Bestätigung in zwei Schritten

Bestätigung in zwei Schritten implementieren

Wenn Sie die Bestätigung in zwei Schritten implementieren möchten, müssen sowohl Sie als auch Ihre Nutzer aktiv werden. 

Schritt 1: Nutzer darüber informieren, dass die Bestätigung in zwei Schritten implementiert werden soll (erforderlich)

Bevor Sie die Bestätigung in zwei Schritten implementieren, informieren Sie Ihre Nutzer über die Pläne des Unternehmens:

  • Erklären Sie die Bestätigung in zwei Schritten und warum sie Ihr Unternehmen einsetzen möchte.
  • Teilen Sie den Nutzern mit, ob die Bestätigung in zwei Schritten für sie optional oder verpflichtend ist.
  • Geben Sie bei Bedarf das Datum an, bis zu dem die Nutzer die Bestätigung in zwei Schritten aktivieren müssen.
  • Informieren Sie die Nutzer, welche Methode dazu erforderlich ist oder empfohlen wird.

Schritt 2: Einfache Bestätigung in zwei Schritten einrichten (erforderlich)

In der Google Admin-Konsole können Sie festlegen, dass Nutzer die Bestätigung in zwei Schritten aktivieren dürfen. Diese Einstellung gilt für die gesamte oberste Organisationsebene, die mehrere Domains umfassen kann.

Wenn die oberste Organisationsebene nach Dezember 2016 erstellt wurde, ist die Einstellung für die Bestätigung in zwei Schritten standardmäßig aktiviert. Bei Konten, die in neueren Organisationen auf oberster Ebene erstellt wurden, ist die Einstellung für die Bestätigung in zwei Schritten ebenfalls standardmäßig aktiviert. Wenn die Bestätigung in zwei Schritten aktiviert ist, können Nutzer eine Methode dafür einrichten.

Nutzern in der obersten Organisationsebene erlauben, die Bestätigung in zwei Schritten zu aktivieren

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann Grundlegende Einstellungen.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Sicherheit" auf der Startseite angezeigt wird.

  3. Klicken Sie unter Bestätigung in zwei Schritten auf die Option Nutzer dürfen die Bestätigung in zwei Schritten aktivieren.
    Jeder Nutzer in Ihrer obersten Organisationsebene kann dann die Bestätigung in zwei Schritten aktivieren und eine beliebige Methode einrichten.
  4. Klicken Sie rechts unten auf Speichern.

Nutzer dazu auffordern, sich für die Bestätigung in zwei Schritten zu registrieren

  1. Fordern Sie Ihre Nutzer auf, sich gemäß dieser Anleitung zu registrieren.
  2. Stellen Sie Anleitungen für die Registrierung verschiedener Methoden zur Verfügung:

Schritt 3: Bestätigung in zwei Schritten erzwingen (optional)


Wenn Sie die Bestätigung in zwei Schritten erzwingen, müssen Ihre Nutzer dieses Verfahren anwenden. Andernfalls können sie sich nicht in ihrem Konto anmelden.

Erweiterte Einstellungen für die Bestätigung in zwei Schritten auswählen

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann Grundlegende Einstellungen.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Sicherheit" auf der Startseite angezeigt wird.

  3. Überprüfen Sie unter Bestätigung in zwei Schritten, ob das Kästchen neben Nutzer dürfen die Bestätigung in zwei Schritten aktivieren angeklickt ist. Ist dies nicht der Fall, klicken Sie auf das Kästchen und danach auf Speichern.
  4. Klicken Sie auf Zu den erweiterten Einstellungen gehen, um die Bestätigung in zwei Schritten zu erzwingen.

