Verificación en dos pasos

Implementar la verificación en dos pasos

Tus usuarios y tú desempeñáis un papel importante a la hora de configurar la verificación en dos pasos. 

Paso 1: Avisa a los usuarios antes de implementar la verificación en dos pasos (obligatorio)

Antes de implementar la verificación en dos pasos, informa a tus usuarios sobre los planes de tu empresa, por ejemplo:

  • Explica qué es la verificación en dos pasos y por qué se va a usar en tu empresa.
  • Indica si es opcional u obligatoria.
  • Si fuera necesario, especifica la fecha en la que los usuarios deben activarla.
  • Indica qué método de verificación en dos pasos es obligatorio o recomendado.

Paso 2: Configura la verificación en dos pasos básica (obligatorio)

Selecciona un ajuste en la consola de administración de Google que permita a los usuarios activar la verificación en dos pasos. Este ajuste se aplica a todo el nivel organizativo superior, que podría tener varios dominios.

En los niveles organizativos superiores que se crearon después de diciembre del 2016, el ajuste de verificación en dos pasos de la consola de administración está activado de forma predeterminada. En las cuentas que se crean en niveles organizativos superiores más recientes, dicho ajuste también está activado de forma predeterminada. Cuando este ajuste está activado, los usuarios pueden configurar un método de verificación en dos pasos.

Autoriza a los usuarios del nivel organizativo superior a activar la verificación en dos pasos

  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Configuración básica.

    Para ver Seguridad en la página principal, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior.

  3. Debajo de Verificación en dos pasos, marca la opción Permitir a los usuarios activar la verificación en dos pasos.
    Cualquier usuario que sea miembro del nivel organizativo superior podrá activar la verificación en dos pasos y configurar el método que prefiera.
  4. En la parte inferior derecha, haz clic en Guardar.

Indica a tus usuarios que se registren en la verificación en dos pasos

  1. Indícales que sigan las instrucciones que se facilitan en el artículo Activar la verificación en dos pasos para registrarse.
  2. Proporciónales instrucciones para registrarse en los distintos métodos de verificación en dos pasos:

Paso 3: Aplica la verificación en dos pasos (opcional)


Cuando aplicas la verificación en dos pasos, tus usuarios deben usar obligatoriamente esta función. Quienes no estén registrados en la verificación en dos pasos no podrán iniciar sesión en su cuenta.

Selecciona la configuración avanzada de verificación en dos pasos

  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Configuración básica.

    Para ver Seguridad en la página principal, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior.

  3. Debajo de Verificación en dos pasos, comprueba que esté seleccionada la opción Permitir a los usuarios activar la verificación en dos pasos. En caso contrario, selecciónala y haz clic en Guardar.
  4. Haz clic en Ir a la configuración avanzada para aplicar la verificación en dos pasos.

Comprueba que los usuarios estén registrados en la verificación en dos pasos

Asegúrate de que los usuarios estén registrados en la verificación en dos pasos antes de aplicarla obligatoriamente. Los que no se hayan registrado no podrán iniciar sesión en sus cuentas.
  1. En la página Opciones avanzadas de seguridad, debajo de Aplicación obligatoria, haz clic en el enlace informe de registro que encontrarás a la derecha.
  2. Revisa el informe para ver qué usuarios no están registrados.
    Estos datos podrían tener un retraso de hasta 48 horas. Para ver el estado en tiempo real del registro de cada usuario en la verificación en dos pasos, consulta el artículo Gestionar la configuración de seguridad de los usuarios.
  3. Informa a los usuarios que no estén registrados de que deben hacerlo para evitar quedarse sin acceso a su cuenta.

Activa la aplicación obligatoria

Aplica la verificación en dos pasos en las cuentas de los administradores y usuarios clave. Consulta las prácticas recomendadas de la verificación en dos pasos.

Este ajuste de la consola de administración que permite a tus usuarios activar la verificación en dos pasos se aplica a todo el nivel organizativo superior. Sin embargo, tienes opción de aplicar la verificación en dos pasos a todo el nivel organizativo superior o únicamente a unidades organizativas específicas.

