Weryfikacja dwuetapowa

Ochrona kont Google Workspace za pomocą dodatkowej weryfikacji

Testy zabezpieczające to dodatkowa metoda weryfikowania tożsamości użytkownika. Istnieją 2 rodzaje testów zabezpieczających:

Test zabezpieczający logowanie – jeśli podejrzewamy, że nieupoważniony użytkownik próbuje zalogować się na konto Google Workspace, na jego ekranie pojawia się test zabezpieczający logowanie. Jeśli ten użytkownik nie będzie w stanie podać wymaganych informacji, nie pozwolimy mu zalogować się na konto.
Test potwierdzający tożsamość – jeśli użytkownik próbuje wykonać czynności związane z poufnymi danymi, wyświetlamy test potwierdzający tożsamość. Jeśli użytkownik nie może podać wymaganych informacji, uniemożliwiamy wykonanie takiego działania (użytkownik może nadal korzystać z konta w normalny sposób).

Zanim zaczniesz używać dodatkowej weryfikacji

Sprawdź, czy Twoje konta Google Workspace zawierają potrzebne nam informacje:

Przypomnij pracownikom o dodaniu do swoich kont pomocniczego numeru telefonu i adresu e-mail. Co jakiś czas, gdy będą logować się na konto, będziemy ich prosić o dodanie tych danych.
Dodaj identyfikatory pracownika do kont użytkowników. Zobacz Dodawanie identyfikatora pracownika jako testu zabezpieczającego logowanie.

Otwórz wszystko | Zamknij wszystko

Warianty testów zabezpieczających logowanie

Użytkownik potwierdza swoją tożsamość za pomocą urządzenia mobilnego

Użytkownik wybiera sposób weryfikacji tożsamości

W celu potwierdzenia tożsamości użytkownika Google korzysta z aplikacji zainstalowanej na jego telefonie

Google wysyła SMS-a z kodem weryfikacyjnym

Google dzwoni pod numer telefonu użytkownika i podaje kod weryfikacyjny

Użytkownik wpisuje swój identyfikator pracownika

Jeśli dodasz identyfikator pracownika jako test zabezpieczający logowanie, użytkownicy mogą za jego pomocą potwierdzić swoją tożsamość.

Użytkownik wpisuje swój pomocniczy adres e-mail

Użytkownik może wpisać pomocniczy adres e-mail jako test zabezpieczający logowanie.

Testy potwierdzające tożsamość w przypadku działań związanych z danymi poufnymi

Jeśli użytkownik Google Workspace spróbuje wykonać działanie dotyczące poufnych danych, może zobaczyć prośbę o potwierdzenie tożsamości. Jeśli nie może podać wymaganych informacji, Google uniemożliwi wykonanie tego działania.

Działanie dotyczące poufnych danych zostało zablokowane

W przypadku większości użytkowników, którzy zobaczą test potwierdzający tożsamość związany z działaniem dotyczącym poufnych danych, wyświetli się okno o tytule Działanie dotyczące poufnych danych zostało zablokowane. Użytkownik otrzyma polecenie, aby spróbować ponownie z urządzenia, którego zwykle używa (np. telefonu lub laptopa), lub z miejsca, z którego zwykle się loguje.

W tej chwili nie można wykonać tej czynności

Niektórzy użytkownicy mają urządzenia lub klucze bezpieczeństwa, które zostały niedawno dodane do ich kont, dlatego nie mogą od razu potwierdzić swojej tożsamości w odpowiedzi na test zabezpieczający. W przypadku tych użytkowników wyświetla się okno o tytule W tej chwili nie można wykonać tej czynności. Będą oni mogli potwierdzić swoją tożsamość po co najmniej 7 dniach od powiązania urządzenia, numeru telefonu lub klucza bezpieczeństwa z kontem.

Przykłady działań dotyczących poufnych danych

Oto kilka przykładów działań dotyczących poufnych danych:

wyłączenie weryfikacji dwuetapowej,
zezwolenie aplikacji na dostęp do danych Google,
zmiana pomocniczego adresu e-mail lub numeru telefonu do odzyskiwania konta,
pobranie danych konta,
zmiana nazwy na koncie.

