Уведомление

На смену Duet AI приходит Gemini для Google Workspace. Подробнее…

Двухэтапная аутентификация

Развертывание двухэтапной аутентификации

Вы и ваши пользователи играете важную роль в настройке двухэтапной аутентификации. Ваши пользователи могут выбрать способ двухэтапной аутентификации, а вы можете применить определенный способ для отдельных сотрудников или групп в организации. Например, вы можете потребовать, чтобы небольшая команда в отделе продаж использовала электронные ключи.

Шаг 1. Уведомьте пользователей о развертывании двухэтапной аутентификации

Перед развертыванием двухэтапной аутентификации расскажите пользователям о планах компании, в том числе:

  • Объясните, что такое двухэтапная аутентификация и почему компания ее использует.
  • Укажите, будет ли она обязательной.
  • Если необходимо, сообщите, до какой даты пользователи должны включить двухэтапную аутентификацию.
  • Укажите, какой способ двухэтапной аутентификации является обязательным или рекомендованным.

Шаг 2. Разрешите пользователям включать двухэтапную аутентификацию

Для аккаунтов, созданных до декабря 2016 года, двухэтапная аутентификация включена по умолчанию.

Разрешите пользователям включать двухэтапную аутентификацию и использовать любой способ подтверждения.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемАутентификацияа затемДвухэтапная аутентификация.

  3. Чтобы применить настройки ко всем пользователям, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение или группу конфигурации.
  4. Установите флажок Разрешить пользователям включать двухэтапную аутентификацию.
  5. Выберите Принудительное применениеа затемВыключено.
  6. Нажмите Сохранить. Если вы задали настройки для организационного подразделения или группы, то можете нажать кнопку Наследовать или Переопределить для родительской организации или Сбросить настройки для группы.

Шаг 3. Уведомьте пользователей о необходимости включить двухэтапную аутентификацию

  1. Попросите пользователей выполнить инструкции из раздела Как включить двухэтапную аутентификацию.
  2. Предоставьте инструкции по выбору способов двухэтапной аутентификации:

Шаг 4. Отследите статус включения двухэтапной аутентификации у пользователей

В отчетах можно найти следующие сведения о статусе включения двухэтапной аутентификации у пользователей: статус включения, статус принудительного применения и количество электронных ключей.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Отчетыа затемДействия пользователейа затемБезопасность.
  3. Чтобы добавить новый столбец со сведениями, выберите "Настройки" а затемДобавить столбец. Выберите столбец, который нужно добавить к таблице, и нажмите Сохранить.

Подробнее о том, как управлять настройками безопасности пользователя

Как посмотреть сводку по включению двухэтапной аутентификации у пользователей

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Отчетыа затемОтчеты о приложенияха затемАккаунты.

Как определить организационные подразделения и группы, которые не используют двухэтапную аутентификацию

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемЦентр безопасности а затемСостояние системы безопасности.
  3. Выполните поиск на странице Состояние системы безопасности по запросу Двухэтапная аутентификация для администраторов или Двухэтапная аутентификация для пользователей, чтобы посмотреть соответствующие сведения.

Шаг 5. Включите принудительную двухэтапную аутентификацию (необязательно)

Подготовка. Убедитесь, что ваши пользователи включили двухэтапную аутентификацию.

Важно! Если двухэтапная аутентификация применяется принудительно, пользователи, которые не включили двухэтапную аутентификацию, но добавили в аккаунт информацию о ней, например ключ безопасности или номер телефона, смогут выполнить вход с использованием этой информации. Все случаи входа пользователя, не включившего двухэтапную аутентификацию, но относящегося к организационному подразделению, в котором она применяется принудительно, выполнены с использованием двухэтапной аутентификации. Подробнее о не до конца настроенной двухэтапной аутентификации

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемАутентификацияа затемДвухэтапная аутентификация.

