Verificación en dos pasos

Implementar la verificación en dos pasos

Tus usuarios y tú desempeñáis un papel importante a la hora de configurar la verificación en dos pasos.

Paso 1: Avisa a los usuarios antes de implementar la verificación en dos pasos (obligatorio)

Antes de implementar la verificación en dos pasos, informa a tus usuarios sobre los planes de tu empresa; por ejemplo:

  • Explica qué es la verificación en dos pasos y por qué se va a usar en tu empresa.
  • Indica si la verificación en dos pasos va a ser opcional u obligatoria.
  • Si es necesario, especifica a tus usuarios el día en el que ya deberían tener activada la verificación en dos pasos.
  • Comunícales qué método de verificación en dos pasos se recomienda o se exige en tu empresa.

Consulta más información en el apartado Prácticas recomendadas de la verificación en dos pasos.

Paso 2: Configura la verificación en dos pasos básica (obligatorio)

A continuación, permite que los usuarios activen la verificación en dos pasos. De forma predeterminada, los usuarios pueden activar la verificación en dos pasos y utilizar cualquier método de verificación. En las cuentas de G Suite creadas antes de diciembre del 2016, la verificación en dos pasos está desactivada de forma predeterminada.

Aplicar ajustes de la verificación en dos pasos

Puedes personalizar ajustes de la verificación en dos pasos en unidades organizativas y grupos de excepción (grupos de usuarios dentro de una misma unidad organizativa) concretos. Por ejemplo, puedes obligar a un pequeño equipo de la unidad organizativa de tu departamento de ventas a usar llaves de seguridad.

Cómo funcionan los grupos de excepción

  • Solo puede haber un grupo de excepción por unidad organizativa.
  • Los usuarios de los grupos de excepción deben pertenecer a la unidad organizativa de la que forman parte los grupos.
  • Los ajustes de la verificación en dos pasos afectan a los usuarios del grupo de excepción, y no a direcciones de grupo ni a grupos anidados.
  • Estos grupos se pueden crear en la consola de administración, con la API de Grupos o mediante Directory Sync, pero no en Grupos de Google.

Para que sea más fácil identificar los grupos de excepción, te recomendamos que incluyas en su nombre la unidad organizativa a la que pertenecen; por ejemplo, grpex_nombre_unidadorg.

 

Permitir que los usuarios activen la verificación en dos pasos
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Verificación en dos pasos.

  3. En la parte derecha, selecciona una unidad organizativa o un grupo de excepción.
  4. Permite que los usuarios activen la verificación en dos pasos y que utilicen el método de verificación que quieran, pero todavía no les obligues a usarla:
    • Marca la opción Permitir a los usuarios activar la verificación en dos pasos.
    • Selecciona Implementación obligatoria > Desactivada.
  5. Haz clic en Guardar.
Pedir a usuarios que se registren en la verificación en dos pasos
  1. Indica a tus usuarios que, para registrarse, sigan los pasos del apartado Activar la verificación en dos pasos.
  2. Facilítales instrucciones para registrarse en cada uno de los métodos de verificación en dos pasos disponibles:
Llevar un control del registro de usuarios

Puedes generar informes para saber cuántos usuarios se han registrado en la verificación en dos pasos y llevar un control de los registros. 

  • Puedes consultar si los usuarios se han registrado, si la verificación es obligatoria o no, y cuántas llaves de seguridad se utilizan. Para ello, ve a Informes > Informes de usuario > Seguridad y, a continuación, haz clic en Configuración "" y luego Configuración para seleccionar Llaves de seguridad. Más información
  • Puedes ver los ajustes y el estado de usuarios concretos en tiempo real. Más información
  • Puedes consultar una vista general de las tendencias de registro.   Para ello, ve a Informes > Informes de aplicaciones > Cuentas. Más información

  • Puedes identificar las unidades organizativas y los grupos en los que no se utiliza la verificación en dos pasos. Más información
     

Paso 3: Obliga a utilizar la verificación en dos pasos (opcional)

Antes de obligar a que se use la verificación en dos pasos, asegúrate de que los usuarios estén registrados en esta función. Los que no lo estén no podrán iniciar sesión en sus cuentas.

