Authenticatie in twee stappen

Authenticatie in twee stappen implementeren

U en uw gebruikers hebben een belangrijke rol bij het instellen van authenticatie in twee stappen. 

Stap 1: Gebruikers op de hoogte stellen van de implementatie van authenticatie in twee stappen (vereist)

Voordat u authenticatie in twee stappen implementeert, moet u uw gebruikers op de hoogte stellen van de plannen van uw bedrijf. Laat ze bijvoorbeeld het volgende weten:

  • Wat authenticatie in twee stappen is en waarom uw bedrijf het gebruikt.
  • Of authenticatie in twee stappen optioneel of vereist is.
  • Indien vereist, de datum waarop gebruikers authenticatie in twee stappen moeten hebben ingeschakeld.
  • Welke methode voor authenticatie in twee stappen vereist is of wordt aangeraden.

Stap 2: Algemene authenticatie in twee stappen instellen (vereist)

U selecteert een instelling in de Google-beheerdersconsole waardoor gebruikers authenticatie in twee stappen kunnen inschakelen. Deze instelling geldt voor de hele organisatie op het hoogste niveau, die meerdere domeinen kan bevatten.

In organisaties op het hoogste niveau die na december 2016 zijn gemaakt, is de instelling in de beheerdersconsole voor authenticatie in twee stappen standaard ingeschakeld. In accounts die zijn gemaakt in nieuwere organisaties op het hoogste niveau, is de instelling voor authenticatie in twee stappen ook standaard ingeschakeld. Wanneer authenticatie in twee stappen is ingeschakeld, kunnen gebruikers een methode voor authenticatie in twee stappen instellen.

Gebruikers in de organisatie op het hoogste niveau toestaan authenticatie in twee stappen in te schakelen

  1. Log in bij de Google-beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga op de homepage van de beheerdersconsole naar Beveiligingen danBasisinstellingen.

    U moet wellicht onderaan klikken op Meer functies om Beveiliging op de homepage te zien.

  3. Vink onder Authenticatie in twee stappen het vakje aan voor Gebruikers toestaan authenticatie in twee stappen in te schakelen.
    Gebruikers in de organisatie op het hoogste niveau kunnen authenticatie in twee stappen inschakelen en een methode voor authenticatie in twee stappen instellen.
  4. Klik rechtsonder op Opslaan.

Uw gebruikers vragen zich in te schrijven voor authenticatie in twee stappen

  1. Vraag uw gebruikers zich in te schrijven voor authenticatie in twee stappen door de instructies te volgen in Authenticatie in twee stappen inschakelen.
  2. Geef instructies voor het inschrijven van methoden voor authenticatie in twee stappen:

Stap 3: Authenticatie in twee stappen afdwingen (optioneel)


Als u authenticatie in twee stappen afdwingt, moeten uw gebruikers deze gebruiken. Gebruikers die niet zijn ingeschreven voor authenticatie in twee stappen, kunnen niet inloggen op hun account.

Geavanceerde instellingen voor authenticatie in twee stappen selecteren

  1. Log in bij de Google-beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga op de homepage van de beheerdersconsole naar Beveiligingen danBasisinstellingen.

    U moet wellicht onderaan klikken op Meer functies om Beveiliging op de homepage te zien.

  3. Controleer onder Authenticatie in twee stappen of het vakje is aangevinkt voor Gebruikers toestaan authenticatie in twee stappen in te schakelen. Als dit niet zo is, vinkt u het aan en klikt u op Opslaan.
  4. Klik op Ga naar 'Geavanceerde instellingen' om authenticatie in twee stappen af te dwingen.

Controleren of gebruikers zijn ingeschreven voor authenticatie in twee stappen

Zorg dat uw gebruikers zijn ingeschreven voor authenticatie in twee stappen voordat u deze afdwingt. Gebruikers die niet zijn ingeschreven, kunnen niet inloggen op hun account.
  1. Klik op de pagina 'Geavanceerde beveiligingsinstellingen', rechts onder Afdwingen op inschrijvingsrapport.
  2. In het rapport staat welke gebruikers niet zijn ingeschreven.
    Het kan 48 uur duren voordat deze gegevens worden weergegeven. Zie De beveiligingsinstellingen van een gebruiker beheren om de actuele status van de inschrijving voor authenticatie in twee stappen te zien van elke gebruiker.
  3. Vertel gebruikers die niet zijn ingeschreven dat ze zich moeten inschrijven, omdat ze anders niet meer kunnen inloggen op hun account.

Afdwingen inschakelen

Dwing authenticatie in twee stappen af voor beheerders en belangrijke gebruikers. Zie Praktische tips voor authenticatie in twee stappen.

