Validation en deux étapes

Déployer la validation en deux étapes

Vos utilisateurs et vous jouez un rôle important dans la configuration de la validation en deux étapes. 

Étape 1 : Informez les utilisateurs du déploiement de la validation en deux étapes (obligatoire)

Avant de déployer la validation en deux étapes, informez vos utilisateurs des intentions de votre entreprise :

  • Expliquez la validation en deux étapes et les raisons pour lesquelles votre entreprise l'utilise.
  • Indiquez si la validation en deux étapes est facultative ou obligatoire.
  • Si nécessaire, donnez la date avant laquelle les utilisateurs doivent avoir activé la validation en deux étapes.
  • Indiquez quelle est la méthode de validation en deux étapes obligatoire ou recommandée.

Étape 2 : Configurez la validation en deux étapes de base (obligatoire)

Dans la console d'administration Google, vous devez sélectionner un paramètre permettant aux utilisateurs d'activer la validation en deux étapes. Ce paramètre s'applique à l'ensemble de votre organisation racine, qui peut être composée de plusieurs domaines.

Pour les organisations racines créées après décembre 2016, le paramètre de validation en deux étapes est activé par défaut dans la console d'administration. Pour les comptes créés dans les organisations racines les plus récentes, le paramètre de validation en deux étapes est également activé par défaut. Une fois la validation en deux étapes activée, les utilisateurs peuvent configurer une méthode de validation en deux étapes.

Autoriser les utilisateurs de votre organisation racine à activer la validation en deux étapes

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Sécurité puis Paramètres généraux.

    Pour afficher l'option "Sécurité" sur la page d'accueil, vous devrez peut-être cliquer sur Autres commandes au bas de la page.

  3. Sous Validation en deux étapes, cochez l'option Autoriser les utilisateurs à activer la validation en deux étapes.
    Tout utilisateur de votre organisation racine peut activer la validation en deux étapes et configurer la méthode de son choix.
  4. En bas à droite, cliquez sur Enregistrer.

Demander à vos utilisateurs de s'inscrire à la validation en deux étapes

  1. Demandez à vos utilisateurs de s'inscrire à la validation en deux étapes en suivant les instructions de l'article Activer la validation en deux étapes.
  2. Fournissez-leur les instructions pour s'inscrire aux méthodes de validation en deux étapes :

Étape 3 : Appliquez la validation en deux étapes (facultatif)


L'application de la validation en deux étapes en fait une obligation pour vos utilisateurs. Les utilisateurs qui ne sont pas inscrits à la validation en deux étapes ne peuvent pas se connecter à leurs comptes.

Sélectionner les paramètres avancés de validation en deux étapes

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Sécurité puis Paramètres généraux.

    Pour afficher l'option "Sécurité" sur la page d'accueil, vous devrez peut-être cliquer sur Autres commandes au bas de la page.

  3. Sous Validation en deux étapes, vérifiez que l'option Autoriser les utilisateurs à activer la validation en deux étapes est cochée. Si ce n'est pas le cas, cochez-la et cliquez sur Enregistrer.
  4. Cliquez sur Accéder aux paramètres avancés pour activer la validation en deux étapes.

Vérifier l'inscription des utilisateurs à la validation en deux étapes

Vérifiez que vos utilisateurs sont inscrits à la validation en deux étapes avant d'activer son application. Les utilisateurs qui ne sont pas inscrits ne pourront pas se connecter à leurs comptes.
  1. Sur la page "Paramètres de sécurité avancés", accédez à la section Application sur la droite et cliquez sur le rapport sur les inscriptions.
  2. Consultez le rapport pour savoir quels utilisateurs ne sont pas inscrits.
    L'affichage de ces données peut prendre jusqu'à 48 heures. Pour savoir comment afficher en temps réel l'état de chaque utilisateur, consultez l'article Gérer les paramètres de sécurité d'un utilisateur.
  3. Signalez aux utilisateurs qui ne sont pas inscrits que leur inscription est nécessaire pour ne pas perdre l'accès à leur compte.

Activer l'utilisation

Appliquez la validation en deux étapes pour les administrateurs et les utilisateurs principaux. Consultez la section Bonnes pratiques de la validation en deux étapes.

Le paramètre de la console d'administration Google qui permet aux utilisateurs d'activer la validation en deux étapes s'applique à l'ensemble de votre organisation racine. Toutefois, vous pouvez choisir d'appliquer la validation en deux étapes aux utilisateurs de l'ensemble de votre organisation racine ou aux membres de certaines unités organisationnelles uniquement.

