Bestätigung in zwei Schritten

Bestätigung in zwei Schritten implementieren

Wenn Sie die Bestätigung in zwei Schritten implementieren möchten, müssen sowohl Sie als auch Ihre Nutzer aktiv werden. 

Schritt 1: Nutzer darüber informieren, dass die Bestätigung in zwei Schritten implementiert werden soll (erforderlich)

Bevor Sie die Bestätigung in zwei Schritten implementieren, informieren Sie Ihre Nutzer über die Pläne des Unternehmens:

  • Erklären Sie die Bestätigung in zwei Schritten und warum sie Ihr Unternehmen einsetzen möchte.
  • Teilen Sie den Nutzern mit, ob die Bestätigung in zwei Schritten für sie optional oder verpflichtend ist.
  • Geben Sie bei Bedarf das Datum an, bis zu dem die Nutzer die Bestätigung in zwei Schritten aktivieren müssen.
  • Informieren Sie die Nutzer, welche Methode dazu erforderlich ist oder empfohlen wird.

Schritt 2: Einfache Bestätigung in zwei Schritten einrichten (erforderlich)

In der Google Admin-Konsole können Sie festlegen, dass Nutzer die Bestätigung in zwei Schritten aktivieren dürfen. Diese Einstellung gilt für die gesamte oberste Organisationsebene, die mehrere Domains umfassen kann.

Wenn die oberste Organisationsebene nach Dezember 2016 erstellt wurde, ist die Einstellung für die Bestätigung in zwei Schritten standardmäßig aktiviert. Bei Konten, die in neueren Organisationen auf oberster Ebene erstellt wurden, ist die Einstellung für die Bestätigung in zwei Schritten ebenfalls standardmäßig aktiviert. Wenn die Bestätigung in zwei Schritten aktiviert ist, können Nutzer eine Methode dafür einrichten.

Nutzern in der obersten Organisationsebene erlauben, die Bestätigung in zwei Schritten zu aktivieren

  1. Anmeldung in Ihrer Google Admin-Konsole

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann Grundlegende Einstellungen.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Sicherheit" auf der Startseite angezeigt wird.

  3. Klicken Sie unter Bestätigung in zwei Schritten auf die Option Nutzer dürfen die Bestätigung in zwei Schritten aktivieren.
    Jeder Nutzer in Ihrer obersten Organisationsebene kann dann die Bestätigung in zwei Schritten aktivieren und eine beliebige Methode einrichten.
  4. Klicken Sie rechts unten auf Speichern.

Nutzer dazu auffordern, sich für die Bestätigung in zwei Schritten zu registrieren

  1. Fordern Sie Ihre Nutzer auf, sich gemäß dieser Anleitung zu registrieren.
  2. Stellen Sie Anleitungen für die Registrierung verschiedener Methoden zur Verfügung:

Schritt 3: Bestätigung in zwei Schritten erzwingen (optional)


Wenn Sie die Bestätigung in zwei Schritten erzwingen, müssen Ihre Nutzer dieses Verfahren anwenden. Andernfalls können sie sich nicht in ihrem Konto anmelden.

Erweiterte Einstellungen für die Bestätigung in zwei Schritten auswählen

  1. Anmeldung in Ihrer Google Admin-Konsole

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann Grundlegende Einstellungen.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Sicherheit" auf der Startseite angezeigt wird.

  3. Überprüfen Sie unter Bestätigung in zwei Schritten, ob das Kästchen neben Nutzer dürfen die Bestätigung in zwei Schritten aktivieren angeklickt ist. Ist dies nicht der Fall, klicken Sie auf das Kästchen und danach auf Speichern.
  4. Klicken Sie auf Zu den erweiterten Einstellungen gehen, um die Bestätigung in zwei Schritten zu erzwingen.

