Set up 2-Step Verification

Як захистити облікові записи Google Workspace за допомогою процедури перевірки особи

Перевірка особи – це додатковий захід безпеки для підтвердження особи користувача. Є два типи таких перевірок.

  • Додаткова автентифікація. Якщо ми помітимо, що неавторизований користувач намагається ввійти в обліковий запис Google Workspace, ми попросимо його пройти процедуру додаткової автентифікації. Якщо користувач не зможе ввести потрібну інформацію, йому буде відмовлено в доступі до облікового запису.
  • Запит на підтвердження особи. Якщо користувач спробує виконати дії, пов’язані з безпекою, ми надішлемо йому запит на підтвердження особи. Якщо користувач не зможе ввести потрібну інформацію, йому буде відмовлено у виконанні такої дії (він зможе й далі користуватися обліковим записом як зазвичай).

Що потрібно зробити, перш ніж використовувати процедуру перевірки особи

Переконайтеся, що у ваших облікових записах Google Workspace указано всю необхідну інформацію.

Відкрити все   |   Закрити все

Типи додаткової автентифікації

Користувач підтверджує свою особу за допомогою мобільного пристрою
 

Користувач вибирає спосіб підтвердження особи


Google використовує додаток, установлений на телефоні користувача, щоб підтвердити його особу


Google надсилає текстове повідомлення з кодом підтвердження 


 Google телефонує на номер користувача й надає код підтвердження

Користувач вводить ідентифікатор працівника
Якщо ви додали ідентифікатор працівника як метод додаткової автентифікації, користувачі зможуть підтверджувати особу за його допомогою.
Користувач вводить резервну електронну адресу
Користувач може ввести резервну електронну адресу, щоб пройти процедуру додаткової автентифікації. 

Запит на підтвердження особи для дій, пов’язаних із безпекою

Якщо користувач Google Workspace намагається виконати дію, пов’язану з безпекою, йому може знадобитися підтвердити свою особу. Якщо користувач не зможе ввести потрібну інформацію, йому буде відмовлено у виконанні дії, пов’язаної з безпекою.

Дію, пов’язану з безпекою, заблоковано

Більшості користувачів, яким необхідно підтвердити свою особу для виконання дії, пов’язаної з безпекою, показується вікно із заголовком Дію, пов’язану з безпекою, заблоковано. Користувачу буде запропоновано повторити спробу з пристрою, яким він зазвичай користується (наприклад, з телефона або ноутбука), або зі звичного місцезнаходження.

Зараз не вдається виконати цю дію

Користувачі, які нещодавно додали в обліковий запис пристрої або ключі безпеки, не можуть одразу підтвердити свою особу, коли отримують відповідний запит. Таким користувачам показується вікно із заголовком Зараз не вдається виконати цю дію. Вони зможуть підтвердити свою особу, коли з моменту зв’язування пристрою, номера телефону або ключа безпеки з їхнім обліковим записом пройде щонайменше 7 днів.

Приклади дій, пов’язаних із безпекою

Нижче наведено кілька прикладів дій, пов’язаних із безпекою.

  • Вимкнення двохетапної перевірки.
  • Надання додатку доступу до даних Google.
  • Змінення резервної електронної адреси або номера телефону для відновлення облікового запису.
  • Завантаження даних облікового запису.
  • Змінення імені в обліковому записі.

Як увімкнути додаткову автентифікацію в Системі єдиного входу (SSO)

Якщо ваша організація користується послугами сторонніх постачальників ідентифікаційної інформації для автентифікації користувачів Системи єдиного входу через SAML, ви можете надсилати таким користувачам запити на додаткову автентифікацію на основі оцінки ризиків і застосовувати двохетапну перевірку (якщо налаштовано) після того, як постачальник ідентифікаційної інформації автентифікує користувача під час входу.

Налаштування підтвердження особи після Системи єдиного входу за умовчанням залежить від типу користувача.

Щоб змінити налаштування за умовчанням для обох типів користувачів, виконайте вказівки в розділі Як налаштувати підтвердження особи після Системи єдиного входу нижче.