  1. Sur la gauche de la page "Paramètres de sécurité avancés", sélectionnez une unité organisationnelle dans laquelle vous souhaitez appliquer la validation en deux étapes.
    • Si vous ne sélectionnez aucune unité organisationnelle, vos paramètres d'application s'appliquent à l'ensemble de votre organisation racine.
    • Si vous souhaitez qu'une unité organisationnelle utilise les mêmes paramètres que son organisation parente, cliquez sur Utiliser les paramètres hérités dans l'angle supérieur droit.
  2. Indiquez quand l'application de la validation en deux étapes doit commencer.
    • Activer le : l'application commence à la date que vous indiquez.
    • Activer maintenant : l'application commence immédiatement.
  3. Si vous avez choisi d'appliquer la validation en deux étapes à une date précise, cliquez sur la date de début du calendrier. Les utilisateurs voient des rappels pour s'inscrire à la validation en deux étapes s'afficher lorsqu'ils se connectent.
  4. Cliquez sur Enregistrer.

Éviter aux nouveaux utilisateurs de perdre l'accès à leur compte

Lorsque vous imposez la validation en deux étapes, laissez aux nouveaux employés le temps de s'inscrire avant de l'appliquer à leurs comptes. Pour cela, définissez un délai d'inscription pour les nouveaux utilisateurs. Pendant ce délai, les utilisateurs peuvent se connecter en utilisant uniquement leur mot de passe.
  1. Sur la page "Paramètres de sécurité avancés", à côté de Délai d'inscription pour les nouveaux utilisateurs, sélectionnez un délai pouvant aller de un jour à six mois.
    Il s'agit du temps dont les nouveaux utilisateurs disposent pour s'inscrire à la validation en deux étapes après leur première connexion réussie.
  2. Cliquez sur Enregistrer.

Étape 4 : Sélectionnez les options d'application (facultatif)

Sélectionner une méthode de validation en deux étapes à appliquer 

Une fois la validation en deux étapes activée, la méthode d'application par défaut est "Tous". Nous recommandons l'utilisation de clés de sécurité, qui constituent la forme la plus sécurisée de validation en deux étapes. Consultez la section Bonnes pratiques de la validation en deux étapes.

  1. Sur la page "Paramètres de sécurité avancés", sélectionnez une méthode sous Méthodes de validation en deux étapes autorisées :
    • Toutes : les utilisateurs peuvent configurer n'importe quelle méthode de validation en deux étapes.
    • Toutes, à l'exception des codes de validation par SMS et appel téléphonique : les utilisateurs peuvent configurer n'importe quelle méthode de validation en deux étapes, à l'exception de la réception de codes de validation en deux étapes par téléphone.
    • Clé de sécurité uniquement : les utilisateurs doivent configurer une clé de sécurité.
  2. Cliquez sur Enregistrer.
Assurer la transition en douceur vers l'application de la validation en deux étapes 

Lorsque vous appliquez la validation en deux étapes, les comptes utilisateur pour lesquels une méthode de validation en deux étapes compatible n'a pas été configurée seront verrouillés une fois leur session active arrivée à expiration. Vous devrez aider les utilisateurs concernés à récupérer leur compte afin qu'ils puissent se connecter. Voici quelques-uns des scénarios possibles :

  • La validation en deux étapes était jusque-là facultative, et vous la rendez obligatoire.
  • Vous avez activé la validation en deux étapes en autorisant les utilisateurs à opter pour la méthode de leur choix. Vous ne les autorisez désormais plus à utiliser la réception de codes de validation en deux étapes par SMS ou appel vocal sur le téléphone.
  • La validation en deux étapes était facultative et n'importe quelle méthode était autorisée, ou bien n'importe quelle méthode à l'exception de la réception de SMS ou d'appels vocaux, et vous appliquez le recours à une clé de sécurité comme seule méthode autorisée de validation en deux étapes.

Communiquer sur l'application future de la validation en deux étapes

Avant d'activer l'utilisation de la validation en deux étapes, informez les utilisateurs de cette décision et communiquez-leur la date d'application. Prévoyez suffisamment de temps pour qu'ils puissent ajouter une méthode de validation. Configurez un délai d'inscription pour les nouveaux collaborateurs, comme décrit dans la section "Éviter aux nouveaux utilisateurs de perdre l'accès à leur compte".

