Перевірка особи – це додатковий захід безпеки для підтвердження особи користувача. Є два типи таких перевірок.
- Додаткова автентифікація. Якщо ми помітимо, що неавторизований користувач намагається ввійти в обліковий запис Google Workspace, ми попросимо його пройти процедуру додаткової автентифікації. Якщо користувач не зможе ввести потрібну інформацію, йому буде відмовлено в доступі до облікового запису.
- Запит на підтвердження особи. Якщо користувач спробує виконати дії, пов’язані з безпекою, ми надішлемо йому запит на підтвердження особи. Якщо користувач не зможе ввести потрібну інформацію, йому буде відмовлено у виконанні такої дії (він зможе й далі користуватися обліковим записом як зазвичай).
Що потрібно зробити, перш ніж використовувати процедуру перевірки особи
Переконайтеся, що у ваших облікових записах Google Workspace указано всю необхідну інформацію.
- Попросіть співробітників додати в обліковий запис номер телефону для відновлення й резервну електронну адресу. Ми періодично нагадуватимемо їм про це під час входу в облікові записи.
- Додайте ідентифікатори працівників в облікові записи користувачів. Докладніше про те, як додати ідентифікатор працівника як метод додаткової автентифікації.
Типи додаткової автентифікації
Користувач вибирає спосіб підтвердження особи
Google використовує додаток, установлений на телефоні користувача, щоб підтвердити його особу
Google надсилає текстове повідомлення з кодом підтвердження
Google телефонує на номер користувача й надає код підтвердження
Запит на підтвердження особи для дій, пов’язаних із безпекою
Якщо користувач Google Workspace намагається виконати дію, пов’язану з безпекою, йому може знадобитися підтвердити свою особу. Якщо користувач не зможе ввести потрібну інформацію, йому буде відмовлено у виконанні дії, пов’язаної з безпекою.
Більшості користувачів, яким необхідно підтвердити свою особу для виконання дії, пов’язаної з безпекою, показується вікно із заголовком Дію, пов’язану з безпекою, заблоковано. Користувачу буде запропоновано повторити спробу з пристрою, яким він зазвичай користується (наприклад, з телефона або ноутбука), або зі звичного місцезнаходження.
Користувачі, які нещодавно додали в обліковий запис пристрої або ключі безпеки, не можуть одразу підтвердити свою особу, коли отримують відповідний запит. Таким користувачам показується вікно із заголовком Зараз не вдається виконати цю дію. Вони зможуть підтвердити свою особу, коли з моменту зв’язування пристрою, номера телефону або ключа безпеки з їхнім обліковим записом пройде щонайменше 7 днів.
Нижче наведено кілька прикладів дій, пов’язаних із безпекою.
- Вимкнення двохетапної перевірки.
- Надання додатку доступу до даних Google.
- Змінення резервної електронної адреси або номера телефону для відновлення облікового запису.
- Завантаження даних облікового запису.
- Змінення імені в обліковому записі.
Як увімкнути додаткову автентифікацію в Системі єдиного входу (SSO)
Якщо ваша організація користується послугами сторонніх постачальників ідентифікаційної інформації для автентифікації користувачів Системи єдиного входу через SAML, ви можете надсилати таким користувачам запити на додаткову автентифікацію на основі оцінки ризиків і застосовувати двохетапну перевірку (якщо налаштовано) після того, як постачальник ідентифікаційної інформації автентифікує користувача під час входу.
Налаштування підтвердження особи після Системи єдиного входу за умовчанням залежить від типу користувача.
- Для користувачів, які входять за допомогою профілю Системи єдиного входу вашої організації, за умовчанням вимкнено запити на додаткову автентифікацію і двохетапну перевірку.
- Користувачам, які входять за допомогою інших профілів Системи єдиного входу, за умовчанням надсилаються запити на додаткову автентифікацію і двохетапну перевірку.
Щоб змінити налаштування за умовчанням для обох типів користувачів, виконайте вказівки в розділі Як налаштувати підтвердження особи після Системи єдиного входу нижче.
