Validation en deux étapes

Déployer la validation en deux étapes

Vos utilisateurs et vous jouez un rôle important dans la configuration de la validation en deux étapes.

Étape 1 : Informez les utilisateurs du déploiement de la validation en deux étapes (obligatoire)

Avant de déployer la validation en deux étapes, informez vos utilisateurs des intentions de votre entreprise :

  • Expliquez la validation en deux étapes et les raisons pour lesquelles votre entreprise l'utilise.
  • Indiquez si la validation en deux étapes est facultative ou obligatoire.
  • Si nécessaire, indiquez la date à partir de laquelle les utilisateurs doivent avoir activé la vérification en deux étapes.
  • Indiquez la méthode de validation en deux étapes obligatoire ou recommandée.

Pour en savoir plus, consultez Bonnes pratiques concernant la validation en deux étapes.

Étape 2 : Configurez la validation en deux étapes de base (obligatoire)

Laissez ensuite vos utilisateurs activer la validation en deux étapes. Par défaut, les utilisateurs peuvent l'activer et utiliser n'importe quelle méthode de validation. La validation en deux étapes est désactivée par défaut pour les comptes G Suite créés avant décembre 2016.

Appliquer les paramètres de la validation en deux étapes

Vous pouvez personnaliser les paramètres de la validation en deux étapes pour les unités organisationnelles et les groupes avec exception, c'est-à-dire un groupe d'utilisateurs au sein d'une unité organisationnelle. Par exemple, vous pouvez exiger des clés de sécurité pour une petite équipe de votre unité organisationnelle "Service commercial".

Fonctionnement des groupes avec exception

  • Vous pouvez attribuer un groupe avec exception à une unité organisationnelle.
  • Les utilisateurs du groupe avec exception doivent appartenir à l'unité organisationnelle.
  • Les paramètres de la validation en deux étapes s'appliquent aux utilisateurs appartenant au groupe avec exception, et non aux adresses de groupe ni aux groupes imbriqués.
  • Créez les groupes dans la console d'administration, l'API Groups ou Directory Sync (et non dans Google Groupes).

Pour faciliter l'identification, vous pouvez inclure l'unité organisationnelle dans le nom des groupes d'exceptions (par exemple, exgrp_OU_name).

 

Autoriser les utilisateurs à activer la validation en deux étapes
  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Sécurité puis Validation en deux étapes

  3. Sur la droite, sélectionnez une unité organisationnelle ou un groupe avec exception.
  4. Autorisez les utilisateurs à activer la validation en deux étapes et à utiliser n'importe quelle méthode de validation, mais n'exigez pas encore la validation en deux étapes :
    • Cochez l'option Autoriser les utilisateurs à activer la validation en deux étapes.
    • Sélectionnez Application > Désactivé.
  5. Cliquez sur Enregistrer.
Demander à vos utilisateurs de s'inscrire à la validation en deux étapes
  1. Demandez à vos utilisateurs de s'inscrire à la validation en deux étapes en suivant les instructions de Protéger votre compte avec la validation en deux étapes.
  2. Fournissez-leur les instructions pour s'inscrire aux méthodes de validation en deux étapes :
Effectuer le suivi de l'inscription des utilisateurs

Mesurez et suivez l'inscription de vos utilisateurs à la validation en deux étapes grâce aux rapports.

  • Vérifiez l'inscription, l'état d'inscription et le nombre de clés de sécurité des utilisateurs. Accédez à Rapports > Rapports utilisateur > Sécurité (cliquez sur Paramètres ""puisParamètres pour sélectionner "Clés de sécurité"). En savoir plus
  • Vérifiez les paramètres et l'état d'un utilisateur (état en temps réel). En savoir plus
  • Affichez un aperçu des tendances d'inscription. Accédez à Rapports > Rapports sur les applications > Comptes. En savoir plus

  • Identifiez les unités organisationnelles et les groupes qui n'utilisent pas la validation en deux étapes. En savoir plus
     

Étape 3 : Appliquez de force la validation en deux étapes (facultatif)

Assurez-vous que les utilisateurs sont inscrits à la validation en deux étapes avant d'activer l'application forcée. Les utilisateurs non inscrits ne peuvent pas se connecter à leur compte.

Assurer la transition en douceur vers l'application forcée de la validation en deux étapes

Lorsque vous appliquez de force la validation en deux étapes, les comptes utilisateur pour lesquels une méthode de validation en deux étapes compatible n'a pas été configurée sont verrouillés une fois leur session active arrivée à expiration. Par exemple, si vous passez de l'autorisation de n'importe quelle validation en deux étapes à l'utilisation de clés de sécurité, vous devrez aider l'utilisateur à récupérer son compte afin qu'il puisse se connecter. 

