Двухэтапная аутентификация

Как защитить аккаунты Google Workspace с помощью контрольных проверок

Контрольные проверки используются, когда нужно проверить личность. Есть два типа контрольных проверок:

  • Дополнительная аутентификация. Если фиксируется подозрительная попытка доступа к аккаунту Google Workspace, система требует пройти дополнительную аутентификацию. Если пользователь не введет требуемую информацию, он не сможет войти в аккаунт.
  • Подтверждение личности. Если пользователь пытается выполнить действия, связанные с безопасностью, ему нужно подтвердить свою личность. Если пользователь не сможет ввести запрошенную информацию, действие будет запрещено, но у него будет возможность работать с аккаунтом как обычно.

Подготовка к использованию контрольных проверок

Убедитесь, что в аккаунтах Google Workspace есть необходимая информация:

Развернуть все | Свернуть все

Типы дополнительной аутентификации

Пользователь подтверждает свою личность с помощью мобильного устройства
 

Пользователь выбирает способ подтверждения своей личности.


Google использует для подтверждения личности пользователя приложение, установленное на его телефон.


Google отправляет SMS с кодом подтверждения.


 Google звонит на телефон пользователя и предоставляет код подтверждения.

Пользователь вводит идентификатор сотрудника
Если вы включили для сотрудников дополнительную аутентификацию по идентификатору, они могут использовать идентификатор сотрудника для подтверждения своей личности.
Пользователь вводит резервный адрес электронной почты
Пользователь может ввести резервный адрес электронной почты, чтобы подтвердить свою личность.

Подтверждение личности для действий, связанных с безопасностью

Если пользователь Google Workspace попытается выполнить действие, связанное с конфиденциальными данными, иногда ему будет предложено подтвердить личность. Если пользователь не сможет ввести запрошенную информацию, Google запретит действие.

"Действие, связанное с конфиденциальными данными, заблокировано"

Большинству пользователей, которым предлагается пройти подтверждение личности для выполнения действия, связанного с безопасностью, отображается окно с заголовком Действие, связанное с конфиденциальными данными, заблокировано. Пользователю предлагается повторить попытку с помощью устройства, на котором он обычно работает, например смартфона или ноутбука, или из местоположения, откуда он обычно выполняет вход.

"Завершить действие прямо сейчас нельзя"

Те пользователи, у которых есть устройства или электронные ключи, добавленные в аккаунт недавно, не смогут сразу подтвердить свою личность в ходе контрольной проверки. Они увидят окно с заголовком Завершить действие прямо сейчас нельзя и смогут подтвердить свою личность только после того, как устройство, номер телефона или электронный ключ будут связаны с аккаунтом в течение по меньшей мере 7 дней.

Примеры действий, связанных с безопасностью

Вот примеры действий, связанных с безопасностью:

  • отключение двухэтапной аутентификации;
  • предоставление приложению доступа к данным Google;
  • изменение резервного адреса электронной почты или номера телефона;
  • скачивание данных аккаунта;
  • изменение имени в аккаунте.

Использование дополнительной аутентификации с системой единого входа

Если в вашей организации используются сторонние поставщики идентификационной информации для аутентификации пользователей в системе единого входа с помощью SAML, вы можете включить дополнительную аутентификацию на основе оценки рисков и применить двухэтапную аутентификацию (если настроена) после того, как поставщик идентификационной информации аутентифицирует пользователя при входе.

Значение параметра подтверждения личности после системы единого входа зависит от типа пользователя системы единого входа:

Чтобы изменить настройки по умолчанию для разных типов пользователей, выполните инструкции в разделе Как настроить подтверждение личности после системы единого входа.

