทันทีเมื่อต้องตอบคำถามยืนยันเพื่อความปลอดภัย ผู้ใช้เหล่านี้จะเห็นหน้าต่างแสดงขึ้นพร้อมข้อความว่าดำเนินการนี้ให้เสร็จสมบูรณ์ไม่ได้ในขณะนี้ โดยผู้ใช้จะยืนยันตัวตนได้หลังจากมีการเชื่อมโยงอุปกรณ์ หมายเลขโทรศัพท์ หรือคีย์ความปลอดภัยกับบัญชีอย่างน้อย 7 วัน
ต่อไปนี้คือตัวอย่างการดำเนินการที่มีความละเอียดอ่อน
- การปิดใช้งานการยืนยันแบบ 2 ขั้นตอน
- การอนุญาตให้แอปเข้าถึงข้อมูลใน Google
- การเปลี่ยนอีเมลหรือหมายเลขโทรศัพท์สำหรับการกู้คืนบัญชี
- การดาวน์โหลดข้อมูลบัญชี
- การเปลี่ยนชื่อในบัญชี
เปิดใช้คำถามในการเข้าสู่ระบบร่วมกับ SSO
หากองค์กรใช้ผู้ให้บริการข้อมูลประจำตัว (IdP) ของบุคคลที่สามในการตรวจสอบสิทธิ์ผู้ใช้ที่ลงชื่อเพียงครั้งเดียว (SSO) ผ่าน SAML คุณสามารถแสดงคำถามในการเข้าสู่ระบบตามความเสี่ยงเพิ่มเติมแก่ผู้ใช้ SSO ได้ และใช้การยืนยันแบบ 2 ขั้นตอน (หากกำหนดค่าไว้) หลังจากที่ IdP ตรวจสอบสิทธิ์ผู้ใช้ระหว่างการลงชื่อเข้าใช้
การตั้งค่าเริ่มต้นของการยืนยันตัวตนหลังใช้ SSO จะขึ้นอยู่กับประเภทผู้ใช้ SSO ดังนี้
- สำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วยโปรไฟล์ SSO สำหรับองค์กร การตั้งค่าเริ่มต้นจะข้ามคำถามในการเข้าสู่ระบบเพิ่มเติมและการยืนยันแบบ 2 ขั้นตอน
- สำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วยโปรไฟล์ SSO อื่นๆ การตั้งค่าเริ่มต้นจะใช้คำถามในการเข้าสู่ระบบเพิ่มเติมและการยืนยันแบบ 2 ขั้นตอน
หากต้องการเปลี่ยนการตั้งค่าเริ่มต้นสำหรับผู้ใช้ประเภทใดประเภทหนึ่ง ให้ทำตามขั้นตอนในหัวข้อตั้งค่าการยืนยันตัวตนหลังใช้ SSO ด้านล่าง
- คุณต้องการใช้คีย์ความปลอดภัยเพื่อปกป้องการเข้าถึงทรัพยากรที่ละเอียดอ่อนที่โฮสต์โดย Google เพื่อความมั่นใจสูงสุด และ IdP ปัจจุบันของคุณไม่รองรับคีย์ความปลอดภัย
- คุณต้องการประหยัดค่าใช้จ่ายในการใช้ผู้ให้บริการข้อมูลประจำตัวของบุคคลที่สาม เนื่องจากผู้ใช้จะเข้าถึงทรัพยากรของ Google เป็นส่วนใหญ่
- คุณไม่ต้องการใช้การตรวจสอบสิทธิ์ของ Google (Google เป็นผู้ให้บริการข้อมูลประจำตัว) แต่ต้องการใช้ประโยชน์จากคำถามในการเข้าสู่ระบบตามความเสี่ยงของ Google ทั้งหมด
- คุณต้องการให้ Google ปกป้องการดำเนินการที่ละเอียดอ่อนภายในระบบนิเวศของ Google