Communiquer vos plans pour appliquer de force la validation en deux étapes

Avant d'activer l'utilisation de la validation en deux étapes, informez les utilisateurs de cette décision et communiquez-leur la date d'application forcée. Laissez du temps aux utilisateurs pour ajouter une méthode de validation en deux étapes. Pour les nouveaux employés, définissez un délai d'inscription pour les nouveaux utilisateurs.

Si la date d'application forcée n'est pas respectée par certains utilisateurs

Il est possible que des utilisateurs n'aient pas configuré de méthode de validation requise avant la date d'application forcée.

Vous pouvez accorder un délai supplémentaire aux utilisateurs en plaçant leur compte dans un groupe avec exception dans lequel la validation en deux étapes n'est pas appliquée. Bien que cette solution temporaire permette à vos utilisateurs de se connecter, elle ne doit pas se prolonger. Découvrez comment éviter le blocage de comptes lors de l'application de la validation en deux étapes.

Sélectionner une méthode de validation en deux étapes à appliquer de force

Une fois la validation en deux étapes appliquée de force, la méthode d'application par défaut est "Toutes". Nous recommandons l'utilisation de clés de sécurité, qui constituent la forme la plus sécurisée de validation en deux étapes. En savoir plus sur les bonnes pratiques de la validation en deux étapes

Méthodes d'application forcée

  • Toutes : les utilisateurs peuvent configurer n'importe quelle méthode de validation en deux étapes.
  • Toutes, à l'exception des codes de validation par SMS et appel téléphonique : les utilisateurs peuvent configurer n'importe quelle méthode de validation en deux étapes, à l'exception de la réception de codes de validation en deux étapes par téléphone.
  • Clé de sécurité uniquement : les utilisateurs doivent configurer une clé de sécurité.

Éléments à prendre en compte lorsque vous appliquez ces méthodes :

Toutes les méthodes, à l'exception des codes de validation par SMS et appel téléphonique

Si vous pouvez actuellement utiliser n'importe quelle méthode de validation en deux étapes, il est probable que vous ayez activé uniquement la validation via SMS et appel vocal. Pour éviter que ces utilisateurs ne puissent plus accéder à leur compte, procédez comme suit :

  • Avant l'application forcée de la méthode, indiquez aux utilisateurs de commencer à utiliser une autre méthode de validation en deux étapes. Informez-les également que les codes de validation en deux étapes ne seront plus disponibles sur leur téléphone après la date d'entrée en vigueur.
  • À l'aide de l'événement d'activité d'audit de connexion login_verification (validation de connexion), identifiez les utilisateurs qui reçoivent des codes de validation en deux étapes par SMS ou appel vocal pour se connecter. Si le paramètre login_challenge_method (méthode de la question d'authentification à la connexion) contient la valeur idv_preregistered_phone (téléphone préenregistré IDV), cela signifie que l'utilisateur s'est authentifié à l'aide d'un code de validation reçu par SMS ou appel vocal.

Clé de sécurité uniquement

Avant d'appliquer des clés de sécurité, consultez les rapports sur les comptes pour identifier les utilisateurs qui les configurent (les données des rapports peuvent être retardées de 48 heures au maximum). Pour savoir comment accéder en temps réel à l'état de la validation en deux étapes pour chacun des utilisateurs, consultez Gérer les paramètres de sécurité des utilisateurs.

Autoriser l'utilisation de codes de sécurité : les codes de sécurité permettent aux utilisateurs de travailler lorsque les clés de sécurité ne sont pas compatibles. Puisque les codes de sécurité ne sont pas aussi performants que les clés de sécurité pour la validation en deux étapes, vous devez les limiter aux utilisateurs qui doivent utiliser des navigateurs, des appareils ou des applications non compatibles. 

Les codes de sécurité sont différents des codes à usage unique générés par des applications telles que Google Authenticator. Pour générer un code de sécurité, l'utilisateur doit disposer d'un appareil sur lequel il peut utiliser sa clé de sécurité, et appuyer sur cette clé pour générer un code de sécurité. Les codes de sécurité sont valides pendant cinq minutes.

Exemple de scénario : Priya utilise une application de finance qui ne s'exécute que sur un navigateur plus ancien qui n'est pas compatible avec les clés de sécurité.

