使用額外的安全性機制驗證使用者身分

當 Google 懷疑有未經授權的人士企圖存取某位使用者的帳戶時,會另外要求對方回答安全性問題或進行驗證。舉例來說,我們可能會將驗證碼傳送至使用者本人的手機,只有能正確回答安全性問題或通過驗證的使用者,才能存取帳戶。

驗證類型

Google 會依據多項安全性因素決定使用者適用哪一種驗證方式。

行動裝置驗證

  • 系統會出現提示,要求使用者輕觸 [是],然後在手機上輕觸一組數字。
  • 系統會將含有驗證碼的簡訊傳送到使用者的帳戶救援裝置 (或藉由語音來電告知),並提供存取帳戶的操作說明。

如果貴機構使用了 Google 行動管理服務,系統可能會請使用者利用受管理的行動裝置 (亦即他們平時用來存取公司帳戶的裝置) 來驗證身分。如需進一步瞭解 Google 行動管理服務,請參閱管理貴機構的行動裝置

如果 Google 要求使用者透過行動裝置驗證身分,將顯示下列其中一個畫面:

員工 ID 登入身分確認問題

您可以使用員工 ID 做為驗證資訊,因為員工 ID 比其他類型的身分驗證資訊都更難猜,也更不容易騙取。如要將員工 ID 用於登入身分確認問題,您必須先確認員工 ID 已與使用者帳戶建立關聯。詳情請參閱將員工 ID 新增為登入身分確認問題
如果 Google 要求使用者透過員工 ID 驗證身分,將顯示以下畫面:

備援電子郵件地址驗證

可疑的使用者必須輸入次要/備援電子郵件地址以進行驗證。如果 Google 要求使用者透過備援電子郵件地址驗證身分,將顯示以下畫面:

使用驗證機制前的準備作業

為了讓使用者透過備援電話號碼或備援電子郵件帳戶驗證身分,Google 需要使用者提供這些資訊。在使用者登入時,系統會透過訊息要求他們提供備援電話號碼或備援電子郵件帳戶。在使用者提供這些詳細資料前,系統會定期顯示這則訊息。如要採用員工 ID 登入驗證功能,您必須先確認員工 ID 已與使用者帳戶建立關聯。詳情請參閱將員工 ID 新增為登入身分確認問題

啟用單一登入 (SSO) 的驗證機制

許多客戶會透過第三方識別資訊提供者 (IdP),為經由 SAML 使用單一登入 (SSO) 的使用者進行驗證。第三方 IdP 會驗證使用者,且不會要求他們進行額外的風險相關驗證。所有 Google 兩步驟驗證 (2SV) 設定都會遭到系統忽略。這是預設行為。

您可以設定政策,允許系統進行額外的風險相關驗證和兩步驟驗證 (如已設定)。如果 Google 在使用者嘗試登入時,收到來自 IdP 的有效 SAML 宣告 (亦即使用者的驗證資訊),就可以要求該使用者進行額外驗證。

為單一登入 (SSO) 進行額外驗證的使用案例

  • 您想要使用安全金鑰為 Google 代管的敏感資源添加最高程度的安全保障,但您目前的 IdP 不支援安全金鑰。
  • 您想要省下使用第三方識別資訊提供者的費用,因為使用者在大多數情況下只會存取 Google 資源。
  • 您不想使用 Google 驗證 (即 Google 做為識別資訊提供者),但希望能徹底運用所有 Google 的風險相關驗證程序。

套用額外驗證政策會有什麼影響

如要順利導入這項政策,請向貴機構使用者說明這項新政策並告知預計施行的時間。在登入時要求額外驗證會造成下列影響:
  • 如果您已設定兩步驟驗證政策 (例如強制執行兩步驟驗證),系統將立即套用這些政策。
  • 受新政策影響且已註冊兩步驟驗證的使用者將在登入時接受兩步驟驗證。
  • 根據 Google 登入風險分析,系統可能會在使用者登入時要求他們進行風險相關驗證。

設定單一登入 (SSO) 後驗證

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [安全性] 然後 [登入驗證]

    您可能需要按一下首頁底部的 [更多控制項],才會看到 [安全性]。

  3. 在左側選取您要設定政策的機構單位。
    如要為所有使用者套用設定,請選取頂層機構單位。根據預設,機構單位會沿用上層機構的設定。
  4. 選取 [透過採用其他驗證方式的單一登入 (SSO) 服務登入]
    Google 隨即會在管理員稽核記錄中建立項目,表示已變更這項政策。套用新政策後,Google 即可要求使用者進行風險相關驗證程序和兩步驟驗證 (如已設定)。預設設定會略過額外驗證程序。
  5. 按一下右下方的 [儲存]

常見問題

額外問題和驗證  |  電話驗證  |  停用驗證功能  |  管理員

額外問題和驗證

使用者在什麼情況下會收到安全性問題或驗證訊息?