- หากคุณมีนโยบายการยืนยันแบบ 2 ขั้นตอนอยู่แล้ว เช่น การบังคับใช้การยืนยันแบบ 2 ขั้นตอน นโยบายนั้นจะมีผลบังคับใช้ทันที
- ผู้ใช้ที่ได้รับผลกระทบจากนโยบายใหม่และผู้ที่ลงทะเบียนการยืนยันแบบ 2 ขั้นตอนจะเห็นคำถามในการเข้าสู่ระบบที่มีการยืนยันแบบ 2 ขั้นตอนเมื่อลงชื่อเข้าใช้
- ผู้ใช้อาจเห็นคำถามในการเข้าสู่ระบบตามความเสี่ยงเมื่อลงชื่อเข้าใช้ โดยอิงจากการวิเคราะห์ความเสี่ยงของ Google Sign-In
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู ความปลอดภัยการตรวจสอบสิทธิ์คำถามในการเข้าสู่ระบบ
- เลือกหน่วยขององค์กรที่คุณต้องการตั้งนโยบายทางด้านซ้าย
โดยเลือกหน่วยขององค์กรระดับบนสุดให้กับผู้ใช้ทั้งหมด ในขั้นต้น หน่วยขององค์กรจะรับการตั้งค่ามาจากองค์กรระดับบนสุด
- คลิกการยืนยันหลัง SSO
- เลือกการตั้งค่าตามวิธีที่คุณใช้โปรไฟล์ SSO ในองค์กร คุณสามารถใช้การตั้งค่ากับผู้ใช้ที่ใช้โปรไฟล์ SSO สำหรับองค์กร และสำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วยโปรไฟล์ SSO อื่นๆ
- คลิกบันทึกด้านขวาล่าง
Google จะสร้างรายการในบันทึกการตรวจสอบของผู้ดูแลระบบเพื่อระบุการเปลี่ยนแปลงนโยบาย
หมายเหตุ: ในบางกรณี ข้อมูลเหตุการณ์ในบันทึกอาจไม่ได้แสดงสำหรับทุกเหตุการณ์ครบทั้งหมด เรากำลังพยายามแก้ไขปัญหานี้
คำถามที่พบบ่อย
คำถามเพื่อความปลอดภัยและคำถามในการเข้าสู่ระบบเพิ่มเติม | การยืนยันทางโทรศัพท์ | การปิดใช้คำถามในการเข้าสู่ระบบหรือคำถามยืนยันเพื่อความปลอดภัย | ผู้ดูแลระบบ
คำถามเพื่อความปลอดภัยและคำถามในการเข้าสู่ระบบเพิ่มเติม
ผู้ใช้จะได้รับคำถามยืนยันเพื่อความปลอดภัยเมื่อใดผู้ใช้จะเห็นคำถามในการเข้าสู่ระบบเมื่อมีการตรวจพบการเข้าสู่ระบบที่น่าสงสัย เช่น เมื่อผู้ใช้ไม่ได้ลงชื่อเข้าใช้ตามรูปแบบที่เคยทำ ผู้ใช้จะเห็นคำถามยืนยันตัวตนหากผู้ใช้มีเซสชันที่มีความเสี่ยงเมื่อพยายามดําเนินการที่มีความละเอียดอ่อน
ข้อสำคัญ: Google จะเลือกประเภทของคำถามยืนยันเพื่อความปลอดภัยที่เหมาะสมให้กับผู้ใช้ โดยพิจารณาจากปัจจัยด้านความปลอดภัยและความสามารถในการใช้งานหลายประการ เช่น ผู้ใช้บางรายอาจไม่สามารถใช้รหัสพนักงานเป็นคำถามในการเข้าสู่ระบบได้เสมอไป แม้ว่าคุณจะเปิดใช้ไว้ก็ตาม