Włączanie testów zabezpieczających logowanie przy użyciu SSO

Jeśli Twoja organizacja korzysta z zewnętrznych dostawców tożsamości do uwierzytelniania użytkowników korzystających z logowania jednokrotnego (SSO) przez SAML, możesz wyświetlać tym użytkownikom dodatkowe testy zabezpieczające logowanie oparte na ryzyku oraz stosować weryfikację dwuetapową (jeśli została skonfigurowana) po uwierzytelnieniu użytkownika przez dostawcę tożsamości podczas logowania.

Domyślne ustawienie weryfikacji po logowaniu jednokrotnym zależy od typu użytkownika SSO:

W przypadku użytkowników logujących się przy użyciu profilu logowania jednokrotnego w Twojej organizacji domyślnym ustawieniem jest pominięcie dodatkowych testów zabezpieczających logowanie i weryfikacji dwuetapowej.
W przypadku użytkowników logujących się przy użyciu innych profili logowania jednokrotnego domyślnym ustawieniem jest stosowanie dodatkowych testów zabezpieczających logowanie i weryfikacji dwuetapowej.

Aby zmienić domyślne ustawienia dla każdego z tych typów użytkowników, wykonaj czynności opisane poniżej w sekcji Konfigurowanie weryfikacji po logowaniu jednokrotnym.

Przypadki użycia dodatkowych testów zabezpieczających logowanie przy użyciu SSO

Chcesz używać kluczy bezpieczeństwa w celu maksymalnej ochrony dostępu do poufnych materiałów znajdujących się na serwerach Google, ale obecny dostawca tożsamości nie obsługuje kluczy bezpieczeństwa.
Chcesz zaoszczędzić na kosztach związanych z zewnętrznym dostawcą tożsamości, ponieważ w większości przypadków użytkownicy korzystają z zasobów Google.
Nie chcesz używać uwierzytelniania Google (Google jako dostawcy tożsamości), ale chcesz korzystać ze wszystkich testów Google zabezpieczających logowanie opartych na ryzyku.
Chcesz, aby firma Google zabezpieczała działania dotyczące danych poufnych wykonywane w ekosystemie Google.

Następstwa zastosowania dodatkowych testów zabezpieczających logowanie

Aby wdrożenie dodatkowych testów przebiegło bezproblemowo, poinformuj użytkowników o nowych zasadach logowania i o tym, kiedy zostaną wprowadzone. Oto co się stanie, gdy włączysz dodatkowe testy zabezpieczające logowanie:

Jeśli masz skonfigurowane zasady weryfikacji dwuetapowej (na przykład wymóg stosowania tej funkcji), są one stosowane natychmiast.
Użytkownicy, których dotyczy nowa zasada i którzy korzystają z weryfikacji dwuetapowej, muszą przejść taką weryfikację podczas logowania.
Na podstawie analizy ryzyka dotyczącego logowania przeprowadzanej przez Google użytkownicy mogą zobaczyć testy zabezpieczające logowanie oparte na ryzyku.

Konfigurowanie weryfikacji po logowaniu jednokrotnym

Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
W konsoli administracyjnej otwórz menu Bezpieczeństwo Uwierzytelnianie Testy zabezpieczające logowanie.
Po lewej wybierz jednostkę organizacyjną, w której chcesz skonfigurować zasadę.
Aby ustawienia obejmowały wszystkich użytkowników, wybierz jednostkę organizacyjną najwyższego poziomu. Początkowo jednostki organizacyjne dziedziczą ustawienia organizacji nadrzędnej.
Kliknij Weryfikacja po logowaniu jednokrotnym.
Wybierz ustawienia zależne od tego, jak używasz profili logowania jednokrotnego w organizacji. Ustawienie możesz zastosować dla użytkowników, którzy używają profilu logowania jednokrotnego w Twojej organizacji, oraz dla użytkowników logujących się za pomocą innych profili logowania jednokrotnego.
W prawym dolnym rogu kliknij Zapisz.
Google tworzy wpis w dzienniku kontrolnym administratora, aby wskazać zmianę zasad.