Nutzerregistrierung für die Bestätigung in zwei Schritten überprüfen

Überprüfen Sie, ob sich Ihre Nutzer für die Bestätigung in zwei Schritten registriert haben, bevor Sie das Verfahren erzwingen. Nicht registrierte Nutzer können sich sonst nicht mehr in ihrem Konto anmelden.
  1. Klicken Sie auf der Seite "Erweiterte Sicherheitseinstellungen" unter Erzwingung rechts auf Anmeldeliste.
  2. Sehen Sie im Bericht nach, welche Nutzer nicht registriert sind.
    Die Anzeige dieser Daten kann bis zu 48 Stunden verzögert sein. Weitere Informationen zum Echtzeitstatus der Bestätigung in zwei Schritten für einzelne Nutzer finden Sie unter Sicherheitseinstellungen eines Nutzers verwalten.
  3. Weisen Sie nicht registrierte Nutzer darauf hin, dass sie sich registrieren müssen, um weiterhin Zugriff auf ihr Konto zu haben.

Erzwingung aktivieren

Sie können die Bestätigung in zwei Schritten für Administratoren und wichtige Nutzer erzwingen. Weitere Informationen dazu finden Sie in den Best Practices für die Bestätigung in zwei Schritten.

Wenn Sie in der Admin-Konsole festlegen, dass Nutzer die Bestätigung in zwei Schritten aktivieren dürfen, gilt dies für die gesamte oberste Organisationsebene. Sie können die Bestätigung in zwei Schritten jedoch auch nur für Nutzer in bestimmten Organisationseinheiten erzwingen.

  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" links eine Organisationseinheit aus, für die Sie die Bestätigung in zwei Schritten erzwingen möchten.
    • Wenn Sie keine Organisationseinheit auswählen, gelten die Einstellungen für die gesamte oberste Organisationsebene.
    • Wenn Sie möchten, dass eine Organisationseinheit dieselben Einstellungen wie die übergeordnete Organisation verwendet, klicken Sie rechts oben auf Übernommene Einstellung verwenden.
  2. Wählen Sie aus, ab wann die Bestätigung in zwei Schritten erzwungen werden soll:
    • Erzwingung aktivieren ab: Legen Sie das gewünschte Startdatum fest.
    • Erzwingung aktivieren: Die Einstellung gilt ab sofort.
  3. Wenn Sie die Bestätigung in zwei Schritten ab einem bestimmten Datum erzwingen möchten, klicken Sie das Startdatum im Kalender an. Nutzer sehen dann beim Anmelden Erinnerungen, dass sie sich für die Bestätigung in zwei Schritten registrieren sollen.
  4. Klicken Sie auf Speichern.

Verhindern, dass neue Nutzer aus ihrem Konto ausgesperrt werden

Wenn Sie die Bestätigung in zwei Schritten erzwingen, müssen Sie neuen Mitarbeitern vorher die Gelegenheit geben, sich zu registrieren. Dazu lässt sich ein bestimmter Zeitraum festlegen, in dem sich die neuen Nutzer nur mit ihrem Passwort anmelden können.
  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" neben Anmeldezeitraum für neue Nutzer eine Dauer zwischen einem und sechs Monaten aus.
    Innerhalb dieses Zeitraums, der mit der ersten Anmeldung beginnt, können sich neue Nutzer für die Bestätigung in zwei Schritten registrieren.
  2. Klicken Sie auf Speichern.

Schritt 4: Optionen für die Erzwingung auswählen (optional)

Erzwungene Methode für die Bestätigung in zwei Schritten auswählen 

Wenn Sie die Bestätigung in zwei Schritten erzwingen, wird die Methode standardmäßig auf "Alle" eingestellt. Die sicherste Methode ist aber die Verwendung von Sicherheitsschlüsseln. Weitere Informationen dazu finden Sie in den Best Practices für die Bestätigung in zwei Schritten.

  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" unter Zulässige Methoden für die Bestätigung in zwei Schritten eine Option aus:
    • Alle: Nutzer können jede beliebige Methode für die Bestätigung in zwei Schritten einrichten.
    • Alle außer Bestätigungscode per SMS oder Anruf: Sofern sie sich den Bestätigungscode nicht auf das Smartphone senden lassen, können Nutzer eine beliebige Methode für die Bestätigung in zwei Schritten einrichten.
    • Nur Sicherheitsschlüssel: Nutzer müssen einen Sicherheitsschlüssel einrichten.
  2. Klicken Sie auf Speichern.
Reibungslosen Übergang auf Erzwingungsrichtlinien gewährleisten 