Evitar problemas al implementar la verificación en dos pasos de manera obligatoria

Cuando obligas a que se use la verificación en dos pasos, los usuarios que no tengan configurado ninguno de los métodos de verificación permitidos no podrán volver a acceder a sus cuentas cuando caduquen sus sesiones activas. Esta situación puede darse, por ejemplo, si pasas de permitir cualquier método a obligar a que se usen llaves de seguridad. En ese caso, tendrás que ayudar a los usuarios a recuperar sus cuentas para que puedan iniciar sesión. 

Avisar a los usuarios de que la verificación en dos pasos será obligatoria

Antes de implementar la verificación en dos pasos de manera obligatoria, avisa a tus usuarios de que vas a hacerlo y notifícales la fecha de aplicación de modo que tengan tiempo para añadir un método de verificación en dos pasos. Especifica también el periodo durante el cual los nuevos empleados podrán registrarse.

Qué ocurre si hay usuarios que no han configurado ningún método permitido antes de la fecha de implementación obligatoria

Es posible que algunos usuarios no hayan configurado ningún método de verificación en dos pasos antes de la fecha de implementación obligatoria.

En este caso, para darles algo más de tiempo, puedes incluirlos en un grupo de excepción en el que la verificación en dos pasos no sea obligatoria. Aunque así los usuarios podrán iniciar sesión en sus cuentas, se trata de una práctica que no recomendamos utilizar habitualmente. Consulta el artículo Evitar que se bloqueen las cuentas cuando se aplica la verificación en dos pasos.

Seleccionar el método de verificación en dos pasos que se requerirá

Cuando obligas a que se use la verificación en dos pasos, el método de implementación obligatoria predeterminado que se usa es "Cualquiera". No obstante, te recomendamos que uses llaves de seguridad, ya que son el método de verificación en dos pasos más seguro. Consulta más información en el apartado Prácticas recomendadas de la verificación en dos pasos.

Métodos de implementación obligatoria

  • Cualquiera: los usuarios pueden configurar cualquier método de verificación en dos pasos.
  • Cualquiera, excepto códigos de verificación a través de mensajes de texto o llamadas telefónicas: los usuarios pueden configurar cualquier método de verificación en dos pasos, salvo los que impliquen recibir códigos de verificación en sus teléfonos.
  • Solo con llave de seguridad: los usuarios deben configurar una llave de seguridad.

Cuestiones que deben tenerse en cuenta al implementar estos métodos de forma obligatoria:  

Cualquiera, excepto códigos de verificación a través de mensajes de texto o llamadas telefónicas

Si, antes de activar esta opción, tus usuarios pueden utilizar cualquier método, es probable que algunos hayan elegido verificarse solo con mensajes de texto y llamadas telefónicas. Para evitar que esos usuarios no puedan iniciar sesión en sus cuentas, haz lo siguiente:

  • Antes de que entre en vigor esta restricción, indica a los usuarios que empiecen a utilizar otro método. Dile también que no podrán recibir códigos de verificación en dos pasos en sus teléfonos una vez que esté vigente la nueva política.
  • Para saber qué usuarios inician sesión con códigos de verificación en dos pasos que reciben mediante mensajes de texto o llamadas, consulta el evento de actividad login_verification de la auditoría de inicio de sesión. Si el parámetro login_challenge_method de un usuario tiene el valor idv_preregistered_phone, ese usuario se ha autenticado con un código de verificación recibido mediante un mensaje de texto o una llamada telefónica.

Solo con llave de seguridad

Antes de obligar a usar llaves de seguridad, busca en informes de cuentas los usuarios que hayan configurado llaves de seguridad. Ten en cuenta que los datos de esos informes pueden tener un retraso de hasta 48 horas. Para ver en tiempo real cuál es el estado de registro en la verificación en dos pasos de cada usuario, consulta el artículo Gestionar la configuración de seguridad de los usuarios.

Permitir códigos de seguridad: con los códigos de seguridad, los usuarios pueden trabajar en entornos en los que no se admite la verificación mediante llaves de seguridad. Sin embargo, como los códigos no son tan seguros como las llaves, te recomendamos que solo permitas que los utilicen los usuarios que tengan que trabajar en navegadores, dispositivos o aplicaciones que no admitan llaves de seguridad. 

Los códigos de seguridad son distintos de los códigos de un solo uso que generan aplicaciones como Google Authenticator. Para generarlos, los usuarios deben insertar su llave de seguridad en un dispositivo compatible y, a continuación, tocar la llave. Los códigos de seguridad son válidos durante 5 minutos.