  3. Чтобы применить настройки ко всем пользователям, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение или группу конфигурации.
  4. Нажмите Разрешить пользователям включать двухэтапную аутентификацию.
  5. Для параметра Принудительное применение выберите одно из следующих значений:
    • Вкл.: принудительное применение начинает действовать сразу.
    • Включить обязательную двухэтапную аутентификацию с выбранной даты: выберите дату начала. При входе в аккаунт пользователи будут видеть напоминание о необходимости включить двухэтапную аутентификацию.
      Примечание. Если вы выберете вариант включения с выбранной даты, принудительное применение начнется в течение 24–48 часов после указанной даты. Если нужно точно задать время начала, используйте вариант Вкл.
  6. Чтобы дать пользователям время настроить двухэтапную аутентификацию до ее принудительного применения, выберите для параметра Отсрочка применения двухэтапной аутентификации для новых пользователей период от 1 дня до 6 месяцев.
    В течение этого времени они могут входить в систему, используя только пароль.
  7. Чтобы разрешить пользователям пропускать повторные проверки двухэтапной аутентификации на надежных устройствах, в разделе Частота установите флажок Разрешить пользователю добавлять устройство в список надежных.
    При входе в аккаунт с нового устройства пользователь сможет добавить его в список надежных. Пользователю больше не придется проходить двухэтапную аутентификацию на этом устройстве, если он не удалит файлы cookie и не отменит связь с устройством в своем аккаунте, а также если вы не сбросите файлы cookie сотрудника, использующиеся для входа.
    Мы не рекомендуем отключать двухэтапную аутентификацию на надежных устройствах. Исключением являются случаи, когда пользователям часто приходится работать с разными устройствами.
  8. С помощью параметра Способ укажите способ применения:
    • Любой. Пользователи могут выбрать любой способ.
    • Любой, за исключением кодов подтверждения, передаваемых с помощью SMS или телефонного звонка. Пользователи могут выбрать любой способ, кроме получения кода с помощью телефона.
      Важно! Пользователи, которые используют подтверждение с помощью SMS или телефонного звонка, потеряют доступ к своим аккаунтам. Чтобы они могли войти в свои аккаунты:
      • Заранее уведомьте пользователей о необходимости настроить другой способ двухэтапной аутентификации, поскольку с момента применения коды для двухэтапной аутентификации не будут доступны на телефонах.
      • Узнайте, какие сотрудники используют для аутентификации код подтверждения, получаемый с помощью SMS или телефонного звонка. Для этого в журнале пользователей с помощью атрибута login_verification найдите пользователей, у которых для параметра login_challenge_method установлено значение idv_preregistered_phone.
    • Только электронный ключ. Пользователи могут использовать только электронный ключ.
      Прежде чем выбрать этот метод применения, найдите пользователей, которые уже настроили электронные ключи. Учтите, что данные в отчете обновляются с задержкой до 48 часов. Информацию о том, как посмотреть статус двухэтапной аутентификации для каждого пользователя в режиме реального времени, можно найти в статье Как управлять настройками безопасности пользователя.
      Важно! Так как добавлены ключи доступа, вариант Только электронный ключ теперь в качестве метода двухэтапной аутентификации поддерживает и электронные ключи, и ключи доступа. У ключей доступа и электронных ключей одинаковый уровень защиты от фишинга. Подробнее о том, как войти в аккаунт, используя ключ доступа вместо пароля
  9. Если вы выбрали Только электронный ключ, задайте отсрочку до включения двухэтапной аутентификации.
    В течение этого периода пользователи могут выполнить вход с помощью созданного вами резервного кода, что удобно в случае потери электронного ключа. Укажите длительность отсрочки, которая начнется с момента создания кода подтверждения. Подробнее о том, как получить коды подтверждения для пользователя
  10. В разделе Защитные коды укажите, могут ли пользователи выполнять вход с помощью таких кодов.
    • Не разрешать пользователям создавать защитные коды. Пользователи не могут создавать защитные коды.
    • Разрешить защитные коды без удаленного доступа. Пользователи могут создавать защитные коды и использовать их на том же устройстве или в локальной сети (NAT или LAN).
    • Разрешить защитные коды с удаленным доступом. Пользователи могут создавать защитные коды и использовать их на других устройствах и в других сетях, например для доступа к удаленному серверу или виртуальной машине.
      Защитные коды отличаются от одноразовых кодов, генерируемых такими приложениями, как Google Authenticator. Чтобы создать защитный код, пользователю нужно нажать на электронный ключ на своем устройстве. Сгенерированные защитные коды действительны в течение 5 минут.
  11. Нажмите Сохранить. Если вы задали настройки для организационного подразделения или группы, то можете нажать кнопку Наследовать или Переопределить для родительской организации или Сбросить настройки для группы.

Что, если пользователи не выберут способ двухэтапной аутентификации до даты ее принудительного включения

Чтобы предоставить им дополнительное время на настройку, вы можете добавить их в группу, для которой двухэтапная аутентификация не является обязательной. Этот способ рекомендуется применять в крайних случаях. Узнайте, как избежать проблем с доступом сотрудников к аккаунтам при обязательном использовании двухэтапной аутентификации.

Статьи по теме

Как посмотреть отчеты о приложениях, используемых в организации

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
2765683433142814184
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false