Wenn Sie die Bestätigung in zwei Schritten erzwingen, müssen bestehende Nutzer eine gültige Methode dafür haben. Ansonsten werden ihre Konten nach Ablauf der aktiven Sitzung gesperrt. Sie müssen dann dabei helfen, das Konto wiederherzustellen, damit sie sich anmelden können. Hier einige Beispiele für solche Situationen:

  • ​Sie ändern die Richtlinien so, dass die Bestätigung in zwei Schritten nicht mehr optional ist, sondern erzwungen wird.
  • ​​Sie erzwingen die Bestätigung in zwei Schritten, erlauben Nutzern jedoch, jede beliebige Methode auszuwählen. Dann schränken Sie dies ein und lassen nicht mehr zu, dass das Smartphone für den Empfang des Bestätigungscodes per SMS oder Sprachanruf verwendet wird.
  • ​​Sie hatten bisher Richtlinien, nach denen die Bestätigung in zwei Schritten optional war oder Sie haben alle Methoden bzw. alle Methoden außer dem Empfang des Bestätigungscodes per SMS oder Sprachanruf auf dem Smartphone unterstützt. Jetzt ändern Sie dies so, dass dafür jedes Mal ein Sicherheitsschlüssel erforderlich ist.

Pläne zur Erzwingung der Bestätigung in zwei Schritten bekannt geben

Informieren Sie die Nutzer über Ihre Pläne und das Umstellungsdatum, bevor Sie Richtlinien zur Erzwingung festlegen. Geben Sie ihnen Zeit, eine Methode für die Bestätigung in zwei Schritten einzurichten. Im Abschnitt "Verhindern, dass neue Nutzer aus ihrem Konto ausgesperrt werden" erfahren Sie, wie Sie für neue Mitarbeiter einen Zeitraum für die erstmalige Registrierung festlegen.

Mit Nutzern umgehen, die am Umstellungsdatum nicht den Richtlinien entsprechen

Möglicherweise gibt es bei Ihnen Nutzer, die bis zum angekündigten Umstellungsdatum keine gültige Methode für die Bestätigung in zwei Schritten eingerichtet haben. Sie haben die Möglichkeit, ihnen zusätzliche Zeit für die Anmeldung zur Verfügung zu stellen. Dazu nehmen Sie diese Nutzer in eine Ausnahmegruppe auf, in der die Bestätigung in zwei Schritten erst erzwungen wird, nachdem sie eine entsprechende gültige Methode hinzugefügt haben. Weitere Informationen finden Sie unter Nutzer verschieben, wenn die Bestätigung in zwei Schritten erzwungen wird.

Diese Problemumgehung ermöglicht zwar solchen Nutzern die Anmeldung, wird jedoch nicht als Standard empfohlen, da ihre Konten nicht durch die Bestätigung in zwei Schritten geschützt werden, während sie sich in der Ausnahmegruppe befinden.

"Alle außer Bestätigungscode per SMS oder Anruf" erzwingen

Wenn Nutzer derzeit jede beliebige Methode zur Bestätigung in zwei Schritten verwenden können, gibt es darunter sicher auch einige, die dazu bisher nur Codes verwenden, die per SMS oder Sprachanruf auf dem Smartphone eingehen. Allerdings können sie sich nach der Erzwingung in dieser Form weder mit einer dafür bereits genutzten Telefonnummer anmelden noch eine neue Telefonnummer angeben. Es können auch keine neuen Telefonnummern hinzugefügt werden.

Sie haben folgende Möglichkeiten, um zu vermeiden, dass die Konten dieser Nutzer gesperrt werden:

  • Lassen Sie sie eine andere Methode für die Bestätigung in zwei Schritten hinzufügen und verwenden, bevor die Richtlinien umgestellt werden. Informieren Sie sie außerdem darüber, dass sie nach dem entsprechenden Datum, an dem die Erzwingung umgestellt wird, keine Bestätigungscodes mehr auf dem Smartphone empfangen können.
  • Ermitteln Sie über das Ereignis login_verification im Audit-Log für Anmeldeaktivitäten die Nutzer, die sich mit Codes für die Bestätigung in zwei Schritten anmelden, die sie per SMS oder Sprachanruf erhalten. Wenn der Parameter login_challenge_method den Wert idv_preregistered_phone hat, ist die Authentifizierung über einen solchen Bestätigungscode durchgeführt worden.

