Как проверяется личность пользователя с помощью дополнительных мер безопасности

Если в Google фиксируется подозрительная попытка доступа к аккаунту пользователя, система требует ответить на секретный вопрос или пройти дополнительную аутентификацию. Например, мы можем отправить код подтверждения на телефонный номер владельца аккаунта. Если пользователь не сможет ответить на секретный вопрос или пройти дополнительную аутентификацию, он не получит доступ к аккаунту.

Развернуть все | Свернуть все

Типы дополнительной аутентификации

Способ аутентификации, которую необходимо будет пройти пользователю, выбирается системой Google на основе нескольких факторов безопасности.

Дополнительная аутентификация на мобильном устройстве
  • Уведомление, в котором пользователю нужно нажать Да, а затем – показанный номер.
  • SMS или звонок на резервное устройство пользователя, которые предоставляют код подтверждения и инструкции о том, как получить доступ к аккаунту.

Если в вашей организации включена функция управления конечными точками Google, пользователям может потребоваться подтвердить личность с помощью управляемого мобильного устройства (того, которое обычно используется ими для входа в корпоративный аккаунт). Дополнительную информацию можно найти в статье Общие сведения об управлении конечными точками Google.

При запросе на подтверждение личности с помощью мобильного устройства появляется одно из следующих сообщений:
Дополнительная аутентификация по идентификатору сотрудника
Для дополнительной аутентификации можно использовать идентификатор сотрудника. В отличие от других способов подтверждения личности, идентификатор сложнее угадать или получить путем фишинга. Прежде чем использовать этот тип дополнительной аутентификации, убедитесь, что идентификаторы связаны с соответствующими аккаунтами пользователей. Подробнее… 
При запросе на подтверждение личности с помощью идентификатора появляется следующее сообщение:
Дополнительная аутентификация с помощью резервного адреса электронной почты
При подозрительной попытке входа пользователю для аутентификации потребуется указать дополнительный (резервный) адрес электронной почты. При запросе на подтверждение личности с помощью резервного адреса электронной почты появляется следующее сообщение:

Что необходимо сделать, прежде чем использовать дополнительную аутентификацию

Чтобы иметь возможность подтвердить личность с помощью резервного номера телефона или адреса электронной почты, пользователь сначала должен предоставить эти сведения. При входе в аккаунт ему будет предложено указать свой резервный номер телефона или адрес. Сообщение будет появляться до тех пор, пока эти данные не будут введены. Если вы используете аутентификацию по идентификаторам, убедитесь, что они связаны с соответствующими аккаунтами пользователей. Подробнее…

Использование дополнительной аутентификации с системой единого входа

Многие клиенты пользуются сторонними поставщиками идентификационной информации для выполнения аутентификации пользователей в системе единого входа с помощью SAML. Сторонние поставщики проводят аутентификацию пользователей без дополнительных проверок на основе оценки рисков. При этом конфигурация двухэтапной аутентификации Google игнорируется. Такой подход используется по умолчанию.

Вы можете установить правила, предусматривающие дополнительные проверки на основе оценки рисков и двухэтапную аутентификацию, если она настроена. Если система Google получает действительное утверждение SAML (данные для аутентификации пользователя) от поставщика идентификационной информации, она может активировать для пользователя дополнительные проверки.

Примеры использования дополнительной аутентификации с системой единого входа
  • Вы хотите использовать электронные ключи для максимально эффективной защиты конфиденциальных ресурсов, размещенных на серверах Google, но ваш поставщик идентификационной информации не поддерживает этот способ аутентификации.
  • Вы хотите сэкономить на услугах стороннего поставщика идентификационной информации, потому что в большинстве случаев пользователи работают с ресурсами Google.
  • Вам не нужна аутентификация Google как поставщика идентификационной информации, но вы хотите использовать все проверки Google на основе оценки рисков.
Что происходит, когда вы включаете дополнительную аутентификацию
Для более эффективного внедрения новых правил сообщите о них пользователям заранее. Если при входе применяется дополнительная аутентификация, происходит следующее:
  • Если у вас установлены правила двухэтапной аутентификации, например ее принудительное применение, то они действуют сразу.
  • Пользователи, на которых распространяется новое правило и у которых включена двухэтапная аутентификация, проходят эту проверку при входе.
  • Во время входа система Google проводит анализ рисков, и, в зависимости от его результатов, пользователю может потребоваться пройти дополнительную проверку.
Как настроить подтверждение личности после системы единого входа
  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасностьа затемДополнительная аутентификация.
  3. Слева на странице выберите организационное подразделение, для которого нужно установить правило.
    Для всех пользователей выберите организационное подразделение верхнего уровня. По умолчанию организационное подразделение наследует настройки родительской организации.
  4. Нажмите Подтверждение личности после системы единого входа.
  5. Выберите Прохождение дополнительной аутентификации (если применимо) и двухэтапной аутентификации (если настроена) является обязательным после использования системы единого входа.
    Система Google создает запись в журнале аудита администрирования о том, что правило изменено. Новое правило позволяет проводить дополнительную аутентификацию на основе оценки рисков и двухэтапную аутентификацию, если она настроена. По умолчанию дополнительная аутентификация пропускается.
  6. В правом нижнем углу нажмите Сохранить.

Часто задаваемые вопросы

Секретные вопросы и дополнительная аутентификация | Подтверждение с помощью телефона | Отключение дополнительной аутентификации | Дополнительная аутентификация для администраторов

Секретные вопросы и дополнительная аутентификация

Когда требуется дополнительная аутентификация или ответ на секретный вопрос?