Приклади використання процедури додаткової автентифікації для Системи єдиного входу (SSO)
  • Ви хочете використовувати ключі безпеки, щоб захистити доступ до конфіденційних ресурсів на сервері Google, а ваш поточний постачальник ідентифікаційної інформації не підтримує ключі безпеки.
  • Ви хочете заощадити на послугах стороннього постачальника ідентифікаційної інформації, оскільки в більшості випадків користувачі отримують доступ до ресурсів Google.
  • Ви не хочете використовувати автентифікацію Google (Google як постачальник ідентифікаційної інформації), але плануєте застосовувати всі наші методи додаткової автентифікації на основі оцінки ризиків.
  • Ви хочете, щоб ми перевіряли дії, пов’язані з безпекою, в екосистемі Google.
Що відбувається, коли ви застосовуєте методи додаткової автентифікації
Для ефективного запровадження нового правила повідомте користувачів про нього, а також укажіть, коли ви плануєте почати його застосовувати. Нижче описано, що відбувається, коли ви застосовуєте методи додаткової автентифікації під час входу.
  • Якщо у вас уже є правила щодо двохетапної перевірки, наприклад її примусове застосування, ці правила почнуть діяти негайно.
  • Користувачі, яких стосується нове правило і які ввімкнули двохетапну перевірку, отримуватимуть запит на додаткову автентифікацію за її допомогою під час входу в обліковий запис.
  • На основі аналізу ризиків під час входу через Google користувачі можуть отримувати відповідні запити на додаткову автентифікацію.
Як налаштувати підтвердження особи після Системи єдиного входу
  1. Відкрийте Консоль адміністратора Google.

    Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).

  2. У Консолі адміністратора натисніть значок потім Безпека потім Автентифікація потім Додаткова автентифікація.
  3. Ліворуч виберіть організаційний підрозділ, для якого потрібно налаштувати правило.

    Щоб застосувати налаштування для всіх користувачів, виберіть організаційний підрозділ верхнього рівня (організаційні підрозділи успадковують налаштування свого батьківського підрозділу).

  4. Натисніть Підтвердження особи після Системи єдиного входу.
  5. Виберіть налаштування відповідно до способу використання профілів Системи єдиного входу у вашій організації. Налаштування можна застосувати до користувачів, які мають профіль Системи єдиного входу для вашої організації, і користувачів, які входять за допомогою інших профілів Системи єдиного входу.
  6. Унизу праворуч натисніть Зберегти.

    Щоб позначити зміну правил, система Google завжди створює відповідний запис у журналі аудиту адміністратора.

Примітка. У деяких випадках дані про певні події в журналі можуть бути відсутні. Ми намагаємося вирішити цю проблему.

Поширені запитання

Додаткові таємні запитання й методи автентифікації  |  Підтвердження за допомогою номера телефону  |  Вимкнення додаткової автентифікації або перевірки особи  |  Адміністратори

Додаткові таємні запитання й методи автентифікації

Коли користувач отримує запит на перевірку особи?

Запит на додаткову автентифікацію надсилається, якщо система виявляє підозрілу спробу входу, наприклад коли користувач входить в обліковий запис у спосіб, який не використовувався раніше. Якщо під час спроби користувача виконати дію, пов’язану з безпекою, буде виявлено підозрілу активність, йому буде запропоновано підтвердити свою особу.

Важливо. Google визначає, який тип перевірки особи запропонувати користувачу, на основі кількох факторів безпеки й зручності використання. Наприклад, додаткова автентифікація за ідентифікатором працівника може не завжди застосовуватися до певного користувача, навіть якщо ви ввімкнули її.

Чи можу я як адміністратор вибрати тип додаткової автентифікації для користувачів моєї організації?

Двохетапна перевірка – це тип додаткової автентифікації. Як адміністратор ви можете примусово застосовувати додаткову автентифікацію за допомогою двохетапної перевірки для користувачів. Пройшовши її, вони більше не отримуватимуть запити на інші типи додаткової автентифікації на основі оцінки ризиків.

Якщо ви примусово не застосовуєте для користувачів двохетапну перевірку або вони не ввімкнули її, система Google вирішує, який тип додаткової автентифікації запропонувати користувачу під час входу. Тип додаткової автентифікації залежить від кількох факторів безпеки й зручності використання. Наприклад, додаткова автентифікація за ідентифікатором працівника може не завжди застосовуватися до певного користувача, навіть якщо ви ввімкнули її.

Чи можуть користувачі змінювати інформацію для відновлення?

Так. Щоб дізнатися більше, перегляньте цю статтю

Ми вже використовуємо двохетапну перевірку. Навіщо потрібна додаткова автентифікація?

Двохетапна перевірка – це тип додаткової автентифікації. Якщо користувачі ввімкнули цю функцію, вони більше не отримуватимуть інших запитів на додаткову автентифікацію. З тієї самої причини у звітах адміністратора кожний сеанс двохетапної перевірки відображається як додаткова автентифікація.

Як працює додаткова автентифікація, якщо ввімкнено Систему єдиного входу (SSO)?

