Bestätigung in zwei Schritten

Bestätigung in zwei Schritten implementieren

Wenn Sie die Bestätigung in zwei Schritten implementieren möchten, müssen sowohl Sie als auch Ihre Nutzer aktiv werden.

Schritt 1: Nutzer darüber informieren, dass die Bestätigung in zwei Schritten implementiert werden soll (erforderlich)

Bevor Sie die Bestätigung in zwei Schritten implementieren, informieren Sie Ihre Nutzer über die Pläne des Unternehmens:

  • Erklären Sie den Sinn der Funktion und warum sie Ihr Unternehmen einsetzen möchte.
  • Geben Sie an, ob die Bestätigung in zwei Schritten optional oder erforderlich ist.
  • Geben Sie bei Bedarf das Datum an, bis zu dem die Nutzer die Bestätigung in zwei Schritten aktivieren müssen.
  • Teilen Sie den Nutzern mit, welche Methode dazu erforderlich ist oder empfohlen wird.

Weitere Informationen finden Sie unter Best Practices für die Bestätigung in zwei Schritten.

Schritt 2: Einfache Bestätigung in zwei Schritten einrichten (erforderlich)

Als Nächstes lassen Sie Ihre Nutzer die Bestätigung in zwei Schritten aktivieren. Die Nutzer können die Bestätigung in zwei Schritten standardmäßig aktivieren und eine beliebige Bestätigungsmethode verwenden. Bei G Suite-Konten, die vor Dezember 2016 erstellt wurden, ist die Bestätigung in zwei Schritten standardmäßig deaktiviert.

Einstellungen für die Bestätigung in zwei Schritten anwenden

Sie können die Einstellungen für die Bestätigung in zwei Schritten für Organisationseinheiten und Ausnahmegruppen (eine Gruppe von Nutzern innerhalb einer Organisationseinheit) anpassen. So lässt sich beispielsweise für ein kleines Team in der Organisationseinheit "Vertrieb" die Nutzung von Sicherheitsschlüsseln erzwingen.

Funktionsweise von Ausnahmegruppen

  • Sie können einer Organisationseinheit eine Ausnahmegruppe zuweisen.
  • Die Nutzer in der Ausnahmegruppe müssen der Organisationseinheit angehören.
  • Die Einstellungen für die Bestätigung in zwei Schritten gelten für die Nutzer in der Ausnahmegruppe, aber nicht für Gruppenadressen oder verschachtelte Gruppen.
  • Erstellen Sie die Gruppe in der Admin-Konsole, in der Groups API oder in Directory Sync (nicht in Google Groups).

Sie können die Organisationseinheit in den Namen der Ausnahmegruppen aufnehmen, z. B. ausngrp_OE_name, damit sie leichter erkennbar ist.

 

Nutzer dürfen die Bestätigung in zwei Schritten aktivieren
  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann Bestätigung in zwei Schritten.

  3. Wählen Sie links eine Organisationseinheit oder Ausnahmegruppe aus.
  4. Lassen Sie zu, dass Nutzer die Bestätigung in zwei Schritten aktivieren und eine beliebige Bestätigungsmethode verwenden. Erzwingen Sie die Bestätigung in zwei Schritten aber noch nicht.
    • Klicken Sie auf das Kästchen Nutzer dürfen die Bestätigung in zwei Schritten aktivieren.
    • Wählen Sie Erzwingung > Aus aus.
  5. Klicken Sie auf Speichern.
Nutzer dazu auffordern, sich für die Bestätigung in zwei Schritten zu registrieren
  1. Fordern Sie Ihre Nutzer auf, sich wie in dieser Anleitung beschrieben zu registrieren.
  2. Stellen Sie für die Registrierung Anleitungen für verschiedene Methoden zur Verfügung:
Registrierung von Nutzern verfolgen 

Mit Berichten können Sie die Registrierung Ihrer Nutzer für die Bestätigung in zwei Schritten zahlenmäßig im Blick behalten. 