Si la date d'application n'est pas respectée par certains utilisateurs

Il est possible que des utilisateurs n'aient pas configuré de méthode de validation appropriée avant la date d'application. Vous pouvez accorder un délai supplémentaire à ces utilisateurs en plaçant leur compte dans un groupe avec exception dans lequel la validation en deux étapes n'est pas appliquée, jusqu'à ce qu'ils puissent ajouter une méthode de validation. Pour en savoir plus, consultez l'article Déplacer les utilisateurs lors de l'application de la validation en deux étapes.

Bien que cette solution temporaire permette à vos utilisateurs de se connecter, elle ne doit pas se prolonger, car leur compte n'est pas protégé par la validation en deux étapes tant qu'il se trouve dans le groupe avec exception.

Appliquer la méthode "Toutes, à l'exception des codes de validation par SMS et appel téléphonique"

Si les utilisateurs peuvent actuellement utiliser n'importe quelle méthode de validation en deux étapes, il est probable que certains d'entre eux aient activé uniquement la validation via SMS et appel vocal. Dans ce cas, ils ne pourront plus se connecter à l'aide du numéro de téléphone sur lequel ils recevaient auparavant les codes de validation par SMS ou appel vocal. Ils ne pourront pas non plus ajouter de nouveaux numéros de téléphone.

Évitez que ces utilisateurs ne puissent plus accéder à leur compte :

  • Avant d'activer la nouvelle règle, demandez à vos utilisateurs d'ajouter et de commencer à utiliser une autre méthode de validation en deux étapes. Informez-les également qu'ils ne pourront plus obtenir de code de validation en deux étapes sur leur téléphone après la date d'application spécifiée.
  • À l'aide de l'événement d'activité d'audit de connexion login_verification (validation de connexion), identifiez les utilisateurs qui reçoivent des codes de validation en deux étapes par SMS ou appel vocal pour se connecter. Si le paramètre login_challenge_method (méthode de la question d'authentification à la connexion) contient la valeur idv_preregistered_phone (IDV téléphone préenregistré), cela signifie que l'utilisateur s'est authentifié à l'aide d'un code de validation reçu par SMS ou appel vocal.

Appliquer la méthode "Clé de sécurité uniquement"

Avant d'appliquer cette méthode, consultez les paramètres de sécurité utilisateur pour vous assurer que vos utilisateurs ont bien configuré leurs clés de sécurité :

  • Sous Clé de sécurité uniquement, cliquez sur les utilisateurs ont enregistré des clés de sécurité pour générer la liste des utilisateurs.
  • Cliquez sur un utilisateur dans la liste pour afficher ses paramètres.

Autoriser les codes de secours lorsque les utilisateurs perdent leur clé de sécurité

Si les clés de sécurité sont la seule méthode de validation en deux étapes que vous acceptez et qu'un utilisateur perd la sienne, il doit pouvoir se connecter à l'aide d'une nouvelle clé. Vous pouvez autoriser les utilisateurs à utiliser des codes de secours pendant un certain délai de grâce.
  1. Sur la page "Paramètres de sécurité avancés", à côté de Délai de grâce pour la suspension de la validation en deux étapes, sélectionnez un délai pouvant aller de un jour à une semaine.
    Le délai de grâce commence lorsque vous générez les codes de secours.
  2. Cliquez sur Enregistrer.
Autoriser l'utilisation de codes de sécurité lorsque les clés de sécurité ne sont pas compatibles 
Si vous appliquez des clés de sécurité, il se peut que certains de vos utilisateurs rencontrent des difficultés pour utiliser certaines applications. Ils ne peuvent pas utiliser leurs identifiants Google pour se connecter à des applications Web exécutées sur des plates-formes non compatibles avec les clés de sécurité. Ces plates-formes incluent iOS pour mobile, Safari et Internet Explorer. Voici quelques exemples :
  • Une application Web d'entreprise s'exécute uniquement sur un navigateur qui n'est pas compatible avec les clés de sécurité.
    Priya travaille dans la finance et utilise une application Web financière qui fonctionne uniquement sous Internet Explorer 8.0. Puisque des clés de sécurité sont appliquées, elle ne peut pas se connecter à l'application Web à l'aide de son compte Google.
  • Configuration initiale de l'iPhone
    Nigel travaille dans les ventes et dispose d'un nouvel iPhone. Pour le configurer, il doit se connecter à son compte Google sur l'iPhone.  Toutefois, étant donné que Safari et iOS pour mobile ne sont pas compatibles avec les clés de sécurité, il ne peut pas se connecter, ni configurer son iPhone.