Примеры использования дополнительной аутентификации с системой единого входа
  • Вы хотите использовать электронные ключи для максимально эффективной защиты конфиденциальных ресурсов, размещенных на серверах Google, но ваш поставщик идентификационной информации не поддерживает этот способ аутентификации.
  • Вы хотите сэкономить на услугах стороннего поставщика идентификационной информации, потому что в большинстве случаев пользователи работают с ресурсами Google.
  • Вам не нужна аутентификация Google как поставщика идентификационной информации, но вы хотите использовать все проверки Google на основе оценки рисков.
  • Вы хотите использовать защиту Google для связанных с безопасностью действий в экосистеме Google.
Что происходит, когда вы включаете дополнительную аутентификацию
Для более эффективного внедрения новых правил сообщите о них пользователям заранее. Если при входе применяется дополнительная аутентификация, происходит следующее:
  • Если у вас установлены правила двухэтапной аутентификации, например ее принудительное применение, то они действуют сразу.
  • Пользователи, на которых распространяется новое правило и у которых включена двухэтапная аутентификация, проходят эту проверку при входе.
  • Во время входа система Google проводит анализ рисков, и, в зависимости от его результатов, пользователю может потребоваться пройти дополнительную проверку.
Как настроить подтверждение личности после системы единого входа
  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемАутентификацияа затемДополнительная аутентификация.
  3. Слева на странице выберите организационное подразделение, для которого нужно установить правило.

    Выберите организационное подразделение верхнего уровня, чтобы задать правила для всех пользователей. По умолчанию организационное подразделение наследует настройки родительской организации.

  4. Нажмите Подтверждение личности после системы единого входа.
  5. Выберите настройки в зависимости от того, как профили SSO используются в вашей организации. Вы можете применить параметр для пользователей, которые входят с помощью профиля SSO для вашей организации, и для тех, кто использует для входа сторонние профили SSO.
  6. В правом нижнем углу нажмите Сохранить.

    Система Google создает запись в журнале аудита администрирования о том, что правило изменено.

Примечание. В редких случаях данные о событиях в журнале могут присутствовать не для всех событий. Мы работаем над решением этой проблемы.

Часто задаваемые вопросы

Секретные вопросы и дополнительная аутентификация | Подтверждение с помощью телефона | Отключение дополнительной аутентификации или контрольной проверки | Дополнительная аутентификация для администраторов

Секретные вопросы и дополнительная аутентификация

Когда требуется контрольная проверка?

Пройти дополнительную аутентификацию необходимо, когда вход в аккаунт расценивается системой как подозрительный (например, выполняется не так, как обычно). Пользователю предлагается подтвердить личность, если во время небезопасного сеанса он попытается выполнить действие, связанное с безопасностью.

Важно! Способ контрольной проверки, которую необходимо будет пройти пользователю, выбирается системой Google на основе различных факторов безопасности и применимости. Это означает, что сотруднику может не потребоваться проходить дополнительную аутентификацию по идентификатору, даже если вы включили эту настройку.

Может ли администратор выбрать, какую дополнительную аутентификацию должны проходить пользователи?

Двухэтапная аутентификация – это разновидность дополнительной аутентификации. Как администратор вы можете включить для пользователей принудительную двухэтапную аутентификацию. В этом случае другие способы дополнительной аутентификации не будут им предлагаться.

Если двухэтапная аутентификация не включена принудительно или отключена у пользователя, способ дополнительной аутентификации, которую ему необходимо пройти, выбирается системой Google на основе различных факторов безопасности и применимости. Это означает, что сотруднику может не потребоваться проходить дополнительную аутентификацию по идентификатору, даже если вы включили эту настройку.

Может ли пользователь обновлять свои данные для восстановления? Мы применяем двухэтапную аутентификацию. Нужна ли дополнительная аутентификация?

Двухэтапная аутентификация – это разновидность дополнительной аутентификации. Пользователям, у которых она включена, не нужно проходить другие проверки. По этой причине в отчетах для администратора каждое событие двухэтапной аутентификации указывается как дополнительная аутентификация.

Как действует дополнительная аутентификация, если включена система единого входа?

