Bestätigung in zwei Schritten

Bestätigung in zwei Schritten implementieren

Wenn Sie die Bestätigung in zwei Schritten implementieren möchten, müssen sowohl Sie als auch Ihre Nutzer aktiv werden. 

Schritt 1: Nutzer darüber informieren, dass die Bestätigung in zwei Schritten implementiert werden soll (erforderlich)

Bevor Sie die Bestätigung in zwei Schritten implementieren, informieren Sie Ihre Nutzer über die Pläne des Unternehmens:

  • Erklären Sie die Bestätigung in zwei Schritten und warum sie Ihr Unternehmen einsetzen möchte.
  • Teilen Sie den Nutzern mit, ob die Bestätigung in zwei Schritten für sie optional oder verpflichtend ist.
  • Geben Sie bei Bedarf das Datum an, bis zu dem die Nutzer die Bestätigung in zwei Schritten aktivieren müssen.
  • Informieren Sie die Nutzer, welche Methode dazu erforderlich ist oder empfohlen wird.

Schritt 2: Einfache Bestätigung in zwei Schritten einrichten (erforderlich)

In der Google Admin-Konsole können Sie festlegen, dass Nutzer die Bestätigung in zwei Schritten aktivieren dürfen. Diese Einstellung gilt für die gesamte oberste Organisationsebene, die mehrere Domains umfassen kann.

Wenn die oberste Organisationsebene nach Dezember 2016 erstellt wurde, ist die Einstellung für die Bestätigung in zwei Schritten standardmäßig aktiviert. Das gilt auch für Konten, die in neueren Organisationen auf oberster Ebene erstellt wurden. Wenn die Bestätigung in zwei Schritten aktiviert ist, können Nutzer eine Methode dafür einrichten.

Nutzern in der obersten Organisationsebene erlauben, die Bestätigung in zwei Schritten zu aktivieren
  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu:

    Sicherheitund dannGrundlegende Einstellungen

    oder

    Sicherheitund dannBestätigung in zwei Schritten

  3. Klicken Sie unter Bestätigung in zwei Schritten auf die Option Nutzer dürfen die Bestätigung in zwei Schritten aktivieren.
    Jeder Nutzer in Ihrer obersten Organisationsebene kann dann die Bestätigung in zwei Schritten aktivieren und eine beliebige Methode einrichten.
  4. Klicken Sie rechts unten auf Speichern.

Schritt 3: Bestätigung in zwei Schritten erzwingen (optional)


Wenn Sie die Bestätigung in zwei Schritten erzwingen, müssen Ihre Nutzer dieses Verfahren anwenden. Andernfalls können sie sich nicht in ihrem Konto anmelden.

Erweiterte Einstellungen für die Bestätigung in zwei Schritten auswählen
  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu:

    Sicherheitund dannGrundlegende Einstellungen

    oder

    Sicherheitund dannBestätigung in zwei Schritten

  3. Sehen Sie unter Bestätigung in zwei Schritten nach, ob das Kästchen neben Nutzer dürfen die Bestätigung in zwei Schritten aktivieren angeklickt ist. Ist dies nicht der Fall, klicken Sie auf das Kästchen und danach auf Speichern.
  4. Klicken Sie auf Zu den erweiterten Einstellungen gehen, um die Bestätigung in zwei Schritten zu erzwingen.
Nutzerregistrierung für die Bestätigung in zwei Schritten prüfen
Überprüfen Sie, ob sich Ihre Nutzer für die Bestätigung in zwei Schritten registriert haben, bevor Sie das Verfahren erzwingen. Nicht registrierte Nutzer können sich sonst nicht mehr in ihrem Konto anmelden.
  1. Klicken Sie auf der Seite "Erweiterte Sicherheitseinstellungen" unter Erzwingung rechts auf Anmeldeliste.
  2. Sehen Sie im Bericht nach, welche Nutzer nicht registriert sind.
    Die Anzeige dieser Daten kann bis zu 48 Stunden verzögert sein. Weitere Informationen zum Echtzeitstatus der Bestätigung in zwei Schritten für einzelne Nutzer finden Sie unter Sicherheitseinstellungen eines Nutzers verwalten.
  3. Weisen Sie nicht registrierte Nutzer darauf hin, dass sie sich registrieren müssen, um weiterhin Zugriff auf ihr Konto zu haben.
Erzwingung aktivieren

Sie können die Bestätigung in zwei Schritten für Administratoren und wichtige Nutzer erzwingen. Weitere Informationen dazu finden Sie in den Best Practices für die Bestätigung in zwei Schritten.