การยืนยันแบบ 2 ขั้นตอน (2SV) เป็นคำถามในการเข้าสู่ระบบประเภทหนึ่ง ในฐานะผู้ดูแลระบบ คุณสามารถบังคับใช้คำถามในการเข้าสู่ระบบที่เป็นการยืนยันแบบ 2 ขั้นตอนให้กับผู้ใช้ของคุณได้ ซึ่งจะทำให้ผู้ใช้ไม่ได้รับคำถามในการเข้าสู่ระบบตามความเสี่ยงประเภทอื่น
หากคุณไม่บังคับใช้การยืนยันแบบ 2 ขั้นตอนสำหรับผู้ใช้ของคุณหรือหากผู้ใช้ไม่ได้เปิดใช้การยืนยันดังกล่าว Google จะเลือกว่าคำถามในการเข้าสู่ระบบประเภทใดที่เหมาะสมสำหรับผู้ใช้รายนั้น ซึ่งประเภทของคำถามในการเข้าสู่ระบบที่เหมาะสมจะพิจารณาจากปัจจัยด้านความปลอดภัยและความสามารถในการใช้งานหลายประการ เช่น ผู้ใช้บางรายอาจไม่สามารถใช้รหัสพนักงานเป็นคำถามในการเข้าสู่ระบบได้เสมอไป แม้ว่าคุณจะเปิดใช้ไว้ก็ตาม
ได้ โปรดดูรายละเอียดที่หัวข้อตั้งค่าหมายเลขโทรศัพท์สำหรับการกู้คืนหรืออีเมลสำรอง
การยืนยันแบบ 2 ขั้นตอน (2SV) เป็นคำถามในการเข้าสู่ระบบประเภทหนึ่ง เมื่อผู้ใช้เปิดการยืนยันนี้ ก็จะไม่ได้รับคำถามในการเข้าสู่ระบบอีก ด้วยเหตุผลเดียวกัน รายงานของผู้ดูแลระบบจึงแสดงการยืนยันแบบ 2 ขั้นตอนแต่ละรายการเป็นคำถามในการเข้าสู่ระบบ
การทำงานนั้นขึ้นอยู่กับการกำหนดค่า SSO ในองค์กร ดังนี้
- หากกำหนดค่าโปรไฟล์ SSO สำหรับองค์กรแล้ว ตามค่าเริ่มต้น จะไม่มีการเปิดใช้คำถามในการเข้าสู่ระบบ อย่างไรก็ตาม คุณจะตั้งค่าการยืนยันตัวตนหลังใช้ SSO เพื่ออนุญาตคำถามเพื่อตรวจสอบสิทธิ์ตามความเสี่ยงเพิ่มเติมและการยืนยันแบบ 2 ขั้นตอน (2SV) ได้หากกำหนดค่าไว้
- หากคุณใช้โปรไฟล์ SSO อื่น ระบบจะใช้คำถามในการเข้าสู่ระบบเพิ่มเติม (รวมถึงการยืนยันแบบ 2 ขั้นตอนหากกำหนดค่าไว้) โดยอัตโนมัติ
มี Google Workspace ทุกรุ่นมีคำถามเพื่อความปลอดภัยและคำถามในการเข้าสู่ระบบเพิ่มเติม
Google จะพิจารณาว่าการเข้าสู่ระบบครั้งนั้นน่าสงสัยเมื่อระบบวิเคราะห์ความเสี่ยงระบุว่ามีความพยายามที่ไม่เป็นไปตามรูปแบบพฤติกรรมปกติของผู้ใช้ ตัวอย่างเช่น ผู้ใช้อาจพยายามลงชื่อเข้าใช้จากสถานที่ที่แปลกไปจากเดิมหรือดูมีเจตนาที่จะทำการละเมิด
การยืนยันทางโทรศัพท์
หากผู้ใช้ไม่มีหมายเลขโทรศัพท์ของบริษัท จะมีวิธีอื่นในการยืนยันบัญชีของผู้ไหมมี คำถามในการเข้าสู่ระบบมีประเภทอื่นๆ อีก ผู้ใช้สามารถใช้คำถามในการเข้าสู่ระบบประเภทอื่นๆ ได้ เช่น ป้อนรหัสพนักงานหรืออีเมลสำรอง โดยจะพิจารณาจากข้อมูลที่มีอยู่สำหรับบัญชีของผู้ใช้ หากผู้ใช้ยังใช้โทรศัพท์ไม่ได้ ก็สามารถใช้รหัสสำรองในการลงชื่อเข้าใช้แทนได้ โปรดดูรายละเอียดในหัวข้อลงชื่อเข้าใช้ด้วยรหัสสำรอง