  • Sehen Sie sich die Registrierung, den Erzwingungsstatus und die Anzahl der Sicherheitsschlüssel an. Gehen Sie zu Berichte > Nutzerberichte > Sicherheit. Klicken Sie auf "Einstellungen" "" und dann Einstellungen, um die Spalte "Sicherheitsschlüssel" auszuwählen. Weitere Informationen
  • Prüfen Sie die Einstellungen und den Status für einzelne Nutzer (Echtzeitstatus). Weitere Informationen
  • Sehen Sie sich eine Übersicht über die Trends bei der Registrierung an.   Gehen Sie zu Berichte > Apps-Berichte > Konten. Weitere Informationen

  • Ermitteln Sie Organisationseinheiten und Gruppen, die die Bestätigung in zwei Schritten nicht verwenden. Weitere Informationen
     

Schritt 3: Bestätigung in zwei Schritten erzwingen (optional)

Als Administrator können Sie nach Wunsch die Bestätigung in zwei Schritten für Ihre Nutzer erzwingen.

Prüfen Sie, ob sich Ihre Nutzer für die Bestätigung in zwei Schritten registriert haben, bevor Sie das Verfahren erzwingen. Nicht registrierte Nutzer können sich sonst nicht in ihren Konten anmelden.

Reibungslosen Wechsel zu Erzwingungsrichtlinien gewährleisten

Wenn Sie die Bestätigung in zwei Schritten erzwingen, müssen Nutzer eine gültige Methode dafür haben. Ansonsten werden ihre Konten nach Ablauf der aktiven Sitzung gesperrt. Das kann z. B. der Fall sein, wenn Sie statt einer beliebigen Bestätigungsmethode verlangen, dass Sicherheitsschlüssel verwendet werden. Sie müssen den Nutzern dann dabei helfen, das Konto wiederherzustellen, damit sie sich anmelden können. 

Pläne zur Erzwingung der Bestätigung in zwei Schritten bekannt geben

Informieren Sie die Nutzer über Ihre Pläne und das Umstellungsdatum, bevor Sie Richtlinien zur Erzwingung festlegen. Geben Sie ihnen Zeit, eine Methode für die Bestätigung in zwei Schritten einzurichten. Legen Sie für neue Mitarbeiter einen Anmeldezeitraum für neue Nutzer fest.

Nutzer, die am Umstellungsdatum noch keine Methode ausgewählt haben

Es kann vorkommen, dass nicht alle Nutzer bis zum angekündigten Umstellungsdatum die erforderliche Bestätigungsmethode eingerichtet haben.

Sie können Nutzern mehr Zeit geben. Nehmen Sie sie dazu in eine Ausnahmegruppe auf, in der die Bestätigung in zwei Schritten nicht erzwungen wird. Diese Problemumgehung ermöglicht zwar solchen Nutzern die Anmeldung, wird aber nicht als Standard empfohlen. Weitere Informationen finden Sie im Hilfeartikel Kontosperrungen bei der Erzwingung der Bestätigung in zwei Schritten vermeiden.

Methode zur Bestätigung in zwei Schritten auswählen

Wenn Sie die Bestätigung in zwei Schritten erzwingen, wird die Methode standardmäßig auf "Alle" eingestellt. Die sicherste Methode für die Bestätigung in zwei Schritten ist die Verwendung von Sicherheitsschlüsseln. Weitere Informationen dazu finden Sie unter Best Practices für die Bestätigung in zwei Schritten.

Methoden zur Erzwingung

  • Alle: Die Nutzer können jede beliebige Methode für die Bestätigung in zwei Schritten einrichten.
  • Alle, außer Bestätigungscodes per SMS oder Anruf: Sofern sie den Bestätigungscode nicht über das Smartphone erhalten, können die Nutzer eine beliebige Methode für die Bestätigung in zwei Schritten einrichten.
  • Nur Sicherheitsschlüssel: Die Nutzer müssen einen Sicherheitsschlüssel einrichten.