Wenn Sie in der Admin-Konsole festlegen, dass Nutzer die Bestätigung in zwei Schritten aktivieren dürfen, gilt das für die gesamte oberste Organisationsebene. Sie können die Bestätigung in zwei Schritten jedoch auch nur für Nutzer in bestimmten Organisationseinheiten erzwingen.

  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" links eine Organisationseinheit aus, für die Sie die Bestätigung in zwei Schritten erzwingen möchten.
  2. Wenn Sie keine Organisationseinheit auswählen, gelten die Einstellungen für die gesamte oberste Organisationsebene.
  3. Wenn Sie möchten, dass eine Organisationseinheit dieselben Einstellungen wie die übergeordnete Organisation verwendet, klicken Sie rechts oben auf Übernommene Einstellung verwenden.
  4. Wählen Sie aus, ab wann die Bestätigung in zwei Schritten erzwungen werden soll:
    • Erzwingung aktivieren ab: Legen Sie das gewünschte Startdatum fest.
    • Erzwingung aktivieren: Die Einstellung gilt ab sofort.
  5. Wenn Sie die Bestätigung in zwei Schritten ab einem bestimmten Datum erzwingen möchten, klicken Sie das Startdatum im Kalender an. Nutzer sehen dann beim Anmelden Erinnerungen, dass sie sich für die Bestätigung in zwei Schritten registrieren sollen.
  6. Klicken Sie auf Speichern.
Verhindern, dass neue Nutzer aus ihrem Konto ausgesperrt werden
Wenn Sie die Bestätigung in zwei Schritten erzwingen, ist es sinnvoll, für neue Mitarbeiter einen bestimmten Zeitraum festzulegen, in dem sie sich zunächst nur mit ihrem Passwort anmelden können.
  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" neben Anmeldezeitraum für neue Nutzer eine Dauer zwischen einem und sechs Monaten aus.
    Innerhalb dieses Zeitraums, der mit der ersten Anmeldung beginnt, können sich neue Nutzer für die Bestätigung in zwei Schritten registrieren.
  2. Klicken Sie auf Speichern.

Schritt 4: Optionen für die Erzwingung auswählen (optional)

Erzwungene Methode für die Bestätigung in zwei Schritten auswählen

Wenn Sie die Bestätigung in zwei Schritten erzwingen, wird die Methode standardmäßig auf "Alle" eingestellt. Die sicherste Methode für die Bestätigung in zwei Schritten ist die Verwendung von Sicherheitsschlüsseln. Weitere Informationen dazu finden Sie in den Best Practices für die Bestätigung in zwei Schritten.

  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" unter Zulässige Methoden für die Bestätigung in zwei Schritten eine Option aus:
    • Alle: Nutzer können jede beliebige Methode für die Bestätigung in zwei Schritten einrichten.
    • Alle, außer Bestätigungscodes per SMS oder Anruf: Sofern sie den Bestätigungscode nicht über das Smartphone erhalten, können Nutzer eine beliebige Methode für die Bestätigung in zwei Schritten einrichten.
    • Nur Sicherheitsschlüssel: Nutzer müssen einen Sicherheitsschlüssel einrichten.
  2. Klicken Sie auf Speichern.
Reibungslosen Übergang auf Erzwingungsrichtlinien gewährleisten

Wenn Sie die Bestätigung in zwei Schritten erzwingen, müssen bestehende Nutzer eine gültige Methode dafür haben. Ansonsten werden ihre Konten nach Ablauf der aktiven Sitzung gesperrt. Sie müssen dann dabei helfen, das Konto wiederherzustellen, damit sie sich anmelden können. Hier einige Beispiele für solche Situationen:

  • ​Sie ändern die Richtlinien so, dass die Bestätigung in zwei Schritten nicht mehr optional ist, sondern erzwungen wird.
  • ​​Sie erzwingen die Bestätigung in zwei Schritten, erlauben Nutzern jedoch, jede beliebige Methode auszuwählen. Dann schränken Sie dies ein und lassen nicht mehr zu, dass das Smartphone für den Empfang des Bestätigungscodes per SMS oder Sprachanruf verwendet wird.
  • ​​Sie hatten bisher Richtlinien, nach denen die Bestätigung in zwei Schritten optional war oder Sie haben alle Methoden bzw. alle Methoden außer dem Empfang des Bestätigungscodes per SMS oder Sprachanruf auf dem Smartphone unterstützt. Jetzt ändern Sie dies so, dass bei jeder Anmeldung ein Sicherheitsschlüssel erforderlich ist.

Pläne zur Erzwingung der Bestätigung in zwei Schritten bekannt geben

Informieren Sie die Nutzer über Ihre Pläne und das Umstellungsdatum, bevor Sie Richtlinien zur Erzwingung festlegen. Geben Sie ihnen Zeit, eine Methode für die Bestätigung in zwei Schritten einzurichten. Im Abschnitt "Verhindern, dass neue Nutzer aus ihrem Konto ausgesperrt werden" erfahren Sie, wie Sie für neue Mitarbeiter einen Zeitraum für die erstmalige Registrierung festlegen.

Nutzer, die am Umstellungsdatum noch keine Methode ausgewählt haben

Es kann vorkommen, dass nicht alle Nutzer bis zum angekündigten Umstellungsdatum eine gültige Methode für die Bestätigung in zwei Schritten eingerichtet haben. Sie können diesen Nutzern mehr Zeit geben. Nehmen Sie sie dazu in eine Ausnahmegruppe auf, in der die Bestätigung in zwei Schritten erst erzwungen wird, nachdem eine gültige Methode ausgewählt wurde. Weitere Informationen finden Sie unter Kontosperrungen bei der Erzwingung der Bestätigung in zwei Schritten vermeiden.

Diese Problemumgehung ermöglicht zwar solchen Nutzern die Anmeldung, wird jedoch nicht als Standard empfohlen, da ihre Konten nicht durch die Bestätigung in zwei Schritten geschützt werden, während sie sich in der Ausnahmegruppe befinden.

"Alle, außer Bestätigungscode per SMS oder Anruf" erzwingen

Wenn Nutzer derzeit jede beliebige Methode zur Bestätigung in zwei Schritten verwenden können, gibt es darunter sicher auch einige, die dazu bisher nur Codes verwenden, die per SMS oder Sprachanruf auf dem Smartphone eingehen. Allerdings können sie sich nach der Erzwingung in dieser Form weder mit einer dafür bereits genutzten Telefonnummer anmelden noch eine neue Telefonnummer angeben. Es können auch keine neuen Telefonnummern hinzugefügt werden.

Sie haben folgende Möglichkeiten, um zu vermeiden, dass die Konten dieser Nutzer gesperrt werden:

  • Lassen Sie sie eine andere Methode für die Bestätigung in zwei Schritten hinzufügen und verwenden, bevor die Richtlinien umgestellt werden. Informieren Sie sie außerdem darüber, dass sie nach dem entsprechenden Datum, an dem die Erzwingung umgestellt wird, keine Bestätigungscodes mehr auf dem Smartphone empfangen können.
  • Ermitteln Sie über das Ereignis login_verification im Audit-Log für Anmeldeaktivitäten die Nutzer, die für die Bestätigung in zwei Schritten Codes per SMS oder Sprachanruf erhalten. Wenn der Parameter login_challenge_method den Wert idv_preregistered_phone hat, ist die Authentifizierung über einen solchen Bestätigungscode durchgeführt worden.