De instelling in de beheerdersconsole waarmee uw gebruikers authenticatie in twee stappen kunnen inschakelen, geldt voor de hele organisatie op het hoogste niveau. U kunt er echter voor kiezen authenticatie in twee stappen af te dwingen voor gebruikers in de hele organisatie op het hoogste niveau, of voor gebruikers in specifieke organisatie-eenheden.

  1. Selecteer op de pagina 'Geavanceerde beveiligingsinstellingen' aan de linkerkant een organisatie-eenheid waarvoor u authenticatie in twee stappen wilt afdwingen.
    • Als u geen organisatie-eenheid selecteert, gelden de instellingen voor de hele organisatie op het hoogste niveau.
    • Als u wilt dat een organisatie-eenheid dezelfde instellingen gebruikt als de bovenliggende organisatie-eenheid, klikt u rechtsboven op Overgenomen gebruiken.
  2. Selecteer vanaf wanneer authenticatie in twee stappen moet worden afgedwongen:
    • Afdwingen inschakelen vanaf datum: start op een door u opgegeven datum.
    • Afdwingen nu inschakelen: start onmiddellijk.
  3. Als u ervoor heeft gekozen authenticatie in twee stappen vanaf een specifieke datum af te dwingen, klikt u op de startdatum in de kalender. Wanneer gebruikers inloggen, zien ze een herinnering om zich te schrijven voor authenticatie in twee stappen.
  4. Klik op Opslaan.

Voorkomen dat nieuwe gebruikers niet meer kunnen inloggen op hun account

Als u authenticatie in twee stappen afdwingt, moet u nieuwe werknemers de tijd geven om zich in te schrijven voordat authenticatie in twee stappen wordt afgedwongen voor hun account. U kunt dit doen door een inschrijvingsperiode voor nieuwe gebruikers in te stellen. Tijdens deze periode kunnen gebruikers inloggen met alleen hun wachtwoord.
  1. Selecteer op de pagina 'Geavanceerde beveiligingsinstellingen', naast Inschrijfperiode voor nieuwe gebruikers, een periode van één dag tot zes maanden.
    Zo lang krijgen nieuwe gebruikers de tijd, nadat ze voor de eerste keer zijn ingelogd, om zich in te schrijven voor authenticatie in twee stappen.
  2. Klik op Opslaan.

Stap 4: Opties voor afdwingen selecteren (optioneel)

Een methode voor authenticatie in twee stappen selecteren die wordt afgedwongen 

Wanneer u authenticatie in twee stappen afdwingt, wordt de methode voor afdwingen standaard ingesteld op Alle. We raden u aan beveiligingssleutels te gebruiken, de veiligste methode voor authenticatie in twee stappen. Zie Praktische tips voor authenticatie in twee stappen.

  1. Selecteer een methode op de pagina 'Geavanceerde beveiligingsinstellingen', onder Toegestane methoden voor authenticatie in twee stappen:
    • Alle: gebruikers kunnen elke methode voor authenticatie in twee stappen instellen.
    • Allemaal, behalve verificatiecodes via sms of oproep: gebruikers kunnen elke methode voor authenticatie in twee stappen instellen, behalve de mogelijkheid verificatiecodes voor authenticatie in twee stappen te ontvangen op hun telefoon.
    • Alleen beveiligingssleutel: gebruikers moeten een beveiligingssleutel instellen.
  2. Klik op Opslaan.
Zorgen dat de overstap naar een afgedwongen beleid soepel verloopt 

Wanneer u authenticatie in twee stappen afdwingt, worden bestaande gebruikers die niet de juiste methode voor authenticatie in twee stappen gebruiken, buiten hun account gesloten wanneer hun actieve sessie verloopt. U moet ze dan helpen hun account te herstellen, zodat ze weer kunnen inloggen. Voorbeeldsituaties:

  • U stelt in dat het beleid voor authenticatie in twee stappen niet meer optioneel is, maar wordt afgedwongen.
  • Authenticatie in twee stappen wordt al afgedwongen, maar gebruikers mogen elke methode gebruiken. U wijzigt dit zodat alle methoden kunnen worden gebruikt, behalve de mogelijkheid verificatiecodes voor authenticatie in twee stappen te ontvangen op hun telefoon.
  • Authenticatie in twee stappen is optioneel, elke methode is toegestaan, of elke methode is toegestaan behalve de mogelijkheid verificatiecodes voor authenticatie in twee stappen te ontvangen op hun telefoon. U wijzigt dit zodat alleen beveiligingssleutels zijn toegestaan voor authenticatie in twee stappen.

Gebruikers op de hoogte brengen van uw plan om authenticatie in twee stappen af te dwingen

Breng gebruikers op de hoogte van het plan en de datum waarop het ingaat, voordat u afdwingt dat authenticatie in twee stappen wordt gebruikt. Geef gebruikers de tijd om een methode voor authenticatie in twee stappen toe te voegen. Stel voor nieuwe gebruikers een inschrijfperiode in, zoals beschreven in 'Voorkomen dat nieuwe gebruikers niet meer kunnen inloggen op hun account'.