Überlegungen beim Erzwingen dieser Methoden:  

Alle Methoden außer Bestätigungscodes per SMS oder Anruf

Wenn Sie derzeit jede beliebige Methode zur Bestätigung in zwei Schritten zulassen, haben Sie sicherlich Nutzer, die sich per SMS- oder Sprachanruf-Code authentifizieren. So verhindern Sie, dass die Konten dieser Nutzer gesperrt werden:

  • Bevor die Erzwingung wirksam wird, bitten Sie die Nutzer, eine andere Methode zur Bestätigung in zwei Schritten zu verwenden. Informieren Sie sie außerdem darüber, dass nach dem Erzwingungsdatum die Codes für die Bestätigung in zwei Schritten auf ihren Smartphones nicht mehr verfügbar sind.
  • Ermitteln Sie über das Ereignis login_verification im Audit-Log für Anmeldeaktivitäten die Nutzer, die für die Bestätigung in zwei Schritten Codes per SMS oder Sprachanruf erhalten. Wenn der Parameter login_challenge_method den Wert idv_preregistered_phone hat, wurde die Authentifizierung über einen solchen Bestätigungscode durchgeführt.

Nur Sicherheitsschlüssel

Bevor Sie Sicherheitsschlüssel erzwingen, sollten Sie in den Kontoberichten nach Nutzern suchen, die Sicherheitsschlüssel eingerichtet haben. Die Berichtsdaten können sich um bis zu 48 Stunden verzögern. Weitere Informationen zum Echtzeitstatus der Bestätigung in zwei Schritten für einzelne Nutzer finden Sie unter Sicherheitseinstellungen eines Nutzers verwalten.

Sie können auch Sicherheitscodes zulassen, damit Nutzer in Situationen, in denen Sicherheitsschlüssel nicht unterstützt werden, weiterarbeiten können. Allerdings bieten sie bei der Bestätigung in zwei Schritten nicht die gleiche Sicherheit wie Schlüssel. Deshalb sollten Sie diese Methode auf Nutzer beschränken, die Browser, Geräte oder Apps verwenden müssen, die keine Sicherheitsschlüssel unterstützen. 

Sicherheitscodes unterscheiden sich von einmaligen Codes, die von Apps wie Google Authenticator generiert werden. Nutzer benötigen dazu ein Gerät, auf dem sie Sicherheitsschlüssel verwenden können. Sie tippen den Sicherheitsschlüssel an und generieren so den Sicherheitscode. Die Sicherheitscodes sind fünf Minuten lang gültig.

Ein Beispiel: Erika verwendet eine Finanz-App, die nur in einem älteren Browser ausgeführt wird und keine Sicherheitsschlüssel unterstützt. 

  1. Sie öffnet den älteren Browser und versucht, sich in der Finanz-App anzumelden.
  2. Sie folgt der Anleitung, um sich einen einmaligen Sicherheitscode auf ein Gerät senden zu lassen, auf dem sie ihren Sicherheitsschlüssel verwenden kann.
  3. Dazu startet Erika Chrome auf ihrem Laptop und meldet sich in ihrem Google-Konto an. Möglicherweise wird sie zur Eingabe des Sicherheitsschlüssels aufgefordert, wenn sie sich bisher noch nicht über diesen Browser in ihrem Google-Konto angemeldet hat.
  4. Sie ruft https://g.co/sc auf.
  5. Sie tippt den Sicherheitsschlüssel auf ihrem Laptop an, um einen Sicherheitscode zu generieren. Dann kopiert sie ihn und schließt damit die Anmeldung in der Browser-App ab.

Sicherheitsschlüssel für einen Nutzer hinzufügen: Wenn der Nutzer nicht für die Bestätigung in zwei Schritten registriert ist, wird er automatisch registriert, wenn Sie einen Sicherheitsschlüssel für ihn registrieren. Weitere Informationen im Artikel Sicherheitseinstellungen eines Nutzers verwalten

Erzwingung aktivieren

Wählen Sie eine Methode und Einstellung für die Erzwingung aus.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann Bestätigung in zwei Schritten.