"Nur Sicherheitsschlüssel" erzwingen

Überprüfen Sie vor der Erzwingung dieser Richtlinien die Sicherheitseinstellungen der Nutzer, um sicherzustellen, dass sie ihre Sicherheitsschlüssel eingerichtet haben:

  • ​Klicken Sie unter Nur Sicherheitsschlüssel auf Für die Nutzer sollten zuerst Sicherheitsschlüssel registriert werden, um eine Liste dieser Personen zu erstellen.
  • ​Klicken Sie auf einen Nutzer in der Liste, um dessen Einstellungen zu sehen.
Back-up-Codes für verlorene Sicherheitsschlüssel zulassen
Wenn Sie Sicherheitsschlüssel als einzig zulässige Methode erzwingen und ein Nutzer seinen Sicherheitsschlüssel verliert, benötigt er eine Möglichkeit, um sich bis zum Erhalt eines neuen Schlüssels anzumelden. Sie können festlegen, dass Nutzer in solchen Fällen für einen bestimmten Zeitraum Back-up-Codes verwenden dürfen.
  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" neben Kulanzzeitraum, in dem die Bestätigung in zwei Schritten aufgehoben wird einen Zeitraum zwischen einem Tag und einer Woche aus.
    Der Kulanzzeitraum beginnt mit dem Generieren der Back-up-Codes.
  2. Klicken Sie auf Speichern.
Sicherheitscodes zulassen, wenn Sicherheitsschlüssel nicht unterstützt werden
Wenn Sie Sicherheitsschlüssel erzwingen, haben einige Nutzer möglicherweise Probleme bei der Verwendung bestimmter Apps. Auf Plattformen, die keine Sicherheitsschlüssel unterstützen, können sie sich nicht mit ihren Google-Anmeldedaten in Web-Apps anmelden. Zu diesen Plattformen gehören iOS für Mobilgeräte, Safari und Internet Explorer. Hier einige Beispiele:
  • Die Web-App eines Unternehmens wird nur in einem Browser ausgeführt, der keine Sicherheitsschlüssel unterstützt
    Petra arbeitet in der Finanzabteilung und verwendet eine Web-App, die nur mit Internet Explorer 8.0 ausgeführt wird. Da nun aber Sicherheitsschlüssel erzwungen werden, kann sie sich nicht mit ihrem Google-Konto in der Web-App anmelden.
  • Erste iPhone-Einrichtung
    Sven ist im Vertrieb und hat ein neues iPhone. Für die Einrichtung muss er sich auf dem iPhone in seinem Google-Konto anmelden.  Das geht aber nicht, da Safari und iOS für Mobilgeräte keine Sicherheitsschlüssel unterstützen. Also kann er auch das iPhone nicht wie gewünscht einrichten.

Sicherheitscodes aktivieren

Wenn eine Plattform keine Sicherheitsschlüssel unterstützt, können Sie Nutzern die Anmeldung und Authentifizierung mit einem speziellen, einmaligen Sicherheitscode ermöglichen. Das Gerät, auf dem dieser Code generiert wird, muss Sicherheitsschlüssel unterstützen.

  1. Aktivieren Sie auf der Seite "Erweiterte Sicherheitseinstellungen" unter Zulässige Methoden für die Bestätigung in zwei Schritten > Nur Sicherheitsschlüssel eine Option:
    • Nicht zulassen, dass Nutzer Sicherheitscodes generieren: Damit schalten Sie diese Möglichkeit für Nutzer aus. Dies ist die Standardeinstellung, wenn Sie sich vor dem 20. November 2019 für die G Suite registriert haben.
    • Sicherheitscodes ohne Remote-Zugriff zulassen: Nutzer können Sicherheitscodes generieren und sie auf demselben Gerät oder in demselben lokalen Netzwerk verwenden (NAT oder LAN). Dies ist die Standardeinstellung, wenn Sie sich am oder nach dem 20. November 2019 für die G Suite registriert haben.
    • Sicherheitscodes mit Remote-Zugriff zulassen: Nutzer können Sicherheitscodes generieren und sie auf anderen Geräten oder in Netzwerken verwenden, z. B. beim Zugriff auf einen Remote-Server oder eine virtuelle Maschine. 
  2. Klicken Sie auf Speichern.

