Sicherheitsmaßnahmen sind zusätzliche Maßnahmen zum Schutz der Nutzeridentität. Es gibt zwei Arten von Sicherheitsmaßnahmen:
- Identitätsbestätigung: Wenn wir vermuten, dass sich ein nicht autorisierter Nutzer in einem Google Workspace-Konto anmelden möchte, erhält er eine Aufforderung zur Identitätsbestätigung. Wenn der Nutzer die angeforderten Informationen nicht eingeben kann, darf er sich nicht im Konto anmelden.
- Nutzerbestätigung: Wenn ein Nutzer Aktionen versucht, die als vertraulich eingestuft werden, erhält er eine Aufforderung zur Nutzerbestätigung. Wenn der Nutzer die angeforderten Informationen nicht eingeben kann, wird die vertrauliche Aktion von Google abgelehnt. (Das Konto kann als normal weiterverwendet werden.)
Bevor Sie Sicherheitsmaßnahmen verwenden können
Achten Sie darauf, dass Ihre Google Workspace-Konten die erforderlichen Informationen bereitstellen können:
- Erinnern Sie Ihre Mitarbeiter daran, ihrem Konto eine Telefonnummer und eine E-Mail-Adresse zur Kontowiederherstellung hinzuzufügen. Wir werden sie gelegentlich zur Hinzufügung dieser Informationen auffordern, wenn sie sich in ihren Konten anmelden.
- Ihren Nutzerkonten Mitarbeiter-IDs hinzufügen. Weitere Informationen finden Sie unter Mitarbeiter-ID als Identitätsbestätigung einrichten.
Arten der Identitätsbestätigung
Nutzer entscheidet, wie er seine Identität bestätigt
Google verwendet eine auf dem Smartphone des Nutzers installierte App, um seine Identität zu bestätigen
Google sendet eine SMS mit einem Bestätigungscode
Google ruft das Telefon des Nutzers an und stellt einen Bestätigungscode bereit
Nutzerbestätigung für vertrauliche Aktionen
Wenn ein Google Workspace-Nutzer eine vertrauliche Aktion ausführen möchte, erhält er möglicherweise eine Aufforderung zur Nutzerbestätigung. Wenn der Nutzer die angeforderten Informationen nicht eingeben kann, wird die vertrauliche Aktion von Google abgelehnt.
Bei den meisten Nutzern, die eine vertrauliche Aktion bestätigen müssen, wird ein Fenster mit der Überschrift Vertrauliche Aktion blockiert angezeigt. Der Nutzer wird aufgefordert, den Vorgang auf einem Gerät zu versuchen, das er normalerweise verwendet, wie auf seinem Smartphone oder Laptop, oder auf dem Gerät, von dem aus er sich normalerweise anmeldet.
Da einige Nutzer Geräte oder Sicherheitsschlüssel haben, die kürzlich zu ihrem Konto hinzugefügt wurden, können sie ihre Identität aufgrund einer Sicherheitsmaßnahme nicht sofort bestätigen. Diese Nutzer sehen ein Fenster mit dem Titel Diese Aktion kann momentan nicht durchgeführt werden. Diese Nutzer können ihre Identität bestätigen, nachdem ein Gerät, eine Telefonnummer oder ein Sicherheitsschlüssel mindestens sieben Tage lang mit ihrem Konto verknüpft war.
Hier einige Beispiele für sensible Aktionen:
- Deaktivieren der Bestätigung in zwei Schritten
- Apps den Zugriff auf Google-Daten gewähren
- E-Mail-Adresse oder Telefonnummer zur Kontowiederherstellung ändern
- Kontodaten herunterladen
- Den Namen im Konto ändern
Identitätsbestätigungen mit Einmalanmeldung aktivieren
Wenn Ihre Organisation externe Identitätsanbieter (Identity Providers, IdPs) verwendet, um Nutzer mit der Einmalanmeldung (SSO) über SAML zu authentifizieren, können Sie diesen Nutzern zusätzliche risikoabhängige Identitätsbestätigungen anbieten und –falls konfiguriert – die Bestätigung in zwei Schritten anwenden, nachdem der IdP einen Nutzer während der Anmeldung authentifiziert hat.
Die Standardeinstellung für die Bestätigung nach der SSO hängt vom SSO-Nutzertyp ab:
- Für Nutzer, die sich mit dem SSO-Profil für Ihre Organisation anmelden, ist die Standardeinstellung, zusätzliche Identitätsbestätigungen und die Bestätigung in zwei Schritten zu umgehen.
- Für Nutzer, die sich über andere SSO-Profile anmelden, werden in der Standardeinstellung zusätzliche Identitätsbestätigungen und die Bestätigung in zwei Schritten angewendet.
Um die Standardeinstellungen für beide Nutzertypen zu ändern, folgen Sie der Anleitung unter Nach der SSO-Bestätigung einrichten unten.
