Säkerhetsutmaningar är ytterligare säkerhetsåtgärder för att verifiera en användares identitet. Det finns två typer av säkerhetsutmaningar:
- Inloggningsfråga – om vi misstänker att en obehörig användare försöker logga in på ett Google Workspace-konto visar vi en inloggningsfråga. Om användaren inte kan ange de uppgifter som efterfrågas kan han eller hon inte logga in på kontot.
- Verifiera din identitet-utmaning – om en användare försöker utföra åtgärder som betraktas som känsliga visar vi Verifiera din identitet-utmaningen. Om användaren inte kan ange de begärda uppgifterna tillåter vi inte den känsliga åtgärden (användaren kan fortsätta använda sitt konto som vanligt).
Innan du kan använda säkerhetsutmaningar
Se till att dina Google Workspace-konton har den information vi behöver:
- Påminn medarbetarna om att lägga till ett telefonnummer och en e-postadress för återställning i kontot. Vi ber dem då och då att lägga till de här uppgifterna när de loggar in på sina konton.
- Lägga till anställnings-id:n i dina användarkonton. Se Lägga till anställnings-id som en inloggningsfråga.
Typer av inloggningsfrågor
Användaren väljer hur identiteten ska verifieras
Google använder en app som är installerad på användarens telefon för att bekräfta användarens identitet
Google skickar ett sms med en verifieringskod.
Google ringer till användarens telefon och anger en verifieringskod
Verifiera din identitet-utmaningar för känsliga åtgärder
Om en Google Workspace-användare försöker utföra en känslig åtgärd får användaren ibland en inloggningsfråga. Google tillåter inte den känsliga åtgärden om användaren inte kan ange den begärda informationen.
För de flesta användare som får en verifieringsfråga för en känslig åtgärd visas ett fönster med titeln Känslig åtgärd blockerad. Användaren uppmanas att försöka igen på en enhet som hen normalt använder (som sin telefon eller laptop) eller från den plats som hen brukar logga in från.
Eftersom vissa användare har enheter eller säkerhetsnycklar som nyligen har lagts till i deras konto kan de inte omedelbart verifiera sin identitet som svar på en säkerhetsutmaning. För dessa användare visas ett fönster med rubriken Det går inte att slutföra den här åtgärden just nu. Dessa användare kan verifiera sin identitet efter att en enhet, ett telefonnummer eller en säkerhetsnyckel har kopplats till kontot i minst sju dagar.
Här är några exempel på känsliga åtgärder:
- Inaktivera tvåstegsverifiering
- Tillåta att en app får åtkomst till Google-data
- Ändra e-postadressen eller telefonnumret för kontoåterställning
- Ladda ned kontodata
- Ändra kontots namn
Aktivera inloggningsfrågor med SSO
Om organisationen använder externa identitetsleverantörer (IdP) för att autentisera användare med enkel inloggning (SSO) via SAML kan du presentera dessa SSO-användare med ytterligare riskbaserade inloggningsfrågor och tillämpa tvåstegsverifiering Verifiering (om det har konfigurerats) efter att IdP har autentiserat en användare under inloggning.
Standardinställningen för verifiering efter SSO beror på användartypen SSO:
- För användare som loggar in med SSO-profilen för organisationen är standardinställningen att kringgå ytterligare inloggningsfrågor och 2SV.
- För användare som loggar in med andra SSO-profiler är standardinställningen att tillämpa ytterligare inloggningsfrågor och 2SV.
Om du vill ändra standardinställningarna för någon av användartyperna följer du stegen i Konfigurera inlägg med SSO-verifiering nedan.
- Du vill använda säkerhetsnycklar för att skydda åtkomsten till känsliga resurser med Google som värd för maximal säkerhet men din nuvarande IdP stöder inte säkerhetsnycklar.
- Du vill sänka kostnaderna för att använda en extern identitetsleverantör eftersom användarna oftast ansluter till Googles resurser.
- Du vill inte ha Google-autentisering (Google som identitetsleverantör), men du vill utnyttja alla Googles riskbaserade inloggningsfrågor.
- Du vill att Google ska skydda känsliga åtgärder i Googles ekosystem.
- Om du har befintliga 2SV-policyer, till exempel 2SV-tillämpning, gäller dessa policyer omedelbart.
- Användare som berörs av den nya policyn och som är registrerade i 2SV får en 2SV-inloggningsfråga.
- Baserat på Googles riskanalys för inloggning kan användarna se riskbaserade inloggningsfrågor.
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
På administratörskonsolen går du till menyn SäkerhetAutentiseringInloggningsfrågor.
- Välj den organisationsenhet där du vill ställa in policyn till vänster.
Välj organisationsenheten på toppnivå för alla användare. Inledningsvis ärver organisationsenheter inställningarna från sin överordnade.
- Klicka på Verifiering efter SSO.
- Välj inställningar utifrån hur du använder SSO-profiler i organisationen. Du kan tillämpa en inställning för användare som använder SSO-profilen för organisationen och för användare som loggar in med andra SSO-profiler.
- Klicka på Spara längst ned till höger.
Google skapar en post i administratörsgranskningsloggen för att ange policyändringen.
Obs! I sällsynta fall finns det logghändelsedata kanske inte för alla händelser. Vi arbetar med att lösa detta problem.