Activer les codes de sécurité

Lorsqu'une plate-forme n'est pas compatible avec les clés de sécurité, vous pouvez autoriser les utilisateurs à se connecter et à s'authentifier à l'aide d'un code de sécurité spécial. Ils peuvent générer ce code uniquement sur un appareil compatible avec les clés de sécurité.

  1. Sur la page "Paramètres de sécurité avancés", sous Méthodes de validation en deux étapes autorisées, Clé de sécurité uniquement, sélectionnez Les utilisateurs peuvent utiliser un code de sécurité provenant de https://g.co/sc plutôt que des clés de sécurité comme méthode de validation en deux étapes.
  2. Cliquez sur Enregistrer.

Fonctionnement des codes de sécurité

Les codes de sécurité sont différents des codes à usage unique générés par des applications telles que Google Authenticator. Pour générer un code de sécurité, l'utilisateur doit disposer d'un appareil sur lequel il peut utiliser sa clé de sécurité, et appuyer sur cette dernière.

Quand autoriser les codes de sécurité

Lorsque vous appliquez des clés de sécurité, le fait d'autoriser les codes de sécurité permet aux utilisateurs de travailler même lorsque ces clés ne sont pas compatibles. Toutefois, les codes de sécurité ne sont pas aussi performants que les clés de sécurité pour la validation en deux étapes. Vous devez donc les autoriser uniquement pour les utilisateurs qui travaillent sur des plates-formes ou des applications non compatibles.

Expérience utilisateur

Voici comment Priya, qui travaille dans la finance, utilise une application Web financière fonctionnant sous Internet Explorer 8.0.

  1. Priya se connecte à son ordinateur portable à l'aide de ses identifiants Google.
  2. Pour s'authentifier, elle insère une clé de sécurité dans le port USB de son ordinateur portable, ou appuie sur une clé de sécurité déjà insérée.
  3. Elle lance Internet Explorer 8.0 et essaie de se connecter à l'application de finance.
  4. Elle suit les instructions pour obtenir un code de sécurité unique sur un appareil sur lequel elle peut utiliser sa clé de sécurité.
  5. Priya lance Chrome sur son ordinateur portable et accède à la page https://g.co/sc.
  6. Elle appuie sur sa clé de sécurité pour générer un code de sécurité.
  7. Elle copie le code de sécurité et s'en sert pour terminer la connexion à l'application Web Internet Explorer.

Actuellement, seuls Chrome et Firefox sont compatibles avec les clés de sécurité. Les codes de sécurité à usage unique sont valides pendant cinq minutes.

Permettre aux utilisateurs de ne pas effectuer à chaque fois la validation en deux étapes sur les appareils vérifiés

Il n'est pas recommandé d'autoriser les utilisateurs à ne pas effectuer la validation en deux étapes sur des appareils vérifiés, sauf si ces personnes changent souvent d'appareil.

  1. Sur la page "Paramètres de sécurité avancés", accédez à la section Fréquence de la validation en deux étapes et sélectionnez l'une des options suivantes :
    • Autoriser l'utilisateur à faire confiance à son appareil lors de l'activation de la validation en deux étapes : la première fois qu'il se connecte, l'utilisateur peut cocher une option lui permettant de vérifier son appareil, ce qui lui évite d'avoir à effectuer la validation en deux étapes sur ce dernier. L'utilisateur n'est plus invité à effectuer la validation en deux étapes sur cet appareil, sauf s'il supprime ses cookies, si vous réinitialisiez ses cookies de connexion ou s'il supprime l'appareil de son compte.
    • Ne pas autoriser l'utilisateur à faire confiance à son appareil lors de l'activation de la validation en deux étapes : les utilisateurs doivent effectuer la validation en deux étapes à chaque connexion.
  2. Cliquez sur Enregistrer.

Étape 5 : Gérez les clés de sécurité (facultatif)

Ajouter une clé de sécurité pour un utilisateur

Vous pouvez ajouter une clé de sécurité à un compte utilisateur. Si l'utilisateur ne s'est pas inscrit à la validation en deux étapes, il est inscrit automatiquement lorsque vous enregistrez une clé de sécurité pour lui. Consultez l'article Gérer les paramètres de sécurité d'un utilisateur.

 

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?