如果系統要求使用者回答登入身分確認問題,代表我們偵測到可疑的登入活動,例如使用者的登入模式與過去有所不同。

重要事項:Google 會依據多項安全性和可用性因素,決定使用者適用哪一種驗證方式。舉例來說,即使開啟員工 ID 登入身分確認問題,系統也未必會每次都要求該使用者以員工 ID 進行登入驗證。

使用者能否更新自己的備援資訊? 我們已啟用兩步驟驗證,為什麼還需要通過登入身分確認問題?

兩步驟驗證 (2SV) 是登入身分確認問題的一種類型,因此已啟用兩步驟驗證的使用者將不會收到登入身分確認問題;也因為如此,每筆兩步驟驗證資料在管理員報告中都會顯示為一項登入身分確認問題。

如果已啟用單一登入 (SSO),登入身分確認問題會如何運作?

根據預設,系統並未對使用單一登入 (SSO) 的機構啟用驗證機制。如在管理控制台中套用單一登入 (SSO) 後驗證設定,您即可設定政策,要求使用者進行額外的風險相關驗證程序和兩步驟驗證 (如已設定)。

G Suite 教育版提供這項功能嗎?

是的,所有 G Suite 版本都包含額外的安全性問題和登入驗證功能。

Google 會在什麼情況下將登入活動判定為可疑活動?

如果我們的風險分析系統判斷使用者登入時的行為異於往常,我們就會將其視為可疑的登入活動。例如,使用者可能試圖從不尋常的位置登入,或是以近似濫用行為的方式登入。

電話驗證

如果機構內的使用者沒有公司電話號碼,可以透過其他方法驗證帳戶嗎?

可以。系統提供不同的驗證方式我們會根據使用者帳戶可用的資訊,要求使用者提供不同的登入驗證資訊,例如輸入員工 ID 或備援電子郵件地址。萬一使用者手邊沒有手機,也可透過輸入備用碼登入。詳情請參閱使用備用碼登入

使用者如何更新與個人帳戶相關聯的備援電話號碼或備援電子郵件?

使用者可在帳戶設定中更新備援資訊。

使用者可以選擇透過備援電話號碼以外的資訊來證明自己的身分嗎?

如果使用者不想提供備援電話號碼,也可以改為提供備援電子郵件地址或使用員工 ID 等方式來進行驗證。

停用驗證功能

如果使用者無法驗證自己的身分,我可以停用登入身分確認問題嗎?

在某些情況下,獲得授權的使用者可能無法驗證自己的身分。舉例來說,使用者因為手機沒有訊號,所以無法接收驗證碼。或者,他們忘記或找不到員工 ID。

這時,管理員可以暫時關閉登入身分確認問題,讓使用者登入帳戶:

  1. 登入 Google 管理控制台
  2. 找出使用者帳戶
  3. 在目標使用者帳戶所在的列上按一下,顯示該使用者的資訊頁面。
  4. 按一下 [安全性]。
  5. 按一下 [登入驗證]。
  6. 按一下 [關閉 10 分鐘]。

這項變更可能需要幾分鐘才會在使用者的帳戶中生效。生效後,系統會在接下來的 10 分鐘關閉登入身分問題,讓使用者得以登入帳戶。

您也可以變更使用者的密碼,讓使用者存取因無法驗證身分而遭鎖定的工作階段。

我可以為機構關閉登入身分確認問題嗎?

不可以,您無法為整個機構關閉這項功能,只能為個別使用者暫時關閉這項功能。

使用者可以自行透過個人帳戶設定關閉這項功能嗎?

不可以。只有管理員可以暫時關閉登入身分確認問題。

驗證管理員身分

無法驗證身分的管理員如何重新取得帳戶存取權?

管理員可以透過重設密碼的方式來略過驗證並重新取得帳戶存取權。只要在「登入身分確認問題」畫面底部按一下 [如要改為重設密碼,請按這裡] 的連結,即可重設密碼。

如果超級管理員無法驗證身分,會發生什麼情況?

如果超級管理員無法驗證身分,其他超級管理員 (如果有的話) 可以按照上述步驟暫時停用登入驗證功能。

或者,超級管理員可以透過重設密碼的方式來略過登入驗證。只要在「登入身分確認問題」畫面底部按一下 [如要改為重設密碼,請按這裡] 的連結,即可重設密碼。

注意:部分超級管理員可能無法使用自動化密碼重設選項。如要進一步瞭解管理員帳戶救援資訊,請參閱新增管理員帳戶救援選項

這對您有幫助嗎?
我們應如何改進呢?