Пройти дополнительную аутентификацию необходимо, когда вход в аккаунт расценивается системой как подозрительный (например, выполняется не так, как обычно).

Важно! Способ аутентификации, которую необходимо будет пройти пользователю, выбирается системой Google на основе различных факторов безопасности и применимости. Это означает, что сотруднику может не потребоваться проходить дополнительную аутентификацию по идентификатору, даже если вы включили эту настройку.

Может ли администратор выбрать, какую дополнительную аутентификацию должны проходить пользователи?

Двухэтапная аутентификация – это разновидность дополнительной аутентификации. Как администратор, вы можете включить для пользователей принудительную двухэтапную аутентификацию. В этом случае другие способы дополнительной аутентификации не будут им предлагаться.

Если такая аутентификация не включена принудительно или отключена у пользователя, способ дополнительной аутентификации, которую ему необходимо пройти, выбирается системой Google на основе различных факторов безопасности и применимости. Это означает, что сотруднику может не потребоваться проходить дополнительную аутентификацию по идентификатору, даже если вы включили эту настройку.

Может ли пользователь обновлять свои данные для восстановления? Мы применяем двухэтапную аутентификацию. Нужна ли дополнительная аутентификация?

Двухэтапная аутентификация – это разновидность дополнительной аутентификации. Пользователям, у которых она включена, не нужно проходить другие проверки. По этой причине в отчетах для администратора каждое событие двухэтапной аутентификации указывается как дополнительная аутентификация.

Как выполняется дополнительная аутентификация, если включена система единого входа?

По умолчанию в организациях с системой единого входа дополнительная аутентификация отключена. Доступный в консоли администратора параметр подтверждения личности после системы единого входа позволяет установить правило, которое активирует дополнительную проверку на основе оценки рисков и двухэтапную аутентификацию, если она настроена.

Доступна ли эта функция в версиях Education?

Да. Дополнительная аутентификация и секретные вопросы доступны во всех версиях Google Workspace.

Как система Google определяет, что попытка входа является подозрительной?

Наша система анализа рисков расценивает попытку входа в аккаунт как подозрительную, когда она выполняется не так, как обычно, например если пользователь пытается войти из нетипичного места или способом, характерным для взлома.

Подтверждение с помощью телефона

Если у пользователей в организации нет корпоративных телефонов, можно ли использовать другой способ аутентификации?

Да. Существуют разные способы дополнительной аутентификации. В зависимости от имеющейся информации об аккаунте пользователя ему может быть предложен другой способ аутентификации. Например, пользователю может потребоваться указать идентификатор сотрудника либо резервный адрес электронной почты. Если у пользователя нет доступа к телефону, вход можно выполнить с помощью резервного кода. Подробнее…

Как пользователь может изменить резервный номер телефона или адрес электронной почты, связанный с его аккаунтом?

Пользователь может изменить резервный номер телефона или адрес электронной почты в настройках аккаунта.

Может ли пользователь указать вместо резервного номера телефона другие данные для дополнительной аутентификации?

Если пользователь не укажет резервный номер телефона, ему будут предложены другие способы дополнительной аутентификации. Это может быть запрос идентификатора сотрудника или резервного адреса электронной почты.

Отключение дополнительной аутентификации

Можно ли отключить дополнительную аутентификацию, если пользователь не может ее пройти?

Иногда пользователю не удается подтвердить личность (например, если он забыл свой идентификатор или находится вне зоны действия сети, из-за чего невозможно получить код подтверждения на телефон).

В этом случае вы можете временно отключить дополнительную аутентификацию.

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Пользователи.
  3. Нажмите на имя пользователя, чтобы перейти к странице сведений о его аккаунте.
  4. Нажмите Безопасность.
  5. Нажмите Дополнительная аутентификация.
  6. Нажмите Отключить на 10 минут.

Изменение вступит в силу в аккаунте пользователя через несколько минут. После этого дополнительная аутентификация будет отключена в течение 10 минут, чтобы пользователь смог войти в аккаунт.

Совет. Вы также можете изменить пароль пользователя, чтобы предоставить ему доступ к сеансу, заблокированному из-за того, что он не смог пройти дополнительную аутентификацию.

Можно ли отключить дополнительную аутентификацию для организации?

Нет, отключить эту функцию для всей организации нельзя. Ее можно отключать только на время и для отдельных пользователей.

Может ли пользователь самостоятельно отключить эту функцию в настройках аккаунта?

Нет, отключить дополнительную аутентификацию может только администратор.

Дополнительная аутентификация для администраторов

Как администратору получить доступ к аккаунту, если у него нет возможности подтвердить свою личность?

Администратор может обойти дополнительную аутентификацию и восстановить доступ к своему аккаунту, сбросив пароль. Для этого нужно перейти по ссылке Нажмите, чтобы сбросить пароль в нижней части окна Дополнительная аутентификация.

Что делать, если суперадминистратор не может подтвердить свою личность?

Если у суперадминистратора нет возможности подтвердить свою личность, другой суперадминистратор (если он есть) может на время отключить дополнительную аутентификацию, как описано выше.

Суперадминистратор также может обойти аутентификацию, сбросив пароль. Для этого нужно перейти по ссылке Нажмите, чтобы сбросить пароль в нижней части окна Дополнительная аутентификация.

Примечание. Сбросить пароль с помощью автоматизированной системы могут не все суперадминистраторы. Подробную информацию о восстановлении доступа к аккаунту можно найти в статье Как добавить данные для восстановления пароля.

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.