使用额外安全措施验证用户身份

当 Google 怀疑有未经授权的人员企图访问您用户的某个帐号时,就会要求其回答安全问题或让其进行登录验证。举例来说,我们可能会向用户本人的手机发送验证码。只有正确回答安全问题或通过登录验证的用户才能访问帐号。

展开所有部分  |  收起所有部分

登录验证类型

Google 会从安全的角度权衡多种因素,以便决定对用户采用哪种登录验证方式比较合适。

移动设备登录验证
  • 系统会显示一条提示,要求用户在手机上点按,然后再点按一个数字。
  • 系统会向用户用于恢复帐号的设备发送短信或拨打电话,以告知用户验证码并说明具体如何访问帐号。

如果贵单位使用 Google 端点管理服务,Google 可能会要求用户通过受管理的移动设备(用户平常用来访问其公司帐号的设备)验证身份。有关详情,请参阅借助 Google 端点管理服务管理设备

当 Google 要求用户通过移动设备验证身份时,会显示以下屏幕中的一种:
员工 ID 登录验证
您可以使用员工 ID 作为登录验证信息。与其他身份验证信息相比,员工 ID 更难猜到或骗取到。要将员工 ID 用于登录验证,您需要确保相应 ID 与用户的帐号相关联。有关详情,请参阅将员工 ID 添加为登录验证方式
当 Google 要求用户通过员工 ID 验证身份时,会显示此屏幕:
辅助邮箱登录验证
可疑用户必须输入辅助(恢复用)邮箱地址进行登录验证。当 Google 要求用户通过辅助邮箱验证身份时,会显示此屏幕:

使用这些登录验证方式的前提条件

用户必须先提供辅助电话号码或辅助邮箱帐号,Google 才能通过相应信息验证用户身份。当用户登录时,会看到有一条消息提示其提供辅助电话号码或辅助邮箱帐号。此消息会定期出现,直到用户提供其详细信息为止。要使用员工 ID 进行登录验证,您需要确保相应 ID 与您用户的帐号相关联。有关详情,请参阅将员工 ID 添加为登录验证方式

针对单点登录启用登录验证功能

对于通过 SAML 使用单点登录 (SSO) 的用户,很多客户会使用第三方身份提供商 (IdP) 对他们进行身份验证。第三方身份提供商会验证用户的身份,且不会让他们额外进行基于风险的登录验证。所有 Google 两步验证 (2SV) 配置都会被忽略。这是默认行为。

您可以设置政策,允许额外使用基于风险的身份验证方式和两步验证(如有配置)。在用户登录的过程中,如果 Google 收到了来自身份提供商的有效 SAML 断言(关于用户的身份验证信息),可以让用户进行额外验证。

针对单点登录进行额外登录验证的用例
  • 您想使用安全密钥来防止他人访问您托管在 Google 的敏感资源,以最大限度地保障安全,但您当前的身份提供商不支持安全密钥。
  • 您想节省使用第三方身份提供商的成本,因为用户访问的大多是 Google 资源。
  • 您不想使用 Google 身份验证(Google 是身份提供商),但想充分利用 Google 基于风险的所有登录验证方式。
应用额外的登录验证方式有何影响
为了顺利实施,请告知用户新政策以及您计划何时应用该政策。您应用额外的登录验证方式后,会出现以下情况:
  • 如果您已有两步验证政策(例如两步验证强制执行),系统会立即应用这些政策。
  • 用户若受新政策的影响并注册了两步验证,则需要在登录时进行两步登录验证。
  • 根据 Google 登录风险分析,用户在登录时可能需要进行基于风险的登录验证。
设置单点登录后验证
  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 登录验证
  3. 在左侧,选择要设置政策的单位部门。
    如要为所有用户设置,请选择顶级单位部门。初始状态下,单位部门会沿用其上级单位部门的设置。
  4. 点击单点登录后验证
  5. 选择使用单点登录时还要接受其他验证(如果适用)和两步验证(如有配置)
    Google 会在管理控制台审核日志中创建一个条目,表明政策发生了变更。应用新政策后,Google 可要求用户进行基于风险的登录验证和两步验证(如有配置)。默认设置是绕过其他验证。
  6. 点击右下角的保存

常见问题解答

额外的安全问题和登录验证  |  电话验证  |  停用某种登录验证方式  |  管理员

额外的安全问题和登录验证

系统在什么情况下会向用户提出安全问题或要求用户进行登录验证?