- Sie möchten Sicherheitsschlüssel verwenden, um maximale Sicherheit zu gewährleisten und den Zugriff auf vertrauliche, von Google gehostete Ressourcen zu schützen. Ihr aktueller Identitätsanbieter unterstützt jedoch keine Sicherheitsschlüssel.
- Sie möchten die Kosten für einen externen Identitätsanbieter sparen, da Nutzer in den meisten Fällen auf Google-Ressourcen zugreifen.
- Sie möchten keine Google-Authentifizierung (Google als Identitätsanbieter), sondern alle risikoabhängigen Identitätsbestätigungen von Google nutzen.
- Sie möchten, dass Google vertrauliche Aktionen in der Google-Umgebung schützt.
- Wenn Sie Richtlinien für die Bestätigung in zwei Schritten haben (und diese beispielsweise erzwingen), gelten diese Richtlinien sofort.
- Wenn Nutzer von der neuen Richtlinie betroffen und für die Bestätigung in zwei Schritten registriert sind, wird von ihnen bei der Anmeldung die Bestätigung in zwei Schritten verlangt.
- Auf Grundlage der Risikoanalyse von Google sehen Nutzer bei der Anmeldung möglicherweise risikoabhängige Identitätsbestätigungen.
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitAuthentifizierungIdentitätsbestätigungen.
- Wählen Sie links die Organisationseinheit aus, für die Sie die Richtlinie festlegen möchten.
Wenn die Einstellungen für alle Nutzer in der Organisation gelten sollen, ist das die oberste Organisationsebene. Dabei gehen Einstellungen erst einmal von der übergeordneten Organisationseinheit auf die anderen über.
- Klicken Sie auf Identitätsbestätigung nach der Einmalanmeldung (SSO).
- Wählen Sie die Einstellungen entsprechend der Verwendung von SSO-Profilen in Ihrer Organisation aus. Sie können eine Einstellung für Nutzer anwenden, die das SSO-Profil für Ihre Organisation verwenden, sowie für Nutzer, die sich über andere SSO-Profile anmelden.
- Klicken Sie rechts unten auf Speichern.
Google erstellt einen Eintrag im Audit-Log für die Admin-Konsole, um die Änderung der Richtlinie zu dokumentieren.
Hinweis: In seltenen Fällen sind Logereignisdaten nicht für alle Ereignisse vorhanden. Wir arbeiten an der Lösung dieses Problems.
FAQ
Zusätzliche Sicherheitsfragen und Identitätsbestätigung | Bestätigung der Telefonnummer | Identitätsbestätigung oder Sicherheitsmaßnahme deaktivieren | Administratoren
Zusätzliche Sicherheitsfragen und Identitätsbestätigung
Wann wird eine Sicherheitsmaßnahme angewendet?Die Identitätsbestätigung wird verlangt, wenn eine verdächtige Anmeldung festgestellt wurde. Dies ist zum Beispiel der Fall, wenn das Anmeldeverhalten des Nutzers von seinem bisherigen Verhalten abweicht. Ein Nutzer erhält eine Nutzerbestätigung, wenn der Versuch einer vertraulichen Aktion zu einer riskanten Sitzung führt.
Wichtig: Google entscheidet, in welcher Form ein Nutzer seine Identität bestätigen muss. Dabei werden verschiedene Sicherheitsfaktoren und Gesichtspunkte der Nutzerfreundlichkeit berücksichtigt. Das bedeutet beispielsweise: Auch wenn Sie die Identitätsbestätigung durch Eingabe der Mitarbeiter-ID aktiviert haben, kann es vorkommen, dass Nutzer ihre Identität bei der Anmeldung auf andere Weise bestätigen müssen.
Die Bestätigung in zwei Schritten ist eine Art der Identitätsbestätigung. Als Administrator können Sie für Ihre Nutzer die Bestätigung in zwei Schritten erzwingen. Dadurch werden ihnen keine weiteren Arten von risikobasierten Identitätsbestätigungen angezeigt.
Wenn Sie die Bestätigung in zwei Schritten für Ihre Nutzer nicht erzwingen oder wenn ein Nutzer sie nicht aktiviert hat, entscheidet Google, welche Art der Identitätsbestätigung für diesen Nutzer angemessen ist. Dabei werden verschiedene Sicherheitsfaktoren und Gesichtspunkte der Nutzerfreundlichkeit berücksichtigt. Das bedeutet beispielsweise: Auch wenn Sie die Identitätsbestätigung durch Eingabe der Mitarbeiter-ID aktiviert haben, kann es vorkommen, dass Nutzer ihre Identität bei der Anmeldung auf andere Weise bestätigen müssen.
Ja. Weitere Informationen finden Sie unter Telefonnummer oder E-Mail-Adresse zur Kontowiederherstellung einrichten.