Uwaga: w rzadkich przypadkach dane zdarzeń z dziennika mogą nie być dostępne dla wszystkich zdarzeń. Pracujemy nad rozwiązaniem tego problemu.

Najczęstsze pytania

Dodatkowe pytania zabezpieczające i testy zabezpieczające logowanie | Weryfikacja przy użyciu telefonu | Wyłączanie dodatkowej weryfikacji | Administratorzy

Dodatkowe pytania zabezpieczające i testy zabezpieczające logowanie

Kiedy użytkownik zobaczy test w ramach dodatkowej weryfikacji?

Test zabezpieczający logowanie jest pokazywany, gdy wykryjemy podejrzaną próbę logowania, jeśli na przykład użytkownik spróbuje zalogować się w inny sposób niż zwykle. U użytkownika, który podejmie próbę wykonania działania dotyczącego poufnych danych, zostanie wyświetlony test potwierdzający tożsamość.

Ważne: Google decyduje, który z testów dodatkowej weryfikacji wyświetlić użytkownikowi, na podstawie różnych czynników dotyczących bezpieczeństwa i użyteczności. Na przykład test zabezpieczający logowanie oparty na identyfikatorze pracownika może nie być zawsze wyświetlany określonemu użytkownikowi, nawet jeśli test jest włączony.

Czy jako administrator mogę wybrać, jaki typ testu zabezpieczającego logowanie zostanie pokazany moim użytkownikom?

Weryfikacja dwuetapowa jest rodzajem testu zabezpieczającego logowanie. Jako administrator możesz wymusić weryfikację dwuetapową dla swoich użytkowników. W tym wypadku nie otrzymają oni innego rodzaju testów zabezpieczających opartych na ryzyku.

Jeśli nie wymusisz weryfikacji dwuetapowej dla swoich użytkowników albo jeśli dany użytkownik nie ma jej włączonej, Google zdecyduje o najbardziej odpowiednim rodzaju testu zabezpieczającego logowane dla tego użytkownika. Podstawą do określenia, który test można przedstawić użytkownikowi, są zróżnicowane czynniki bezpieczeństwa i użyteczności. Na przykład test zabezpieczający logowanie oparty na identyfikatorze pracownika może nie być zawsze wyświetlany określonemu użytkownikowi, nawet jeśli test jest włączony.

Czy użytkownicy mogą aktualizować swoje informacje umożliwiające odzyskanie dostępu do konta?

Tak. Szczegółowe informacje znajdziesz w artykule Ustawianie pomocniczego numeru telefonu lub adresu e-mail.

Korzystamy z weryfikacji dwuetapowej. Dlaczego potrzebujemy testów zabezpieczających logowanie?

Weryfikacja dwuetapowa jest rodzajem testu zabezpieczającego logowanie. Gdy użytkownicy mają ją włączoną, nie zobaczą innego testu zabezpieczającego logowanie. Z tego samego powodu raporty administracyjne pokazują każdą weryfikację dwuetapową jako test zabezpieczający logowanie.

Jak działają testy zabezpieczające logowanie, gdy mam włączone logowanie jednokrotne?

Zależy to od konfiguracji logowania jednokrotnego w organizacji:

Jeśli masz skonfigurowany profil logowania jednokrotnego dla organizacji – domyślnie testy zabezpieczające logowanie nie są włączone. Możesz jednak skonfigurować weryfikację po logowaniu SSO, aby zezwolić na dodatkowe testy zabezpieczające uwierzytelnianie oparte na ryzyku oraz weryfikację dwuetapową (jeśli została ona skonfigurowana).
Jeśli używasz innego profilu logowania SSO, wszystkie dodatkowe testy zabezpieczające logowanie (w tym weryfikacja dwuetapowa, jeśli jest skonfigurowana) zostaną zastosowane automatycznie.

Czy ta funkcja jest dostępna w wersjach Education

Tak, wszystkie wersje Google Workspace obsługują dodatkowe pytania zabezpieczające i testy zabezpieczające logowanie.

Kiedy Google uznaje próbę zalogowania się za podejrzaną?