Nutzerregistrierung für die Bestätigung in zwei Schritten überprüfen

Überprüfen Sie, ob sich Ihre Nutzer für die Bestätigung in zwei Schritten registriert haben, bevor Sie das Verfahren erzwingen. Nicht registrierte Nutzer können sich sonst nicht mehr in ihrem Konto anmelden.
  1. Klicken Sie auf der Seite "Erweiterte Sicherheitseinstellungen" unter Erzwingung rechts auf Anmeldeliste.
  2. Sehen Sie im Bericht nach, welche Nutzer nicht registriert sind.
    Die Anzeige dieser Daten kann bis zu 48 Stunden verzögert sein. Weitere Informationen zum Echtzeitstatus der Bestätigung in zwei Schritten für einzelne Nutzer finden Sie unter Sicherheitseinstellungen eines Nutzers verwalten.
  3. Weisen Sie nicht registrierte Nutzer darauf hin, dass sie sich registrieren müssen, um weiterhin Zugriff auf ihr Konto zu haben.

Erzwingung aktivieren

Sie können die Bestätigung in zwei Schritten für Administratoren und wichtige Nutzer erzwingen. Weitere Informationen dazu finden Sie in den Best Practices für die Bestätigung in zwei Schritten.

Wenn Sie in der Admin-Konsole festlegen, dass Nutzer die Bestätigung in zwei Schritten aktivieren dürfen, gilt dies für die gesamte oberste Organisationsebene. Sie können die Bestätigung in zwei Schritten jedoch auch nur für Nutzer in bestimmten Organisationseinheiten erzwingen.

  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" links eine Organisationseinheit aus, für die Sie die Bestätigung in zwei Schritten erzwingen möchten.
    • Wenn Sie keine Organisationseinheit auswählen, gelten die Einstellungen für die gesamte oberste Organisationsebene.
    • Wenn Sie möchten, dass eine Organisationseinheit dieselben Einstellungen wie die übergeordnete Organisation verwendet, klicken Sie rechts oben auf Übernommene Einstellung verwenden.
  2. Wählen Sie eine Option zur Erzwingung aus:
    • Erzwingung aktivieren ab: Legen Sie das gewünschte Startdatum fest.
    • Erzwingung aktivieren: Die Einstellung gilt ab sofort.
  3. Wenn Sie die Bestätigung in zwei Schritten ab einem bestimmten Datum erzwingen möchten, klicken Sie das Startdatum im Kalender an. Nutzer sehen dann beim Anmelden Erinnerungen, dass sie sich für die Bestätigung in zwei Schritten registrieren sollen.
  4. Klicken Sie auf Speichern.

Verhindern, dass neue Nutzer aus ihrem Konto ausgesperrt werden

Wenn Sie die Bestätigung in zwei Schritten erzwingen, müssen Sie neuen Mitarbeitern vorher Zeit geben, sich zu registrieren. Dazu lässt sich ein bestimmter Zeitraum festlegen, in dem sich die neuen Nutzer nur mit ihrem Passwort anmelden können.
  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" neben Anmeldezeitraum für neue Nutzer eine Dauer zwischen einem Tag und sechs Monaten aus.
    Innerhalb dieses Zeitraums, der mit der ersten Anmeldung beginnt, können sich neue Nutzer für die Bestätigung in zwei Schritten registrieren.
  2. Klicken Sie auf Speichern.

Erzwungene Methode für die Bestätigung in zwei Schritten auswählen 

Die sicherste Methode für die Bestätigung in zwei Schritten ist die Verwendung von Sicherheitsschlüsseln. Weitere Informationen dazu finden Sie in den Best Practices für die Bestätigung in zwei Schritten.