  1. En la página Opciones avanzadas de seguridad, a la izquierda, selecciona una unidad organizativa donde quieras aplicar la verificación en dos pasos.
    • Si no seleccionas una unidad organizativa, la configuración se aplicará a todo el nivel organizativo superior.
    • Si quieres que una unidad organizativa utilice los mismos ajustes de su unidad organizativa superior, haz clic en la opción Usar heredado, situada en la parte superior derecha.
  2. Selecciona una opción para aplicar la configuración:
    • Activar aplicación obligatoria a partir de la fecha: empieza a aplicarse en la fecha que especifiques.
    • Activar aplicación obligatoria: empieza a aplicarse de inmediato.
  3. Si elegiste la opción de aplicar la verificación en dos pasos en una fecha específica, haz clic en la fecha de inicio en el calendario. Cuando los usuarios inicien sesión, verán recordatorios para registrarse en la verificación en dos pasos.
  4. Haz clic en Guardar.

Evita que los nuevos usuarios se queden sin acceso a sus cuentas

Cuando apliques la configuración en dos pasos, asegúrate de que los nuevos empleados tienen suficiente tiempo para registrarse antes de que se aplique este requisito a sus cuentas. Para ello, define un nuevo periodo de registro de usuarios. Durante este periodo, los usuarios podrán iniciar sesión solo con sus contraseñas.
  1. En la página Opciones avanzadas de seguridad, junto a Plazo para que los nuevos usuarios se registren, selecciona un periodo entre un día y seis meses.
    Este es el plazo que tendrán los nuevos usuarios para registrarse en la verificación en dos pasos a partir de la primera vez que inicien sesión.
  2. Haz clic en Guardar.

Selecciona el método de verificación en dos pasos que se aplicará 

Te recomendamos que utilices llaves de seguridad, que son el método de verificación en dos pasos más seguro. Consulta las prácticas recomendadas de la verificación en dos pasos.

  1. En la página Opciones avanzadas de seguridad, debajo de Métodos de verificación en dos pasos admitidos, selecciona el método que prefieras:
    • Cualquiera: los usuarios pueden configurar cualquier método de verificación en dos pasos.
    • Cualquiera, excepto códigos de verificación a través de mensajes de texto o llamadas telefónicas: los usuarios pueden configurar cualquier método de verificación en dos pasos, salvo los que impliquen recibir códigos de verificación en sus teléfonos.
    • Solo con llave de seguridad: los usuarios deben configurar una llave de seguridad.
  2. Haz clic en Guardar.
Evitar problemas al implementar la verificación en dos pasos de manera obligatoria 

Al aplicar la verificación en dos pasos, los usuarios que no tengan configurado alguno de los métodos permitidos de este tipo de verificación dejarán de poder acceder a sus cuentas cuando caduquen sus sesiones activas. Si es el caso, tienes que ayudarles a recuperar sus cuentas para que puedan iniciar sesión. Situaciones de ejemplo:

  • La verificación en dos pasos era opcional, pero se cambia a obligatoria.
  • La verificación en dos pasos era obligatoria y los usuarios podían utilizar cualquier método, pero se cambia para prohibir los métodos que impliquen recibir códigos a través de mensajes de texto o llamadas telefónicas.
  • La verificación en dos pasos era opcional y se permitían varios métodos de verificación, excepto mensajes de texto o llamadas de voz, pero se pasa a obligar a los usuarios a utilizar únicamente llaves de seguridad como el único método de verificación en dos pasos.

Avisa a los usuarios de que aplicarás la verificación en dos pasos

Antes de implementar la verificación en dos pasos de manera obligatoria, avisa a tus usuarios de que vas a hacerlo y notifícales la fecha de aplicación de modo que tengan tiempo para añadir un método de verificación en dos pasos. Configura también un periodo para que los nuevos empleados puedan inscribirse, tal como se explica en la sección "Evita que los nuevos usuarios se queden sin acceso a sus cuentas".

Si hay usuarios que no han configurado ningún método permitido antes de la fecha de aplicación

Es posible que haya usuarios que no hayan configurado ningún método de verificación en dos pasos válido antes de la fecha de aplicación. En este caso, puedes darles algo más de tiempo para que añadan un método de verificación incluyéndolos en un grupo de excepción en el que la verificación en dos pasos no sea obligatoria. Consulta cómo evitar bloqueos de cuentas cuando la verificación en dos pasos es obligatoria.