Это зависит от того, каким образом вы настроили систему единого входа в своей организации:

  • Если вы настроили профиль SSO для своей организации. По умолчанию дополнительная аутентификация не включена. Однако вы можете настроить подтверждение личности после системы единого входа, чтобы разрешить дополнительные проверки на основе оценки рисков и двухэтапную аутентификацию (если она настроена).
  • Если вы используете другой профиль SSO, любая дополнительная аутентификация (в том числе двухэтапная аутентификация, если она настроена) применяется автоматически.
Доступна ли эта функция в версиях Education?

Да. Дополнительная аутентификация и секретные вопросы доступны во всех версиях Google Workspace.

Как система Google определяет, что попытка входа является подозрительной?

Наша система анализа рисков расценивает попытку входа в аккаунт как подозрительную, когда она выполняется не так, как обычно, например местоположение пользователя не такое, как раньше, или способ входа характерен для взлома.

Подтверждение с помощью телефона

Если у пользователей в организации нет корпоративных телефонов, можно ли использовать другой способ аутентификации?

Да. Существуют разные способы дополнительной аутентификации. В зависимости от имеющейся информации об аккаунте пользователя ему может быть предложен другой способ аутентификации. Например, пользователю может потребоваться указать идентификатор сотрудника либо резервный адрес электронной почты. Если у пользователя нет доступа к телефону, вход можно выполнить с помощью резервного кода. Подробнее…

Как пользователь может изменить резервный номер телефона или адрес электронной почты, связанный с его аккаунтом?

Пользователь может изменить резервный номер телефона или адрес электронной почты в настройках аккаунта.

Может ли пользователь указать вместо резервного номера телефона другие данные для дополнительной аутентификации?

Если пользователь не укажет резервный номер телефона, ему будут предложены другие способы дополнительной аутентификации. Это может быть запрос идентификатора сотрудника или резервного адреса электронной почты.

Как отключить дополнительную аутентификацию или подтверждение личности

Можно ли отключить дополнительную аутентификацию или подтверждение личности, если пользователь не может их пройти?

Да, администратор может отключить дополнительную аутентификацию или подтверждение личности на 10 минут.

Иногда пользователю не удается подтвердить личность (например, если он забыл свой идентификатор или находится вне зоны действия сети, из-за чего невозможно получить код подтверждения на телефон). В таком случае суперадминистратор может отключить дополнительную аутентификацию или подтверждение личности на 10 минут, чтобы разрешить пользователю войти или выполнить действие, связанное с конфиденциальными данными. Будьте внимательны при отключении дополнительной аутентификации или подтверждения личности, поскольку это делает аккаунт менее защищенным от злоумышленников в течение 10-минутного периода.

Можно ли отключить дополнительную аутентификацию или подтверждение личности для организации?

Нет, отключить эту функцию для всей организации нельзя. Ее можно отключать только на время и для отдельных пользователей.

Может ли пользователь самостоятельно отключить эту функцию в настройках аккаунта?

Нет, отключить дополнительную аутентификацию или контрольные проверки администратор может только временно.

Дополнительная аутентификация для администраторов

Как администратору получить доступ к аккаунту, если у него нет возможности подтвердить свою личность?

Администратор может восстановить доступ к своему аккаунту, следуя инструкциям по сбросу пароля на странице входа.

Если вы администратор Google Workspace и у вас возникли проблемы со входом в свой аккаунт, ознакомьтесь со статьей Как восстановить административный доступ к аккаунту.

Что делать, если суперадминистратор не может подтвердить свою личность?

Если у суперадминистратора нет возможности подтвердить свою личность, другой суперадминистратор (если он есть) может на время отключить дополнительную аутентификацию, как описано выше.

Суперадминистратор также может обойти аутентификацию, сбросив пароль.

Примечание. Сбросить пароль с помощью автоматизированной системы могут не все суперадминистраторы. Подробную информацию о восстановлении доступа к аккаунту можно найти в статье Как добавить данные для восстановления пароля.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
9471678066082202759
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false