  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" unter Zulässige Methoden für die Bestätigung in zwei Schritten eine Option aus:
    • Alle: Nutzer können jede beliebige Methode für die Bestätigung in zwei Schritten einrichten.
    • Alle außer Bestätigungscode per SMS oder Anruf: Sofern sie sich den Bestätigungscode nicht auf das Smartphone senden lassen, können Nutzer eine beliebige Methode für die Bestätigung in zwei Schritten einrichten.
    • Nur Sicherheitsschlüssel: Nutzer müssen einen Sicherheitsschlüssel einrichten.
  2. Klicken Sie auf Speichern.
Reibungslosen Übergang auf Erzwingungsrichtlinien gewährleisten 

Wenn Sie die Bestätigung in zwei Schritten erzwingen, müssen bestehende Nutzer eine gültige Methode dafür haben. Ansonsten werden ihre Konten nach Ablauf der aktiven Sitzung gesperrt. Sie müssen dann dabei helfen, das Konto wiederherzustellen, damit sie sich anmelden können. Sehen Sie hier Beispiele für solche Situationen:

  • ​Sie ändern die Richtlinien so, dass die Bestätigung in zwei Schritten nicht mehr optional ist, sondern erzwungen wird.
  • ​​Sie erzwingen die Bestätigung in zwei Schritten, erlauben Nutzern jedoch, jede beliebige Methode auszuwählen. Dann schränken Sie dies ein und lassen nicht mehr zu, dass das Smartphone für den Empfang des Bestätigungscodes per SMS oder Sprachanruf verwendet wird.
  • ​​Sie hatten bisher Richtlinien, nach denen die Bestätigung in zwei Schritten optional war oder Sie haben alle Methoden bzw. alle Methoden außer dem Empfang des Bestätigungscodes per SMS oder Sprachanruf auf dem Smartphone unterstützt. Jetzt ändern Sie dies so, dass dafür jedes Mal ein Sicherheitsschlüssel erforderlich ist.

Pläne zur Erzwingung der Bestätigung in zwei Schritten bekannt geben

Informieren Sie die Nutzer über Ihre Pläne und das Umstellungsdatum, bevor Sie Richtlinien zur Erzwingung festlegen. Geben Sie ihnen Zeit, eine Methode für die Bestätigung in zwei Schritten einzurichten. Im Abschnitt "Verhindern, dass neue Nutzer aus ihrem Konto ausgesperrt werden" erfahren Sie, wie Sie für neue Mitarbeiter einen Zeitraum für die erstmalige Registrierung festlegen.

Mit Nutzern umgehen, die am Umstellungsdatum nicht den Richtlinien entsprechen

Möglicherweise gibt es bei Ihnen Nutzer, die bis zum angekündigten Umstellungsdatum keine gültige Methode für die Bestätigung in zwei Schritten eingerichtet haben. Sie haben die Möglichkeit, ihnen zusätzliche Zeit für die Anmeldung zur Verfügung zu stellen. Dazu nehmen Sie diese Nutzer in eine Ausnahmegruppe auf, in der die Bestätigung in zwei Schritten erst erzwungen wird, nachdem sie eine entsprechende gültige Methode hinzugefügt haben. Weitere Informationen finden Sie unter Nutzer verschieben, wenn die Bestätigung in zwei Schritten erzwungen wird.

Diese Problemumgehung ermöglicht zwar solchen Nutzern die Anmeldung, wird jedoch nicht als Standard empfohlen, da ihre Konten nicht durch die Bestätigung in zwei Schritten geschützt werden, während sie sich in der Ausnahmegruppe befinden.

"Alle außer Bestätigungscode per SMS oder Anruf" erzwingen

Wenn Nutzer derzeit jede beliebige Methode zur Bestätigung in zwei Schritten verwenden können, gibt es unter ihnen sicher auch welche, die dazu bisher nur Codes verwenden, die sie per SMS oder Sprachanruf auf das Smartphone bekommen. Allerdings können sie sich nach der Erzwingung in dieser Form weder mit einer dafür bereits genutzten Telefonnummer anmelden noch eine neue Telefonnummer angeben.