So funktionieren Sicherheitscodes

Sicherheitscodes unterscheiden sich von einmaligen Codes, die von Apps wie Google Authenticator generiert werden. Nutzer benötigen dazu ein Gerät, auf dem sie Sicherheitsschlüssel verwenden können. Sie tippen den Sicherheitsschlüssel an und generieren so den Sicherheitscode.

Wann empfiehlt es sich, Sicherheitscodes zuzulassen?

Mit Sicherheitscodes haben Nutzer die Möglichkeit, auch dann weiterzuarbeiten, wenn Sicherheitsschlüssel, die Sie erzwingen, nicht unterstützt werden. Allerdings bieten sie bei der Bestätigung in zwei Schritten nicht die gleiche Sicherheit wie Schlüssel. Deshalb sollten Sie diese Methode nur dann zulassen, wenn Nutzer darauf angewiesen sind, auf Plattformen oder mit Apps zu arbeiten, die Sicherheitsschlüssel nicht unterstützen.

In der Praxis

So kann Petra in der Finanzabteilung trotzdem die Web-App nutzen, die in Internet Explorer 8.0 ausgeführt wird:

  1. Sie startet Internet Explorer 8.0, um sich in der Finanz-App anzumelden.
  2. Sie folgt der Anleitung, um sich einen einmaligen Sicherheitscode auf ein Gerät senden zu lassen, auf dem sie ihren Sicherheitsschlüssel verwenden kann.
  3. Dazu startet Petra Chrome auf ihrem Laptop und meldet sich in ihrem Google-Konto an. Möglicherweise wird sie zur Eingabe des Sicherheitsschlüssels aufgefordert, wenn sie sich bisher noch nicht über diesen Browser in ihrem Google-Konto angemeldet hat.
  4. Sie ruft "https://g.co/sc" auf.
  5. Petra tippt auf den Sicherheitsschlüssel und generiert einen Sicherheitscode.
  6. Dann kopiert sie ihn und schließt damit die Anmeldung in der Web-App im Internet Explorer ab.

Derzeit werden Sicherheitsschlüssel nur von Chrome und Firefox unterstützt. Einmalige Sicherheitscodes sind fünf Minuten lang gültig.

Nutzern erlauben, die erneute Bestätigung in zwei Schritten auf vertrauenswürdigen Geräten zu überspringen

Es ist nicht empfehlenswert, Nutzern diese Möglichkeit zu geben, es sei denn, Ihre Nutzer wechseln häufig zwischen verschiedenen Geräten.

  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" unter Häufigkeit der Bestätigung in zwei Schritten eine Option aus:
    • Nutzer darf das Gerät für die Bestätigung in zwei Schritten als vertrauenswürdig einstufen: Wenn sich Nutzer zum ersten Mal auf einem neuen Gerät anmelden, können sie festlegen, dass die Bestätigung in zwei Schritten in Zukunft übersprungen wird, indem sie das entsprechende Kästchen anklicken. Die Aufforderung zur Bestätigung in zwei Schritten erfolgt erst wieder, wenn Nutzer die Cookies löschen, wenn Sie die Anmeldecookies der Nutzer zurücksetzen oder wenn der Nutzer die Einstellung für das Gerät in seinem Konto aufhebt.
    • Nutzer darf dem Gerät bei der Bestätigung in zwei Schritten nicht vertrauen: Nutzer müssen die Bestätigung in zwei Schritten bei jeder Anmeldung verwenden.
  2. Klicken Sie auf Speichern.

Schritt 5: Sicherheitsschlüssel verwalten (optional)

Sicherheitsschlüssel für Nutzer hinzufügen

Sie können einem Nutzerkonto einen Sicherheitsschlüssel hinzufügen. Nutzer, die die Bestätigung in zwei Schritten noch nicht verwenden, werden automatisch registriert, wenn Sie einen Sicherheitsschlüssel für sie aktivieren. Weitere Informationen erhalten Sie unter Sicherheitseinstellungen eines Nutzers verwalten.

 

War das hilfreich?
Wie können wir die Seite verbessern?