ผู้ใช้จะแก้ไขข้อมูลที่ใช้ในการกู้คืนได้ที่ตั้งค่าบัญชี
หากผู้ใช้ไม่ได้ป้อนหมายเลขโทรศัพท์สำหรับการกู้คืน ระบบจะใช้คำถามในการเข้าสู่ระบบประเภทอื่น เช่น การป้อนอีเมลสำรองหรือใช้รหัสพนักงาน
ปิดใช้คําถามในการเข้าสู่ระบบหรือคำถามยืนยันตัวตน
หากผู้ใช้ยืนยันตัวตนไม่ได้ ฉันจะปิดใช้คําถามในการเข้าสู่ระบบหรือคำถามยืนยันตัวตนได้ไหมได้ ผู้ดูแลระบบสามารถปิดใช้คําถามในการเข้าสู่ระบบหรือคำถามยืนยันตัวตนเป็นเวลา 10 นาที
ในบางกรณี ผู้ใช้ที่ได้รับอนุญาตอาจจะยืนยันตนเองไม่ได้ ตัวอย่างเช่น อาจไม่มีสัญญาณโทรศัพท์จึงทำให้ไม่ได้รับรหัสยืนยัน หรืออาจจำรหัสพนักงานไม่ได้ หรือหารหัสพนักงานไม่เจอ หากเกิดกรณีนี้ขึ้น ในฐานะผู้ดูแลระบบขั้นสูง คุณสามารถปิดใช้คําถามในการเข้าสู่ระบบหรือคำถามยืนยันตัวตนเป็นเวลา 10 นาทีเพื่ออนุญาตให้ลงชื่อเข้าใช้หรือดําเนินการที่มีความละเอียดอ่อนจนเสร็จสมบูรณ์ โปรดระมัดระวังเมื่อปิดใช้คําถามในการเข้าสู่ระบบหรือคำถามยืนยันตัวตน เนื่องจากบัญชีจะป้องกันผู้ลักลอบใช้บัญชีได้ใน 10 นาทีเท่านั้น
ไม่ได้ คุณปิดฟีเจอร์นี้กับทั้งองค์กรไม่ได้ แต่ปิดเป็นเวลาชั่วคราวกับผู้ใช้รายบุคคลได้
ไม่ได้ มีเพียงผู้ดูแลระบบเท่านั้นที่ปิดใช้คําถามในการเข้าสู่ระบบหรือคำถามยืนยันตัวตนชั่วคราวได้
คำถามในการเข้าสู่ระบบสำหรับผู้ดูแลระบบ
ผู้ดูแลระบบที่ยืนยันตัวตนไม่ได้จะเข้าใช้บัญชีของตนอีกครั้งได้อย่างไรในฐานะผู้ดูแลระบบ คุณสามารถรับสิทธิ์เข้าถึงบัญชีอีกครั้งได้โดยทําตามคําแนะนําในหน้าการเข้าสู่ระบบเพื่อรีเซ็ตรหัสผ่าน
หากคุณเป็นผู้ดูแลระบบ Google Workspace ที่พบปัญหาในการลงชื่อเข้าใช้บัญชีผู้ดูแลระบบ โปรดดูวิธีการในหัวข้อการกู้คืนสิทธิ์เข้าถึงระดับผู้ดูแลระบบในบัญชี
ถ้าผู้ดูแลระบบขั้นสูงยืนยันตัวตนไม่ได้ ผู้ดูแลระบบขั้นสูงคนอื่น (ถ้ามี) จะปิดใช้คำถามในการเข้าสู่ระบบไว้ชั่วคราวได้ตามที่อธิบายไว้ในขั้นตอนด้านบน
หรืออีกวิธีหนึ่ง ผู้ดูแลระบบขั้นสูงอาจข้ามคำถามในการเข้าสู่ระบบได้ด้วยการรีเซ็ตรหัสผ่าน
หมายเหตุ: ตัวเลือกการรีเซ็ตรหัสผ่านอัตโนมัติไม่ได้มีให้กับผู้ดูแลระบบระดับสูงทุกคน โปรดดูข้อมูลการกู้คืนบัญชีผู้ดูแลระบบได้เพิ่มเติมที่เพิ่มตัวเลือกการกู้คืนในบัญชีผู้ดูแลระบบของคุณ