  3. Wählen Sie links eine Organisationseinheit oder Ausnahmegruppe aus.
  4. Klicken Sie auf Nutzern erlauben, die Bestätigung in zwei Schritten zu aktivieren.
  5. Wählen Sie unter Erzwingung aus, ab wann die Bestätigung in zwei Schritten erzwungen werden soll.
    • An: ab sofort.
    • Erzwingung aktivieren ab: Wählen Sie das Startdatum aus. Die Nutzer sehen dann beim Anmelden Erinnerungen, dass sie sich für die Bestätigung in zwei Schritten registrieren sollen.
  6. Legen Sie einen Anmeldezeitraum für neue Nutzer fest.

    Das gibt neuen Mitarbeitern die Gelegenheit, sich zu registrieren, bevor die Pflicht auch für sie gilt. In diesem Zeitraum benötigen Nutzer nur ihr Passwort, um sich anzumelden.

    Wählen Sie einen Zeitraum von 1 Tag bis 6 Monate aus. Innerhalb dieses Zeitraums, der mit der ersten Anmeldung beginnt, können sich neue Nutzer für die Bestätigung in zwei Schritten registrieren.
  7. Klicken Sie bei der Einstellung Häufigkeit auf Der Nutzer darf dem Gerät vertrauen (optional).

    Damit erlauben Sie den Nutzern, die erneute Bestätigung in zwei Schritten auf vertrauenswürdigen Geräten zu überspringen. Wenn sich ein Nutzer zum ersten Mal auf einem neuen Gerät anmeldet, kann er das entsprechende Kästchen anklicken. Die Aufforderung zur Bestätigung in zwei Schritten auf dem Gerät erfolgt erst wieder, wenn der Nutzer die Cookies löscht, wenn Sie die Anmeldecookies des Nutzers zurücksetzen oder wenn der Nutzer die Einstellung für das Gerät in seinem Konto aufhebt.

     Es ist nicht empfehlenswert, den Nutzern diese Möglichkeit zu geben, es sei denn, sie wechseln häufig zwischen verschiedenen Geräten. Wenn Sie vertrauenswürdige Geräte nicht zulassen, müssen die Nutzer bei jeder Anmeldung die Bestätigung in zwei Schritten verwenden. 

Optionen für Sicherheitsschlüssel 

Fügen Sie eine Bestätigungsmethode als Back-up hinzu, falls Nutzer keinen Zugriff auf ihren Sicherheitsschlüssel haben oder sich in einer App anmelden müssen, die keine Sicherheitsschlüssel unterstützt. 

  1. Legen Sie fest, in welchem Kulanzzeitraum die Bestätigung in zwei Schritten aufgehoben wird.

    Damit ermöglichen Sie den Nutzern, sich mit einem Back-up-Code anzumelden, den Sie für den jeweiligen Nutzer generieren. Das ist nützlich, wenn ein Nutzer seinen Sicherheitsschlüssel verliert. Wählen Sie die Dauer dieses Kulanzzeitraums aus, der beginnt, wenn Sie den Bestätigungscode für den Nutzer generieren. Weitere Informationen

  2.  Wählen Sie unter Sicherheitscodes aus, ob Nutzer sich mit einem Sicherheitscode anmelden dürfen. 
    • Nicht zulassen, dass Nutzer Sicherheitscodes generieren: Damit schalten Sie diese Möglichkeit für Nutzer aus. Wenn Sie sich vor dem 20. November 2019 für die G Suite registriert haben, ist das die Standardoption.
    • Sicherheitscodes ohne Remote-Zugriff zulassen: Nutzer dürfen Sicherheitscodes generieren und sie auf demselben Gerät oder im selben lokalen Netzwerk verwenden (NAT oder LAN). Wenn Sie sich am oder nach dem 20. November 2019 für die G Suite registriert haben, ist das die Standardoption.
    • Sicherheitscodes mit Remote-Zugriff zulassen: Nutzer dürfen Sicherheitscodes generieren und sie auf anderen Geräten oder in anderen Netzwerken verwenden, z. B. beim Zugriff auf einen Remote-Server oder eine virtuelle Maschine.
War das hilfreich?
Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Anmelden, um weitere Supportoptionen zu erhalten und das Problem schnell zu beheben