Nasz system analizy ryzyka określa, czy dana próba logowania jest podejrzana, na podstawie tego, czy wykracza ona poza normalny wzorzec zachowania użytkownika. Użytkownik może na przykład próbować zalogować się z innego miejsca niż zwykle lub w sposób świadczący o nadużyciu.

Weryfikacja przy użyciu telefonu

Czy jeśli użytkownicy nie mają telefonów służbowych, to mogę w inny sposób weryfikować ich konta?

Tak, istnieją różne typy testów zabezpieczających logowanie. W zależności od tego, jakie informacje o koncie użytkownika są dostępne, użytkownikom są prezentowane różne testy zabezpieczające logowanie, na przykład wymagające wpisania identyfikatora pracownika lub pomocniczego adresu e-mail. Jeśli użytkownik nie ma dostępu do telefonu, może zalogować się za pomocą kodów zapasowych. Więcej informacji znajdziesz w artykule Logowanie się przy użyciu kodów zapasowych.

W jaki sposób użytkownik może zaktualizować pomocniczy numer telefonu lub adres e-mail powiązany ze swoim kontem?

Użytkownik może aktualizować informacje dotyczące odzyskiwania w ustawieniach konta.

Czy użytkownik może zdecydować się na kryteria weryfikacji inne niż pomocniczy numer telefonu?

Jeśli użytkownik nie poda swojego pomocniczego numeru telefonu, zostaną zastosowane inne testy zabezpieczające logowanie, takie jak wpisanie pomocniczego adresu e-mail lub użycie identyfikatora pracownika.

Wyłączanie testu zabezpieczającego logowanie lub potwierdzającego tożsamość

Jeśli użytkownik nie może potwierdzić swojej tożsamości, czy mogę wyłączyć test zabezpieczający logowanie lub potwierdzający tożsamość?

Tak, administrator może na 10 minut wyłączyć oba te testy.

Czasami pełnoprawny użytkownik nie może zweryfikować swojej tożsamości. Może na przykład być poza zasięgiem sieci komórkowej, co uniemożliwia odebranie kodu weryfikacyjnego. Może też zapomnieć lub zgubić swój identyfikator pracownika. Jeśli tak się stanie, jako superadministrator możesz na 10 minut wyłączyć test zabezpieczający logowanie lub potwierdzający tożsamość, aby umożliwić mu zalogowanie się lub wykonanie działania dotyczącego poufnych danych. Zachowaj ostrożność przy wyłączaniu testów zabezpieczających logowanie lub potwierdzających tożsamość, ponieważ przez te 10 minut konto jest słabiej chronione przed hakerami.

Nie. Tej funkcji nie można wyłączyć w całej organizacji. Można ją jednak wyłączyć tymczasowo lub dla poszczególnych użytkowników.

Czy użytkownik może wyłączyć te testy w swoich ustawieniach konta?

Nie. Tylko administrator może tymczasowo wyłączyć testy zabezpieczające logowanie lub potwierdzające tożsamość.

Testy zabezpieczające logowanie dla administratorów

W jaki sposób administrator, który nie może zweryfikować swojej tożsamości, może ponownie uzyskać dostęp do swojego konta?

Jako administrator możesz odzyskać dostęp do swojego konta, resetując hasło zgodnie z instrukcjami wyświetlanymi na stronie logowania.

Jeśli jesteś administratorem Google Workspace, ale masz problemy z zalogowaniem się na konto administratora, zapoznaj się z artykułem Odzyskiwanie dostępu administratora do konta.

Co jeśli superadministrator nie może zweryfikować swojej tożsamości?

Gdy superadministrator nie może zweryfikować swojej tożsamości, inny superadministrator (jeśli istnieje) może tymczasowo wyłączyć test zabezpieczający logowanie, wykonując czynności opisane powyżej.

Superadministrator może też pominąć test zabezpieczający logowanie, resetując swoje hasło.

Uwaga: opcja automatycznego resetowania hasła nie jest dostępna dla wszystkich superadministratorów. Więcej informacji znajdziesz w artykule Dodawanie opcji odzyskiwania na koncie administratora.

Czy to było pomocne?

Jak możemy ją poprawić?