Aunque esta solución permite que los usuarios inicien sesión en sus cuentas, no se recomienda utilizarla habitualmente, ya que esas cuentas no estarán protegidas por la verificación en dos pasos mientras estén en el grupo de excepción.

Aplicar la opción "Cualquiera, excepto códigos de verificación a través de mensajes de texto o llamadas telefónicas"

Si los usuarios pueden utilizar cualquier método de verificación en dos pasos, probablemente algunos hayan seleccionado los mensajes de texto y las llamadas telefónicas. Al activar esta opción, estos usuarios no podrán iniciar sesión con ningún número de teléfono en el que recibían códigos de verificación a través de mensajes o llamadas, ni tampoco podrán añadir ningún otro número.

Para evitar que estos usuarios no puedan iniciar sesión en sus cuentas, haz lo siguiente:

  • Solicita a los usuarios que añadan y empiecen a utilizar otro método de verificación en dos pasos antes de configurar esta política. También debes informarles de que no podrán recibir códigos de verificación en sus teléfonos una vez que se aplique la nueva política.
  • Utiliza el evento de actividad de auditoría de inicio de sesión login_verification para hacer un seguimiento de qué usuarios inician sesión con códigos de verificación en dos pasos recibidos en sus teléfonos mediante mensajes de texto o llamadas. Si el parámetro login_challenge_method de un usuario tiene el valor idv_preregistered_phone, el usuario se ha autenticado a través de un código de verificación recibido mediante un mensaje de texto o una llamada telefónica.

Aplicar la opción "Solo con llave de seguridad"

Antes de aplicar esta política, revisa los ajustes de seguridad de los usuarios para comprobar que hayan configurado sus llaves.

  • En Solo con llave de seguridad, haz clic en usuarios han registrado las llaves de seguridad para generar una lista de usuarios.
  • Haz clic en un usuario de la lista para ver sus ajustes.

Permite que los usuarios empleen códigos de seguridad si pierden su llave de seguridad

Si solo permites las llaves de seguridad como método de verificación en dos pasos y un usuario pierde su llave, deberás facilitarle una forma de iniciar sesión hasta que reciba una llave nueva. Puedes permitir que los usuarios utilicen códigos de seguridad durante un periodo de gracia específico.
  1. En la página Opciones avanzadas de seguridad, junto a Periodo de gracia de suspensión de la política de verificación en dos pasos, selecciona un periodo entre un día y una semana.
    El periodo de gracia comienza cuando se generan los códigos de seguridad.
  2. Haz clic en Guardar.

Permite que los usuarios no tengan que repetir la verificación en dos pasos en dispositivos de confianza

No se recomienda permitir que los usuarios no tengan que repetir la verificación en dos pasos en dispositivos de confianza, salvo en los casos en que utilicen diferentes dispositivos habitualmente.

  1. En la página Opciones avanzadas de seguridad, debajo de Frecuencia de la verificación en dos pasos, selecciona una opción:
    • Permitir que el usuario confíe en el dispositivo al utilizar la verificación en dos pasos: la primera vez que los usuarios inicien sesión en un dispositivo nuevo, podrán marcar una casilla para indicar que confían en ese dispositivo y así no tener que repetir la verificación en dos pasos en él. El usuario no tendrá que volver a utilizar la verificación en dos pasos en ese dispositivo hasta que borre las cookies, se restablezcan sus cookies de inicio de sesión o revoque el dispositivo en su cuenta.
    • No permitir que el usuario confíe en el dispositivo al utilizar la verificación en dos pasos: los usuarios deben repetir el procedimiento cada vez que inicien sesión.
  2. Haz clic en Guardar.

Paso 4: Gestiona las llaves de seguridad (opcional)

Asigna una llave de seguridad a un usuario

Puedes añadir una llave de seguridad a una cuenta de usuario. Si el usuario no está registrado en la verificación en dos pasos, se le inscribirá automáticamente cuando registres su llave. Consulta el artículo Gestionar la configuración de seguridad de los usuarios.

 

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?