- Ви хочете використовувати ключі безпеки, щоб захистити доступ до конфіденційних ресурсів на сервері Google, а ваш поточний постачальник ідентифікаційної інформації не підтримує ключі безпеки.
- Ви хочете заощадити на послугах стороннього постачальника ідентифікаційної інформації, оскільки в більшості випадків користувачі отримують доступ до ресурсів Google.
- Ви не хочете використовувати автентифікацію Google (Google як постачальник ідентифікаційної інформації), але плануєте застосовувати всі наші методи додаткової автентифікації на основі оцінки ризиків.
- Ви хочете, щоб ми перевіряли дії, пов’язані з безпекою, в екосистемі Google.
- Якщо у вас уже є правила щодо двохетапної перевірки, наприклад її примусове застосування, ці правила почнуть діяти негайно.
- Користувачі, яких стосується нове правило і які ввімкнули двохетапну перевірку, отримуватимуть запит на додаткову автентифікацію за її допомогою під час входу в обліковий запис.
- На основі аналізу ризиків під час входу через Google користувачі можуть отримувати відповідні запити на додаткову автентифікацію.
-
Відкрийте Консоль адміністратора Google.
Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).
-
У Консолі адміністратора натисніть значок
Безпека
Автентифікація
- Ліворуч виберіть організаційний підрозділ, для якого потрібно налаштувати правило.
Щоб застосувати налаштування для всіх користувачів, виберіть організаційний підрозділ верхнього рівня (організаційні підрозділи успадковують налаштування свого батьківського підрозділу).
- Натисніть Підтвердження особи після Системи єдиного входу.
- Виберіть налаштування відповідно до способу використання профілів Системи єдиного входу у вашій організації. Налаштування можна застосувати до користувачів, які мають профіль Системи єдиного входу для вашої організації, і користувачів, які входять за допомогою інших профілів Системи єдиного входу.
- Унизу праворуч натисніть Зберегти.
Щоб позначити зміну правил, система Google завжди створює відповідний запис у журналі аудиту адміністратора.
Примітка. У деяких випадках дані про певні події в журналі можуть бути відсутні. Ми намагаємося вирішити цю проблему.
Поширені запитання
Додаткові таємні запитання й методи автентифікації | Підтвердження за допомогою номера телефону | Вимкнення додаткової автентифікації або перевірки особи | Адміністратори
Додаткові таємні запитання й методи автентифікації
Коли користувач отримує запит на перевірку особи?Запит на додаткову автентифікацію надсилається, якщо система виявляє підозрілу спробу входу, наприклад коли користувач входить в обліковий запис у спосіб, який не використовувався раніше. Якщо під час спроби користувача виконати дію, пов’язану з безпекою, буде виявлено підозрілу активність, йому буде запропоновано підтвердити свою особу.
Важливо. Google визначає, який тип перевірки особи запропонувати користувачу, на основі кількох факторів безпеки й зручності використання. Наприклад, додаткова автентифікація за ідентифікатором працівника може не завжди застосовуватися до певного користувача, навіть якщо ви ввімкнули її.
Двохетапна перевірка – це тип додаткової автентифікації. Як адміністратор ви можете примусово застосовувати додаткову автентифікацію за допомогою двохетапної перевірки для користувачів. Пройшовши її, вони більше не отримуватимуть запити на інші типи додаткової автентифікації на основі оцінки ризиків.
Якщо ви примусово не застосовуєте для користувачів двохетапну перевірку або вони не ввімкнули її, система Google вирішує, який тип додаткової автентифікації запропонувати користувачу під час входу. Тип додаткової автентифікації залежить від кількох факторів безпеки й зручності використання. Наприклад, додаткова автентифікація за ідентифікатором працівника може не завжди застосовуватися до певного користувача, навіть якщо ви ввімкнули її.
Так. Щоб дізнатися більше, перегляньте цю статтю.