一旦检测到可疑登录(例如用户的登录模式和以前不一样),系统就会显示登录验证屏幕。

重要提示:Google 会从安全和易用的角度权衡多种因素,以便决定对用户采用哪种登录验证方式比较合适。举例来说,即使您已启用员工 ID 登录验证功能,系统也未必会每次都要求特定用户通过员工 ID 进行登录验证。

作为管理员,我可以选择向用户显示哪种登录验证方式吗?

两步验证 (2SV) 是一种登录验证方式。作为管理员,您可以为您的用户强制执行两步登录验证。执行此操作后,用户不会收到进行其他基于风险防范的登录验证提示。

如果您没有为用户强制执行两步验证,或如果用户没有启用两步验证,那么 Google 会决定对用户采用哪种登录验证方式比较合适。Google 会从安全和易用的角度权衡多种因素,以便决定对用户采用哪种登录验证方式比较合适。举例来说,即使您已启用员工 ID 登录验证功能,系统也未必会每次都要求特定用户通过员工 ID 进行登录验证。

用户可以更新恢复信息吗?

可以。有关详情,请参阅设置辅助电话号码或辅助邮箱地址

我们使用了两步验证,还需要登录验证吗?

两步验证 (2SV) 是一种登录验证方式。当您的用户启用两步验证后,系统就不会要求他们再进行登录验证。也因此,管理员报告会将每次两步验证都作为登录验证加以显示。

如果我启用了单点登录,登录验证将如何进行?

默认情况下,系统不会为使用单点登录的单位启用登录验证功能。使用管理控制台中的“单点登录后验证”设置,您可以设置政策以允许使用额外的风险触发的身份验证和两步验证(如有配置)。

教育版提供此功能吗?

提供,所有 Google Workspace 版本都包含安全问题和登录验证等额外安全功能。

在什么情况下,Google 会将登录活动判定为可疑行为?

当我们的风险分析系统认定某次登录不符合用户平时的行为模式时,我们就会判定该次登录属于可疑登录行为。例如,用户从非同寻常的地点登录或以涉嫌滥用的方式登录。

电话验证

如果我单位内的用户没有公司电话,是否可以通过其他方法来验证他们的帐号?

可以,登录验证方式有多种。根据为用户帐号提供的信息,系统会对用户采取不同的登录验证方式,例如要求其输入员工 ID 或辅助邮箱地址。如果用户的手机不在手边,可以使用备用验证码登录。有关详情,请参阅使用备用验证码登录

用户如何更新与其帐号关联的辅助电话号码或辅助邮箱帐号?

用户可在帐号设置中更新其辅助联系信息。

用户能否选择除辅助电话号码以外的其他验证方式?

如果用户不输入辅助电话号码,也可以采用其他登录验证方式,例如输入辅助邮箱地址或使用员工 ID 进行验证。

停用登录验证功能

如果用户无法验证自己的身份,我可以停用登录验证功能吗?

在某些情况下,授权用户无法验证自己的身份。例如,他们所在地点可能没有手机信号,因而无法接收验证码。或者,他们不记得或找不到自己的员工 ID。

如果出现这类情况,管理员可以暂时停用登录验证功能,从而允许用户登录帐号。操作步骤如下:

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到用户
  3. 点击该用户帐号所在的行,以显示该用户的信息页面。
  4. 点击安全
  5. 点击登录验证
  6. 点击停用 10 分钟

此更改可能需要几分钟才能在用户帐号中生效。届时,系统会将登录验证功能停用 10 分钟,以让用户登录。

提示:您还可以更改用户的密码,以授权用户访问由于其无法验证身份而被锁定的会话。

我可以为我的单位关闭登录验证功能吗?

不可以,您无法为整个单位关闭此功能。只能针对具体的用户暂时关闭此功能。

用户是否可以通过其帐号设置自行关闭登录验证功能?

不可以,只有管理员可以暂时关闭登录验证功能。

管理员登录验证

无法验证自己身份的管理员如何重新登录其帐号?

管理员可以绕过登录验证步骤,通过重置密码来重新获得帐号访问权限。为此,他们需点击登录验证屏幕底部的不如点击此处重置密码链接。

如果超级用户无法验证自己身份会怎么样?

如果某一超级用户无法验证自己的身份,其他超级用户(如果有)可以按照上述步骤暂时为其停用登录验证功能。

另外,超级用户也可以通过重置密码绕过登录验证。为此,他们需点击登录验证屏幕底部的不如点击此处重置密码链接。

注意:不是所有超级用户都可以使用自动密码重置选项。如需详细了解管理员帐号恢复,请参阅为管理员帐号添加恢复选项

该内容对您有帮助吗?
您有什么改进建议?

需要更多帮助?

登录可获取更多支持选项,以便快速解决您的问题