Ejemplo: María utiliza una aplicación de finanzas que solo funciona en un navegador antiguo y no admite llaves de seguridad. 

  1. María abre el navegador antiguo e intenta iniciar sesión en la aplicación.
  2. Sigue las indicaciones para obtener un código de seguridad de un solo uso en un dispositivo en el que puede utilizar su llave de seguridad.
  3. Abre Chrome en su portátil e inicia sesión en su cuenta de Google. Es posible que se le solicite la llave de seguridad si es la primera vez que entra con su cuenta de Google desde este navegador.
  4. Va a https://g.co/sc.
  5. Toca la llave de seguridad insertada en su portátil para generar un código de seguridad. Copia el código de seguridad y lo utiliza para terminar de iniciar sesión en la aplicación web del navegador.

Añadir llaves de seguridad a usuarios: si un usuario no está registrado en la verificación en dos pasos, quedará registrado automáticamente cuando registres una llave de seguridad para que la use. Consulta el artículo Gestionar la configuración de seguridad de los usuarios.

Activar la implementación obligatoria

Selecciona un método de implementación obligatoria y un ajuste.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Verificación en dos pasos.

  3. En la parte derecha, selecciona una unidad organizativa o un grupo de excepción.
  4. Haz clic en Permitir a los usuarios activar la verificación en dos pasos.
  5. En Implementación obligatoria, selecciona cuándo quieres que la verificación en dos pasos se use de manera obligatoria.
    • Activada: será obligatoria de inmediato.
    • Activar aplicación obligatoria a partir de la fecha: selecciona la fecha de inicio. Los usuarios reciben recordatorios para registrarse en la verificación en dos pasos al iniciar sesión.
  6. En Plazo para que los nuevos usuarios se registren, elige un periodo.

    Esta opción sirve para dar tiempo a los nuevos empleados antes de que tengan que usar la verificación en dos pasos en sus cuentas. Durante ese periodo, los usuarios podrán iniciar sesión solo con sus contraseñas.

    Selecciona un plazo de entre 1 día y 6 meses. Es el plazo que tendrán los nuevos usuarios para registrarse en la verificación en dos pasos desde la primera vez que inicien sesión.
  7. En el ajuste Frecuencia, haz clic en Permitir que el usuario confíe en el dispositivo (opcional).

    Este ajuste permite que los usuarios no tengan que repetir la verificación en dos pasos en dispositivos de confianza. La primera vez que los usuarios inicien sesión en un dispositivo nuevo, podrán marcar una casilla para indicar que confían en ese dispositivo. De este modo, no tendrán que volver a utilizar la verificación en dos pasos en ese dispositivo hasta que borren las cookies o revoquen el dispositivo, o un administrador elimine sus cookies de inicio de sesión.

     Se recomienda obligar a los usuarios a repetir la verificación en dos pasos en dispositivos de confianza, salvo en los casos en que utilicen diferentes dispositivos habitualmente. Si no permites que los usuarios confíen en dispositivos, tendrán que repetir la verificación en dos pasos cada vez que inicien sesión. 

Opciones de llaves de seguridad 

Añade un método de verificación alternativo que los usuarios puedan utilizar si no tienen acceso a su llave de seguridad o necesitan iniciar sesión en una aplicación que no las admite. 

  1. En Periodo de gracia de la suspensión de la política de verificación en dos pasos, elige un periodo.

    Permite que los usuarios inicien sesión con un código de verificación de reserva que debes generar para ellos. Estos códigos son útiles cuando un usuario pierde su llave de seguridad. Selecciona cuánto debe durar ese periodo de gracia, que comienza cuando generas el código de verificación. Más información

  2.  En Códigos de seguridad, selecciona si los usuarios pueden iniciar sesión con códigos de seguridad. 
    • No permitir que los usuarios generen códigos de seguridad: los usuarios no pueden generar códigos de seguridad. Esta es la opción predeterminada si te registraste en G Suite antes del 20 de noviembre del 2019.
    • Permitir códigos de seguridad sin acceso remoto: los usuarios pueden generar códigos de seguridad y utilizarlos en el mismo dispositivo o red local (NAT o LAN). Esta es la opción predeterminada si te registraste en G Suite a partir del 20 de noviembre del 2019.
    • Permitir códigos de seguridad con acceso remoto: los usuarios pueden generar códigos de seguridad y utilizarlos en otros dispositivos o redes, como cuando acceden a servidores remotos o a máquinas virtuales.
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.