Двохетапна перевірка – це тип додаткової автентифікації. Якщо користувачі ввімкнули цю функцію, вони більше не отримуватимуть інших запитів на додаткову автентифікацію. З тієї самої причини у звітах адміністратора кожний сеанс двохетапної перевірки відображається як додаткова автентифікація.
Це залежить від способу налаштування Системи єдиного входу у вашій організації.
- Якщо ви налаштували профіль Системи єдиного входу для своєї організації, додаткову автентифікацію буде вимкнено за умовчанням. Однак ви можете ввімкнути підтвердження особи після входу через Систему єдиного входу, щоб дозволити додаткову автентифікацію на основі оцінки ризиків і двохетапну перевірку (якщо налаштовано).
- Якщо ви використовуєте інший профіль Системи єдиного входу, усі типи додаткової автентифікації (зокрема двохетапна перевірка, якщо її налаштовано) застосовуються автоматично.
Так. Усі версії Google Workspace підтримують додаткові таємні запитання й методи автентифікації.
Ми визначаємо, чи є спроба входу підозрілою, коли наша система аналізу ризиків виявляє спробу, яка не відповідає звичайній поведінці користувача. Наприклад, користувач може спробувати ввійти в обліковий запис із незвичного місця або способом, пов’язаним із порушеннями.
Підтвердження за допомогою номера телефону
Якщо у користувачів моєї організації немає корпоративного номера телефону, чи є інший спосіб підтвердити їхні облікові записи?Так, є різні типи додаткової автентифікації. Залежно від інформації, указаної в обліковому записі користувача, йому буде запропоновано пройти додаткову автентифікацію певного типу, наприклад ввести ідентифікатор працівника або резервну електронну адресу. Якщо користувач не має доступу до телефона, він може ввійти в обліковий запис за допомогою резервних кодів. Щоб дізнатися більше, перегляньте цю статтю.
Користувач може оновити інформацію для відновлення в налаштуваннях облікового запису.
Якщо користувач не може вказати номер телефону для відновлення, застосовуються інші типи додаткової автентифікації, наприклад введення резервної електронної адреси або ідентифікатора працівника.
Вимкнення додаткової автентифікації або підтвердження особи
Чи можна вимкнути додаткову автентифікацію або підтвердження особи, якщо користувач не може пройти цю процедуру?Так, адміністратор може вимкнути додаткову автентифікацію або підтвердження особи на 10 хвилин.
У певних ситуаціях авторизований користувач не може підтвердити свою особу. Наприклад, через відсутній сигнал на телефоні людині не надходить код підтвердження, або вона не може пригадати чи знайти свій ідентифікатор працівника. Тоді суперадміністратор може вимкнути додаткову автентифікацію або підтвердження особи на 10 хвилин, щоб користувач зміг увійти в обліковий запис або виконати дію, пов’язану з безпекою. Будьте обережні, вимикаючи додаткову автентифікацію або підтвердження особи, оскільки протягом цього 10-хвилинного періоду обліковий запис буде вразливішим до злому.
Ні, вимкнути цю функцію для всієї організації не можна. Ви можете лише тимчасово зробити це для кожного користувача окремо.
Ні, лише адміністратор може тимчасово вимкнути процедуру додаткової автентифікації або перевірки особи.
Додаткова автентифікація для адміністраторів
Як адміністратору, який не може підтвердити свою особу, увійти в обліковий запис?Щоб відновити доступ до свого облікового запису, адміністратор може скинути пароль, дотримуючись вказівок на сторінці входу.
Якщо ви адміністратор Google Workspace і не можете ввійти в обліковий запис, перегляньте ці вказівки.
Якщо суперадміністратор не може підтвердити свою особу, інший суперадміністратор (якщо є) може тимчасово вимкнути для нього додаткову автентифікацію, як описано в кроках вище.
Крім того, суперадміністратор може обійти додаткову автентифікацію, скинувши пароль.
Примітка. Функція автоматичного скидання пароля доступна не для всіх суперадміністраторів. Щоб дізнатися більше про відновлення облікового запису адміністратора, перегляньте цю статтю.