Die Bestätigung in zwei Schritten ist eine Art der Identitätsbestätigung. Wenn Ihre Nutzer sie aktiviert haben, werden von ihnen keine weiteren Identitätsbestätigungen verlangt. Aus diesem Grund wird auch in Administratorberichten jede Bestätigung in zwei Schritten als Identitätsbestätigung angezeigt.
Das hängt davon ab, wie Sie die SSO in Ihrer Organisation konfiguriert haben:
- Wenn Sie für Ihre Organisation ein SSO-Profil konfiguriert haben: Standardmäßig sind keine Identitätsbestätigungen aktiviert. Sie können jedoch die Identitätsbestätigung nach der Einmalanmeldung (SSO) einrichten, um zusätzliche risikoabhängige Identitätsbestätigungen für die Authentifizierung und die Bestätigung in zwei Schritten zu ermöglichen, sofern sie konfiguriert sind.
- Wenn Sie ein anderes SSO-Profil verwenden, werden alle zusätzlichen Identitätsbestätigungen (einschließlich Bestätigung in zwei Schritten) angewendet.
Ja, in allen Google Workspace-Versionen werden zusätzliche Sicherheitsfragen und die Identitätsbestätigung verwendet.
Unser System zur Risikoanalyse stuft eine Anmeldung als verdächtig ein, wenn sie nicht dem üblichen Verhalten des Nutzers entspricht, also beispielsweise dann, wenn sich ein Nutzer von einem neuen Ort aus anmeldet oder die Verhaltensweise auf einen Missbrauch hindeutet.
Bestätigung per Telefon
Können meine Nutzer ihr Konto auch ohne geschäftlich genutztes Telefon bestätigen?Ja, es gibt verschiedene Arten von Identitätsbestätigungen. Die Identitätsbestätigung richtet sich nach den Informationen, die für ein Nutzerkonto zur Verfügung stehen. Nutzer werden beispielsweise aufgefordert, ihre Mitarbeiter-ID oder die E-Mail-Adresse zur Kontowiederherstellung anzugeben. Hat ein Nutzer keinen Zugriff auf sein Smartphone, kann er sich über einen Back-up-Code anmelden. Weitere Informationen finden Sie im Hilfeartikel Mit Back-up-Codes anmelden.
Diese Informationen lassen sich jederzeit in den Kontoeinstellungen aktualisieren.
Wenn ein Nutzer seine Telefonnummer nicht angibt, sind alternative Identitätsbestätigungen verfügbar, etwa die Eingabe der Mitarbeiter-ID oder der E-Mail-Adresse zur Kontowiederherstellung.
Identitäts- oder Nutzerbestätigung deaktivieren
Kann ich die Identitäts- oder Nutzerbestätigung deaktivieren, wenn der Nutzer seine Identität nicht bestätigen kann?Ja, ein Administrator kann die Identitätsbestätigung für zehn Minuten deaktivieren.
Es kann vorkommen, dass ein autorisierter Nutzer nicht in der Lage ist, seine Identität zu bestätigen, z. B. wenn der Nutzer keinen Empfang hat und daher den Bestätigungscode nicht erhält oder wenn der Nutzer seine Mitarbeiter-ID nicht parat hat. In diesem Fall können Sie als Super Admin die Identitäts- oder Nutzerbestätigung für zehn Minuten deaktivieren, damit sich der Nutzer anmelden oder die vertrauliche Aktion ausführen kann. Seien Sie vorsichtig beim Deaktivieren der Identitäts- oder Nutzerbestätigung, da das Konto während des 10-minütigen Zeitfensters weniger gut vor Kontodiebstahl geschützt ist.
Nein, diese Funktion lässt sich nicht für Ihre gesamte Organisation deaktivieren. Dies ist nur zeitlich begrenzt für einzelne Nutzer möglich.
Nein, nur ein Administrator kann die Identitätsbestätigung oder Sicherheitsmaßnahmen vorübergehend deaktivieren.
Identitätsbestätigungen für Administratoren
Wie erhält ein Administrator, der seine Identität nicht bestätigen kann, Zugriff auf sein Konto?Als Administrator können Sie wieder Zugriff auf Ihr Konto erhalten, indem Sie der Anleitung zum Zurücksetzen des Passworts auf der Anmeldeseite folgen.
Wenn Sie Google Workspace-Administrator sind und Probleme bei der Anmeldung in Ihrem Administratorkonto haben, lesen Sie die Informationen unter Administratorzugriff auf Ihr Konto wiederherstellen.
In diesem Fall kann ein anderer Super Admin die Identitätsbestätigung wie oben beschrieben vorübergehend deaktivieren.
Der Super Admin kann außerdem sein Passwort zurücksetzen und die Identitätsbestätigung auf diese Weise umgehen.
Hinweis: Die Option zum automatischen Zurücksetzen des Passworts ist nicht für alle Super Admins verfügbar. Weitere Informationen zur Wiederherstellung des Administratorkontos finden Sie im Hilfeartikel Meinem Administratorkonto Wiederherstellungsoptionen hinzufügen.