Wat gebeurt er als gebruikers op de datum dat het afdwingen ingaat, nog niet de juiste methode voor authenticatie in twee stappen gebruiken?

Wellicht gebruiken sommige gebruikers op de datum dat het afdwingen ingaat, nog niet de juiste methode voor authenticatie in twee stappen. U kunt deze gebruikers extra tijd geven om zich te registreren door ze in een uitzonderingsgroep te plaatsen waarvoor authenticatie in twee stappen niet wordt afgedwongen, totdat ze een methode voor authenticatie in twee stappen kunnen toevoegen. Zie Voorkomen dat mensen buiten hun account worden gesloten wanneer authenticatie in twee stappen wordt afgedwongen.

Hoewel uw gebruikers met deze tijdelijke oplossing kunnen inloggen, raden we u niet aan dit standaard zo te houden, omdat de accounts in de uitzonderingsgroep niet worden beschermd door authenticatie in twee stappen.

'Allemaal, behalve verificatiecodes via sms of oproep' afdwingen

Als gebruikers momenteel elke methode voor authenticatie in twee stappen kunnen gebruiken, zijn er waarschijnlijk gebruikers die een sms of oproep gebruiken als hun enige methode voor authenticatie in twee stappen. Als u deze instelling afdwingt, kunnen gebruikers niet meer inloggen met een telefoonnummer dat ze in het verleden hebben gebruikt om verificatiecodes voor authenticatie in twee stappen op te ontvangen via sms of oproep. Ze kunnen ook geen nieuwe telefoonnummers toevoegen.

Ga als volgt te werk om te voorkomen dat deze gebruikers buiten hun account worden gesloten:

  • Voordat u dit beleid instelt, moet u uw gebruikers vragen een andere methode voor authenticatie in twee stappen toe te voegen en te gaan gebruiken. Laat ze ook weten dat ze na een bepaalde datum geen verificatiecodes voor authenticatie in twee stappen meer kunnen ontvangen op hun telefoon.
  • Gebruik de activiteit login_verification in het controlelogboek Logins om te zien welke gebruikers inloggen met verificatiecodes voor authenticatie in twee stappen die ze ontvangen via sms of oproep. Als de parameter login_challenge_method de waarde idv_preregistered_phone heeft, is de gebruiker ingelogd met een verificatiecode via sms of oproep.

'Alleen beveiligingssleutel' afdwingen

Voordat u dit beleid afdwingt, controleert u in de beveiligingsinstellingen van gebruikers of gebruikers een beveiligingssleutel hebben ingesteld:

  • Klik onder Alleen beveiligingssleutel op gebruikers met geregistreerde beveiligingssleutels om een ​​lijst met gebruikers te genereren.
  • Klik op een gebruiker in de lijst om de instellingen van de gebruiker te bekijken.

Back-upcodes toestaan wanneer gebruikers hun beveiligingssleutel kwijtraken

Als u beveiligingssleutels afdwingt als enige methode voor authenticatie in twee stappen en een gebruiker zijn beveiligingssleutel kwijtraakt, moet hij kunnen inloggen terwijl hij wacht op de nieuwe sleutel. U kunt gebruikers toestaan back-upcodes te gebruiken gedurende een respijtperiode die u opgeeft.
  1. Selecteer op de pagina 'Geavanceerde beveiligingsinstellingen', naast Respijtperiode van beleidsopschorting voor authenticatie in twee stappen, een periode van één dag tot één week.
    De respijtperiode begint wanneer u de back-upcodes genereert.
  2. Klik op Opslaan.
Beveiligingscodes toestaan wanneer beveiligingssleutels niet worden ondersteund 
Als u beveiligingssleutels afdwingt, kunnen sommige gebruikers problemen ondervinden wanneer ze bepaalde apps gebruiken. Gebruikers kunnen niet met hun Google-gegevens inloggen bij web-apps die worden uitgevoerd op platforms waarop beveiligingssleutels niet worden ondersteund. Dit geldt bijvoorbeeld voor de mobiele versie van iOS, Safari en Internet Explorer. Hier volgen enkele voorbeelden:
  • Een zakelijke web-app wordt alleen uitgevoerd in een browser waarin beveiligingssleutels niet worden ondersteund
    Priya werkt op de afdeling Financiën. Ze gebruikt een financiële web-app die alleen in Internet Explorer 8.0 wordt uitgevoerd. Omdat beveiligingssleutels worden afgedwongen, kan ze niet inloggen bij de web-app met haar Google-account.
  • Eerste installatie van iPhone
    Nigel werkt op de afdeling Verkoop en hij heeft een nieuwe iPhone. Hij moet op de iPhone inloggen op zijn Google-account om de iPhone in te stellen.  Omdat beveiligingssleutels echter niet worden ondersteund in Safari en iOS, kan hij niet inloggen en kan hij de iPhone dus niet instellen.