  1. Elle lance alors l'ancien navigateur et essaie de se connecter à l'application de finance.
  2. Elle suit les instructions pour obtenir un code de sécurité à usage unique sur un appareil sur lequel elle peut utiliser sa clé de sécurité.
  3. Priya ouvre Chrome sur son ordinateur portable et se connecte à son compte Google. Elle est invitée à utiliser sa clé de sécurité si c'est la première fois qu'elle se connecte à son compte Google depuis ce navigateur.
  4. Elle accède à la page https://g.co/sc.
  5. Elle clique sur la clé de sécurité depuis son ordinateur portable pour générer un code de sécurité. Elle copie le code de sécurité et s'en sert pour terminer la connexion à la signature d'application du navigateur.

Ajouter des clés de sécurité pour un utilisateur : si l'utilisateur n'est pas inscrit à la validation en deux étapes, il est automatiquement inscrit lorsque vous enregistrez une clé de sécurité. Consultez Gérer les paramètres de sécurité des utilisateurs.

Activer l'application forcée

Sélectionnez une méthode et un paramètre d'application forcée.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Sécurité puis Validation en deux étapes

  3. Sur la droite, sélectionnez une unité organisationnelle ou un groupe avec exception.
  4. Cliquez sur Autoriser les utilisateurs à activer la validation en deux étapes.
  5. Sous Application, indiquez quand l'application de la validation en deux étapes doit commencer.
    • Activé : démarre immédiatement.
    • Activer le : sélectionnez la date de début. Les utilisateurs voient des rappels pour s'inscrire à la validation en deux étapes s'afficher lorsqu'ils se connectent.
  6. Définissez la valeur Délai d'inscription pour les nouveaux utilisateurs .

    Ce paramètre donne à vos nouveaux employés le temps de s'inscrire avant que l'application forcée ne soit configurée pour leur compte. Pendant ce délai, les utilisateurs peuvent se connecter en utilisant uniquement leur mot de passe.

    Sélectionnez une durée comprise entre 1 jour et 6 mois. Il s'agit du temps dont disposent les nouveaux utilisateurs après leur première connexion réussie pour s'inscrire à la validation en deux étapes.
  7. Dans le paramètre Fréquence, cliquez sur Autoriser l'utilisateur à faire confiance à son appareil (facultatif).

    Ce paramètre permet aux utilisateurs de ne pas effectuer à chaque fois la validation en deux étapes sur les appareils vérifiés. La première fois qu'un utilisateur se connecte depuis un nouvel appareil, il peut cocher une option lui permettant de le vérifier. L'utilisateur n'est alors plus invité à effectuer la validation en deux étapes sur cet appareil, sauf s'il supprime ses cookies ou révoque l'appareil, ou si vous réinitialisez son cookie de connexion.

    Il n'est pas recommandé d'éviter la validation en deux étapes sur des appareils vérifiés, sauf si ces personnes changent souvent d'appareil. Si vous n'autorisez pas les appareils vérifiés, les utilisateurs doivent effectuer la validation en deux étapes chaque fois qu'ils se connectent.

Options pour les clés de sécurité

Ajoutez une méthode de validation de secours si les utilisateurs n'ont pas accès à leur clé de sécurité ou doivent se connecter à une application non compatible.

  1. Définissez le délai de grâce pour la suspension de la règle de validation en deux étapes.

    Autorisez les utilisateurs à se connecter avec un code de validation de secours que vous générez pour eux (utile lorsqu'un utilisateur perd sa clé de sécurité). Sélectionnez la durée de ce délai de grâce, qui commence lorsque vous générez le code de validation. En savoir plus

  2. Dans Options de code de sécurité, indiquez si l'utilisateur peut se connecter avec un code de sécurité. 
    • Ne pas autoriser les utilisateurs à générer des codes de sécurité : les utilisateurs ne peuvent pas générer de codes de sécurité (option par défaut si vous vous êtes inscrit à G Suite avant le 20 novembre 2019).
    • Autoriser les codes de sécurité sans accès distant : les utilisateurs peuvent générer des codes de sécurité, et les utiliser sur le même appareil ou réseau local (option par défaut si vous vous êtes inscrit à G Suite à compter du 20 novembre 2019).
    • Autoriser les codes de sécurité avec accès distant : les utilisateurs peuvent générer des codes de sécurité et les utiliser sur d'autres appareils ou réseaux, par exemple pour accéder à un serveur distant ou une machine virtuelle.
Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.