"Nur Sicherheitsschlüssel" erzwingen

Überprüfen Sie vor der Erzwingung dieser Richtlinien die Sicherheitseinstellungen der Nutzer, um sicherzustellen, dass sie ihre Sicherheitsschlüssel eingerichtet haben:

  • ​Klicken Sie unter Nur Sicherheitsschlüssel auf Nutzer, die registrierte Sicherheitsschlüssel haben, um eine Liste dieser Personen zu erstellen.
  • ​Klicken Sie auf einen Nutzer in der Liste, um dessen Einstellungen zu sehen.
Ersatzcodes für verlorene Sicherheitsschlüssel zulassen
Wenn Sie Sicherheitsschlüssel als einzig zulässige Methode erzwingen und ein Nutzer seinen Sicherheitsschlüssel verliert, benötigt er eine Möglichkeit, um sich bis zum Erhalt eines neuen Schlüssels anzumelden. Sie können festlegen, dass Nutzer in solchen Fällen für einen bestimmten Zeitraum Ersatzcodes verwenden dürfen.
  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" neben Kulanzzeitraum für das Sperren der Bestätigung in zwei Schritten einen Zeitraum zwischen einem Tag und einer Woche aus.
    Der Kulanzzeitraum beginnt mit dem Generieren der Ersatzcodes.
  2. Klicken Sie auf Speichern.
Sicherheitscodes zulassen, wenn Sicherheitsschlüssel nicht unterstützt werden 
Wenn Sie Sicherheitsschlüssel erzwingen, haben einige Nutzer möglicherweise Probleme bei der Verwendung bestimmter Apps. Auf Plattformen, die keine Sicherheitsschlüssel unterstützen, können sie sich nicht mit ihren Google-Anmeldedaten in Web-Apps anmelden. Zu diesen Plattformen gehören iOS für Mobilgeräte, Safari und Internet Explorer. Hier einige Beispiele:
  • Die Web-App eines Unternehmens wird nur in einem Browser ausgeführt, der keine Sicherheitsschlüssel unterstützt
    Petra arbeitet in der Finanzabteilung und verwendet dort eine Web-App, die nur mit Internet Explorer 8.0 funktioniert. Da nun aber Sicherheitsschlüssel erzwungen werden, kann sie sich nicht mit ihrem Google-Konto in der Web-App anmelden.
  • Erste iPhone-Einrichtung
    Sven arbeitet im Vertrieb und hat ein neues iPhone. Für die Einrichtung muss er sich auf dem iPhone in seinem Google-Konto anmelden.  Das geht aber nicht, da Safari und iOS für Mobilgeräte keine Sicherheitsschlüssel unterstützen. Also kann er auch das iPhone nicht wie gewünscht einrichten.

Sicherheitscodes aktivieren

Wenn eine Plattform keine Sicherheitsschlüssel unterstützt, können Sie Nutzern die Anmeldung und Authentifizierung mit einem speziellen, einmaligen Sicherheitscode ermöglichen. Das Gerät, auf dem dieser Code generiert wird, muss Sicherheitsschlüssel unterstützen.

  1. Aktivieren Sie auf der Seite "Erweiterte Sicherheitseinstellungen" unter Zulässige Methoden für die Bestätigung in zwei Schritten > Nur Sicherheitsschlüssel die Option Nutzer dürfen zur Bestätigung in zwei Schritten den Sicherheitscode von https://g.co/cs anstelle von Sicherheitsschlüsseln verwenden.
  2. Klicken Sie auf Speichern.

So funktionieren Sicherheitscodes

Sicherheitscodes unterscheiden sich von einmaligen Codes, die von Apps wie Google Authenticator generiert werden. Nutzer benötigen dazu ein Gerät, auf dem sie Sicherheitsschlüssel verwenden können. Sie tippen den Sicherheitsschlüssel an und generieren so den Sicherheitscode.