Vanliga frågor
Extra säkerhetsfrågor och inloggningsfrågor | Telefonverifiering | Inaktivera en inloggnings- eller säkerhetsutmaning | Administratörer
Extra säkerhetsfrågor och inloggningsfrågor
När ser en användare en inloggningsfråga?Användare får en inloggningsfråga om en misstänkt inloggning upptäcks, till exempel om användaren inte följer sina tidigare inloggningsmönster. En användare får en verifieringsfråga om han eller hon har en riskabel session när han eller hon försöker utföra en känslig åtgärd.
Viktigt! Google bestämmer vilken typ av säkerhetsutmaning som är lämplig att visa för en användare baserat på flera faktorer som rör säkerhet och användningsförmåga. Exempelvis visas inloggningsfrågan för anställnings-id:t kanske inte alltid för en viss användare, även om du har aktiverat den.
2-stegsverifiering (2SV) är en typ av inloggningsfråga. Som administratör kan du tillämpa 2SV-inloggningsfrågan för användarna. När du gör det får de inte någon annan typ av riskbaserad inloggningsfråga.
Om du inte tillämpar 2SV för användarna, eller om en användareinte har aktiverat funktionen, bestämmer Google vilken typ av inloggningsutmaning som är lämplig att visa för användaren. Vilken typ av inloggningsfråga som är lämplig beror på flera faktorer som rör säkerhet och användningsförmåga. Exempelvis visas inloggningsfrågan för anställnings-id:t kanske inte alltid för en viss användare, även om du har aktiverat den.
Ja. Mer information finns i Konfigurera ett telefonnummer eller en e-postadress för återställning.
2-stegsverifiering (2SV) är en typ av inloggningsfråga. Om användarna har aktiverat funktionen får de inga fler inloggningsfrågor. Av samma anledning visar administratörsrapporter varje tvåstegsverifiering som en inloggningsfråga.
Det beror på hur du har konfigurerat SSO i organisationen:
- Om du har konfigurerat en SSO-profil för organisationen – som standard är inloggningsfrågor inte aktiverade. Du kan dock konfigurera SSO-verifiering efter SSO för att tillåta ytterligare riskbaserade autentiseringsfrågor och tvåstegsverifiering (2SV) om de har konfigurerats.
- Om du använder en annan SSO-profil tillämpas ytterligare inloggningsfrågor automatiskt (inklusive 2SV, om det har konfigurerats).
Ja, alla Google Workspace-utgåvor innehåller extra säkerhetsfrågor och inloggningsfrågor.
En misstänkt inloggning identifieras av våra riskanalyssystem som utanför det normala användarbeteendet. Det kan till exempel vara en användare som loggar in från en ovanlig plats eller på ett sätt som är förknippat med otillåten användning.
Telefonverifiering
Finns det något annat sätt att verifiera konton om mina användare inte har en företagstelefon?Ja, det finns olika typerav inloggningsfrågor. Beroende på vilken information som är tillgänglig för användarens konto visas olika typer av inloggningsfrågor för användarna. De måste exempelvis ange sitt anställnings-id eller sin återställningsadress. Om en användare inte har åtkomst till sin mobil kan han eller hon använda säkerhetskoder för att logga in. Mer information finns i Logga in med hjälp av säkerhetskoder.
Användaren kan uppdatera återställningsinformationen via kontoinställningarna.
Om användaren inte anger sitt återställningstelefonnummer måste de besvara en annan typ av inloggningsfråga, exempelvis att ange återställningsadressen eller sitt anställnings-id.
Inaktivera en inloggningsfråga eller verifieringsutmaning
Kan jag inaktivera inloggningsfrågan eller verifieringsutmaningen om användaren inte kan verifiera sin identitet?Ja, en administratör kan inaktivera en inloggningsfråga eller verifieringsutmaning i tio minuter.
I vissa situationer kan en auktoriserad användare inte verifiera sin identitet. Exempelvis har användaren kanske ingen mottagning på mobilen och kan inte ta emot verifieringskoden. Eller också har användaren glömt eller kan inte hitta sitt anställnings-id. Om detta händer kan du som avancerad administratör stänga av inloggningsfrågan eller verifieringsutmaningen i 10 minuter så att de kan logga in eller slutföra den känsliga åtgärden. Var försiktig när du inaktiverar inloggningsfrågor eller verifieringsutmaningar eftersom kontot är mindre säkert mot kapare under tio minuter.
Nej, du kan inte stänga av den här funktionen för hela organisationen. Du kan bara stänga av den tillfälligt för enskilda användare.
Nej, det är bara en administratör som kan inaktivera inloggnings- och säkerhetsutmaningarna tillfälligt.
Inloggningsfrågor för administratör
Hur kan en administratör som inte kan verifiera sin identitet få åtkomst till sitt konto igen?Som administratör kan du få åtkomst till kontot genom att följa anvisningarna på inloggningssidan för att återställa lösenordet.
Om du är Google Workspace-administratör och har problem med att logga in på ditt administratörskonto går du till Återställa administratörsåtkomst till ditt konto för anvisningar.
Om en huvudadministratör inte kan verifiera sin identitet kan en annan huvudadministratör (om det finns flera) tillfälligt inaktivera inloggningsfrågan för personen enligt beskrivningen i stegen nedan.
Alternativt kan huvudadministratören hoppa över inloggningsfrågan genom att återställa sitt lösenord.
Obs! Alternativet för automatisk lösenordsåterställning är inte tillgängligt för alla huvudadministratörer. Mer information om återställning av administratörskontot finns i Lägg till återställningsalternativ för administratörskontot.