Beveiligingscodes inschakelen

Wanneer beveiligingssleutels niet worden ondersteund op een platform, kunt u gebruikers toestaan in te loggen en te verifiëren met een speciale, eenmalige beveiligingscode. Gebruikers kunnen deze code alleen genereren op een apparaat waarop beveiligingssleutels worden ondersteund.

  1. Ga naar de pagina 'Geavanceerde beveiligingsinstellingen' en selecteer onder Toegestane methoden voor authenticatie in twee stappen, Alleen beveiligingssleutel de optie Gebruikers mogen een beveiligingscode van https://g.co/sc gebruiken in plaats van beveiligingssleutels als methode voor authenticatie in twee stappen.
  2. Klik op Opslaan.

Hoe beveiligingscodes werken

Beveiligingscodes zijn anders dan eenmalige codes die door apps als Google Authenticator worden gegenereerd. Een gebruiker moet de beveiligingscode genereren op een apparaat waarop deze een beveiligingssleutel kan gebruiken. De gebruiker raakt de beveiligingssleutel aan om de beveiligingscode te genereren.

Wanneer moet u beveiligingscodes toestaan

Wanneer u beveiligingssleutels afdwingt, maar ook beveiligingscodes toestaat, kunnen gebruikers hun werk gewoon uitvoeren als beveiligingssleutels niet worden ondersteund. Omdat beveiligingscodes niet zo veilig zijn als beveiligingssleutels voor authenticatie in twee stappen, moet u alleen beveiligingscodes toestaan voor gebruikers die moeten werken met platforms of apps waarop beveiligingssleutels niet worden ondersteund.

Gebruikerservaring

Zo kan Priya op de afdeling Financiën de financiële web-app die alleen in Internet Explorer 8.0 wordt uitgevoerd, toch gebruiken:

  1. Priya logt in op haar laptop met haar Google-gegevens.
  2. Ze steekt een beveiligingssleutel in een USB-poort op de laptop of tikt op een beveiligingssleutel die al is ingestoken om haar identiteit te verifiëren.
  3. Priya opent Internet Explorer 8.0 en probeert in te loggen bij de financiële app.
  4. Ze volgt de aanwijzingen om een eenmalige beveiligingscode te genereren op een apparaat waarop ze haar beveiligingssleutel kan gebruiken.
  5. Priya opent Chrome op haar laptop en gaat naar https://g.co/sc.
  6. Ze tikt op haar beveiligingssleutel en genereert een beveiligingscode.
  7. Ze kopieert de beveiligingscode en gebruikt deze om via Internet Explorer in te loggen bij de web-app.

Momenteel worden beveiligingssleutels alleen ondersteund in Chrome en Firefox. Eenmalige beveiligingscodes zijn vijf minuten geldig.

Gebruikers authenticatie in twee stappen laten overslaan op vertrouwde apparaten

We raden u af gebruikers authenticatie in twee stappen te laten overslaan op vertrouwde apparaten, tenzij uw gebruikers regelmatig wisselen van apparaat.

  1. Selecteer een optie op de pagina 'Geavanceerde beveiligingsinstellingen', onder Frequentie voor authenticatie in twee stappen:
    • De gebruiker toestaan het apparaat in te stellen als 'vertrouwd' wanneer authenticatie in twee stappen wordt gebruikt: De gebruiker kan de eerste keer dat hij inlogt op een nieuw apparaat een vakje aanvinken waardoor hij authenticatie in twee stappen niet meer hoeft te gebruiken op dat apparaat. De gebruiker wordt pas weer gevraagd opnieuw in te loggen met authenticatie in twee stappen als de gebruiker de cookies verwijdert, u de inlogcookies van de gebruiker reset of de gebruiker het apparaat intrekt in zijn account.
    • De gebruiker niet toestaan het apparaat in te stellen als 'vertrouwd' wanneer authenticatie in twee stappen wordt gebruikt: De gebruiker moet authenticatie in twee stappen gebruiken elke keer dat hij inlogt.
  2. Klik op Opslaan.

Stap 5: Beveiligingssleutels beheren (optioneel)

Een beveiligingssleutel toevoegen voor een gebruiker

U kunt een beveiligingssleutel toevoegen aan een gebruikersaccount. Als de gebruiker niet is ingeschreven voor authenticatie in twee stappen, wordt hij automatisch ingeschreven wanneer u een beveiligingssleutel voor hem inschrijft. Zie De beveiligingsinstellingen van een gebruiker beheren.

 

Was dit nuttig?
Hoe kunnen we dit verbeteren?