Wann empfiehlt es sich, Sicherheitscodes zuzulassen?

Mit Sicherheitscodes haben Nutzer die Möglichkeit, auch dann weiterzuarbeiten, wenn Sicherheitsschlüssel, die Sie erzwingen, nicht unterstützt werden. Allerdings bieten sie bei der Bestätigung in zwei Schritten nicht die gleiche Sicherheit wie Schlüssel. Deshalb sollten Sie diese Methode nur dann zulassen, wenn Nutzer darauf angewiesen sind, auf Plattformen oder mit Apps zu arbeiten, die Sicherheitsschlüssel nicht unterstützen.

In der Praxis

So kann Petra in der Finanzabteilung trotzdem die Web-App nutzen, die in Internet Explorer 8.0 ausgeführt wird:

  1. Petra meldet sich mit ihren Google-Anmeldedaten auf ihrem Laptop an.
  2. Zur Authentifizierung steckt sie einen Sicherheitsschlüssel in einen USB-Port am Laptop oder tippt auf das Symbol eines bereits eingesetzten Sicherheitsschlüssels.
  3. Nun startet Petra Internet Explorer 8.0, um sich in der Finanz-App anzumelden.
  4. Sie folgt der Anleitung, um sich einen einmaligen Sicherheitscode auf ein Gerät senden zu lassen, auf dem sie ihren Sicherheitsschlüssel verwenden kann.
  5. Dazu startet Petra Chrome auf ihrem Laptop und ruft "https://g.co/sc" auf.
  6. Sie tippt auf das Symbol für den Sicherheitsschlüssel und generiert so einen Sicherheitscode.
  7. Dann kopiert sie ihn und schließt damit die Anmeldung in der Web-App im Internet Explorer ab.

Derzeit werden Sicherheitsschlüssel nur von Chrome und Firefox unterstützt. Einmalige Sicherheitscodes sind fünf Minuten lang gültig.

Nutzern erlauben, die erneute Bestätigung in zwei Schritten auf vertrauenswürdigen Geräten zu überspringen

Wir raten davon ab, Nutzern zu erlauben, die Bestätigung in zwei Schritten auf vertrauenswürdigen Geräten zu umgehen. Dies wäre höchstens dann sinnvoll, wenn die Geräte immer wieder gewechselt werden.

  1. Wählen Sie auf der Seite "Erweiterte Sicherheitseinstellungen" unter Häufigkeit der Bestätigung in zwei Schritten eine Option aus:
    • Nutzer darf das Gerät für die Bestätigung in zwei Schritten als vertrauenswürdig einstufen: Wenn sich Nutzer zum ersten Mal auf einem neuen Gerät anmelden, können sie festlegen, dass die Bestätigung in zwei Schritten in Zukunft übersprungen wird, indem sie das entsprechende Kästchen anklicken. Die Aufforderung zur Bestätigung in zwei Schritten erfolgt erst wieder, wenn Nutzer die Cookies löschen, wenn Sie die Anmeldecookies der Nutzer zurücksetzen oder wenn der Nutzer die Einstufung für das Gerät in seinem Konto aufhebt.
    • Nutzer darf dem Gerät bei der Bestätigung in zwei Schritten nicht vertrauen: Nutzer müssen die Bestätigung in zwei Schritten bei jeder Anmeldung verwenden.
  2. Klicken Sie auf Speichern.

Schritt 5: Sicherheitsschlüssel verwalten (optional)

Sicherheitsschlüssel für Nutzer hinzufügen

Sie können einem Nutzerkonto einen Sicherheitsschlüssel hinzufügen. Nutzer, die die Bestätigung in zwei Schritten noch nicht verwenden, werden automatisch registriert, wenn Sie einen Sicherheitsschlüssel für sie aktivieren. Weitere Informationen erhalten Sie unter Sicherheitseinstellungen eines Nutzers verwalten.

 

War das hilfreich?
Wie können wir die Seite verbessern?