Sie haben folgende Möglichkeiten, um zu vermeiden, dass die Konten solcher Nutzer gesperrt werden:

  • Lassen Sie sie eine andere Methode für die Bestätigung in zwei Schritten hinzufügen und verwenden, bevor die Richtlinien umgestellt werden. Informieren Sie sie außerdem darüber, dass sie nach dem entsprechenden Datum, an dem die Erzwingung umgestellt wird, keine Bestätigungscodes mehr auf dem Smartphone empfangen können.
  • Ermitteln Sie über das Ereignis login_verification in der Anmeldungsprüfaktivität Nutzer, die sich mit Codes für die Bestätigung in zwei Schritten anmelden, die sie per SMS oder Sprachanruf erhalten haben. Wenn der Parameter login_challenge_method den Wert idv_preregistered_phone hat, ist die Authentifizierung über einen solchen Bestätigungscode durchgeführt worden.

"Nur Sicherheitsschlüssel" erzwingen

Überprüfen Sie vor der Erzwingung dieser Richtlinien die Sicherheitseinstellungen der Nutzer, um sicherzustellen, dass sie ihre Sicherheitsschlüssel eingerichtet haben:

  • ​Klicken Sie unter Nur Sicherheitsschlüssel auf Nutzer, die registrierte Sicherheitsschlüssel haben, um eine Liste dieser Personen zu erstellen.
  • ​Klicken Sie auf einen Nutzer in der Liste, um dessen Einstellungen zu sehen.

Ersatzcodes für verlorene Sicherheitsschlüssel zulassen

Wenn Sie Sicherheitsschlüssel als einzig zulässige Methode erzwingen und ein Nutzer seinen Sicherheitsschlüssel verliert, benötigt er eine Möglichkeit, um sich bis zum Erhalt eines neuen Schlüssels anzumelden. Sie können festlegen, dass Nutzer in solchen Fällen für einen bestimmten Zeitraum Ersatzcodes verwenden dürfen.
  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" neben Kulanzzeitraum für das Sperren der Bestätigung in zwei Schritten einen Zeitraum zwischen einem Tag und einer Woche aus.
    Der Kulanzzeitraum beginnt mit dem Generieren der Ersatzcodes.
  2. Klicken Sie auf Speichern.

Nutzern erlauben, die erneute Bestätigung in zwei Schritten auf vertrauenswürdigen Geräten zu überspringen

Wir raten davon ab, Nutzern zu erlauben, die Bestätigung in zwei Schritten auf vertrauenswürdigen Geräten zu umgehen. Dies wäre höchstens dann sinnvoll, wenn die Geräte immer wieder gewechselt werden.

  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" unter Häufigkeit der Bestätigung in zwei Schritten eine Option aus:
    • Nutzer darf das Gerät für die Bestätigung in zwei Schritten als vertrauenswürdig einstufen: Wenn sich Nutzer zum ersten Mal auf einem neuen Gerät anmelden, können sie festlegen, dass die Bestätigung in zwei Schritten für die Zukunft übersprungen wird, indem sie das entsprechende Kästchen anklicken. Die Aufforderung zur Bestätigung in zwei Schritten erfolgt erst wieder, wenn Nutzer die Cookies löschen, wenn Sie die Anmeldecookies der Nutzer zurücksetzen oder wenn der Nutzer die Einstufung für das Gerät in seinem Konto aufhebt.
    • Nutzer darf dem Gerät bei der Bestätigung in zwei Schritten nicht vertrauen: Nutzer müssen die Bestätigung in zwei Schritten bei jeder Anmeldung verwenden.
  2. Klicken Sie auf Speichern.

Schritt 4: Sicherheitsschlüssel verwalten (optional)

Sicherheitsschlüssel für Nutzer hinzufügen

Sie können einem Nutzerkonto einen Sicherheitsschlüssel hinzufügen. Nutzer, die die Bestätigung in zwei Schritten noch nicht verwenden, werden automatisch registriert, wenn Sie einen Sicherheitsschlüssel für sie aktivieren. Weitere Informationen erhalten Sie unter Sicherheitseinstellungen eines Nutzers verwalten.

 

War dieser Artikel hilfreich?
Wie können wir die Seite verbessern?