Це залежить від способу налаштування Системи єдиного входу у вашій організації.

  • Якщо ви налаштували профіль Системи єдиного входу для своєї організації, додаткову автентифікацію буде вимкнено за умовчанням. Однак ви можете ввімкнути підтвердження особи після входу через Систему єдиного входу, щоб дозволити додаткову автентифікацію на основі оцінки ризиків і двохетапну перевірку (якщо налаштовано).
  • Якщо ви використовуєте інший профіль Системи єдиного входу, усі типи додаткової автентифікації (зокрема двохетапна перевірка, якщо її налаштовано) застосовуються автоматично.
Чи доступна ця функція у версіях Education?

Так. Усі версії Google Workspace підтримують додаткові таємні запитання й методи автентифікації.

За яких умов Google вважає спробу входу підозрілою?

Ми визначаємо, чи є спроба входу підозрілою, коли наша система аналізу ризиків виявляє спробу, яка не відповідає звичайній поведінці користувача. Наприклад, користувач може спробувати ввійти в обліковий запис із незвичного місця або способом, пов’язаним із порушеннями.

Підтвердження за допомогою номера телефону

Якщо у користувачів моєї організації немає корпоративного номера телефону, чи є інший спосіб підтвердити їхні облікові записи?

Так, є різні типи додаткової автентифікації. Залежно від інформації, указаної в обліковому записі користувача, йому буде запропоновано пройти додаткову автентифікацію певного типу, наприклад ввести ідентифікатор працівника або резервну електронну адресу. Якщо користувач не має доступу до телефона, він може ввійти в обліковий запис за допомогою резервних кодів. Щоб дізнатися більше, перегляньте цю статтю.

Як користувач може змінити номер телефону або електронну адресу для відновлення, зв’язані з його обліковим записом?

Користувач може оновити інформацію для відновлення в налаштуваннях облікового запису.

Чи може користувач вибрати інший спосіб підтвердження, крім номера телефону для відновлення?

Якщо користувач не може вказати номер телефону для відновлення, застосовуються інші типи додаткової автентифікації, наприклад введення резервної електронної адреси або ідентифікатора працівника.

Вимкнення додаткової автентифікації або підтвердження особи

Чи можна вимкнути додаткову автентифікацію або підтвердження особи, якщо користувач не може пройти цю процедуру?

Так, адміністратор може вимкнути додаткову автентифікацію або підтвердження особи на 10 хвилин. 

У певних ситуаціях авторизований користувач не може підтвердити свою особу. Наприклад, через відсутній сигнал на телефоні людині не надходить код підтвердження, або вона не може пригадати чи знайти свій ідентифікатор працівника. Тоді суперадміністратор може вимкнути додаткову автентифікацію або підтвердження особи на 10 хвилин, щоб користувач зміг увійти в обліковий запис або виконати дію, пов’язану з безпекою. Будьте обережні, вимикаючи додаткову автентифікацію або підтвердження особи, оскільки протягом цього 10-хвилинного періоду обліковий запис буде вразливішим до злому.

Чи можна вимкнути для організації процедуру додаткової автентифікації або підтвердження особи?

Ні, вимкнути цю функцію для всієї організації не можна. Ви можете лише тимчасово зробити це для кожного користувача окремо.

Чи може користувач вимкнути цю функцію самостійно в налаштуваннях облікового запису?

Ні, лише адміністратор може тимчасово вимкнути процедуру додаткової автентифікації або перевірки особи.

Додаткова автентифікація для адміністраторів

Як адміністратору, який не може підтвердити свою особу, увійти в обліковий запис?

Щоб відновити доступ до свого облікового запису, адміністратор може скинути пароль, дотримуючись вказівок на сторінці входу.

Якщо ви адміністратор Google Workspace і не можете ввійти в обліковий запис, перегляньте ці вказівки.

Що робити, якщо суперадміністратор не може підтвердити свою особу?

Якщо суперадміністратор не може підтвердити свою особу, інший суперадміністратор (якщо є) може тимчасово вимкнути для нього додаткову автентифікацію, як описано в кроках вище.

Крім того, суперадміністратор може обійти додаткову автентифікацію, скинувши пароль.

Примітка. Функція автоматичного скидання пароля доступна не для всіх суперадміністраторів. Щоб дізнатися більше про відновлення облікового запису адміністратора, перегляньте цю статтю.

Чи корисна ця інформація?

Як можна її покращити?
Пошук
Очистити пошук
Закрити пошук
Головне меню
16699255396522118204
true
Пошук у довідковому центрі
true
true
true
true
true
73010
false
false