Verifica in due passaggi

Implementare la verifica in due passaggi

Tu e i tuoi utenti rivestite un ruolo importante nella configurazione della verifica in due passaggi (V2P). 

Passaggio 1: notifica agli utenti l'implementazione della verifica in due passaggi (obbligatorio)

Prima di utilizzare la verifica in due passaggi, comunica i piani della tua azienda agli utenti e:

  • Descrivi la verifica in due passaggi e perché la sua azienda la sta utilizzando.
  • Indica se la verifica in due passaggi è facoltativa o obbligatoria.
  • Se richiesto, fornisci la data da cui gli utenti devono attivare la verifica in due passaggi.
  • Indica quale metodo di verifica in due passaggi è necessario o consigliato.

Passaggio 2: imposta la verifica in due passaggi di base (obbligatorio)

Puoi selezionare un'impostazione nella Console di amministrazione Google che consente agli utenti di attivare la verifica in due passaggi. Questa impostazione si applica all'intera organizzazione di primo livello, che può essere costituita da più domini.

Nelle organizzazioni di primo livello create dopo dicembre 2016, l'impostazione della verifica in due passaggi della Console di amministrazione è attiva per impostazione predefinita. Anche negli account creati nelle nuove organizzazioni di primo livello, l'impostazione della verifica in due passaggi è attiva per impostazione predefinita. Quando la verifica in due passaggi è attiva, gli utenti possono impostare un metodo di verifica in due passaggi.

Consentire agli utenti dell'organizzazione di primo livello di attivare la verifica in due passaggi

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Sicurezzae poiImpostazioni di base.

    Per visualizzare Sicurezza sulla home page, potresti dover fare clic su Altri controlli in basso.

  3. In Verifica in due passaggi, seleziona Consenti agli utenti di attivare la verifica in due passaggi.
    Qualsiasi utente dell'organizzazione di primo livello può attivare la verifica in due passaggi e impostare un metodo di verifica in due passaggi.
  4. In basso a destra, fai clic su Salva.

Comunicare agli utenti che devono registrarsi per la verifica in due passaggi

  1. Comunica agli utenti che devono registrarsi per la verifica in due passaggi seguendo le istruzioni in Attivare la verifica in due passaggi.
  2. Fornisci le istruzioni per registrarsi per i diversi metodi di verifica in due passaggi:

Passaggio 3: applica la verifica in due passaggi (facoltativo)


L'applicazione della verifica in due passaggi la rende obbligatoria per gli utenti. Gli utenti non registrati per la verifica in due passaggi non possono accedere ai propri account.

Selezionare le impostazioni avanzate per la verifica in due passaggi

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Sicurezzae poiImpostazioni di base.

    Per visualizzare Sicurezza sulla home page, potresti dover fare clic su Altri controlli in basso.

  3. In Verifica in due passaggi, controlla che l'opzione Consenti agli utenti di attivare la verifica in due passaggi sia selezionata. In caso contrario, seleziona l'opzione e fai clic su Salva.
  4. Fai clic su Passa alle impostazioni avanzate per applicare la verifica in due passaggi.

Verificare la registrazione degli utenti per la verifica in due passaggi

Assicurati che gli utenti siano iscritti alla verifica in due passaggi prima di attivare l'applicazione. Gli utenti non registrati non saranno in grado di accedere ai loro account.
  1. Dalla pagina Impostazioni di sicurezza avanzate, sotto Applicazione, a destra, fai clic su Rapporto di registrazione.
  2. Controlla il rapporto per vedere quali utenti non sono registrati.
    Questi dati potrebbe subire ritardi fino a 48 ore. Per visualizzare lo stato della verifica in due passaggi in tempo reale per ciascun utente, consulta Gestire le impostazioni di sicurezza di un utente.
  3. Informa gli utenti non registrati che devono registrarsi oppure rischiano di essere esclusi dal loro account.

Attivare l'applicazione

Applica la verifica in due passaggi per gli amministratori e gli utenti principali. Consulta le best practice per la verifica in due passaggi.

L'impostazione nella Console di amministrazione che consente agli utenti di attivare la verifica in due passaggi si applica a tutta l'organizzazione di primo livello. Tuttavia, puoi scegliere di applicare la verifica in due passaggi agli utenti dell'intera organizzazione di primo livello o solo agli utenti di unità organizzative specifiche.

  1. Dalla pagina delle impostazioni di sicurezza avanzate, sulla sinistra, seleziona l'unità organizzativa in cui vuoi applicare la verifica in due passaggi.
    • Se non selezioni un'unità organizzativa, le impostazioni relative all'applicazione si applicano a tutta l'organizzazione di primo livello.
    • Se vuoi che un'unità organizzativa utilizzi le stesse impostazioni dell'organizzazione principale, fai clic su Usa impostazioni ereditate in alto a destra.
  2. Scegli quando iniziare ad applicare la verifica in due passaggi:
    • Attiva l'applicazione dalla data: inizia in una data specificata.
    • Attiva subito l'applicazione: inizia immediatamente.
  3. Se hai scelto di applicare la verifica in due passaggi da una data specifica, fai clic sulla data di inizio sul calendario. Gli utenti visualizzano i promemoria per registrarsi per la verifica in due passaggi quando accedono.
  4. Fai clic su Salva.

Impedire che i nuovi utenti vengano esclusi dai propri account

Quando implementi la verifica in due passaggi, dai ai nuovi dipendenti il tempo di registrarsi prima di applicarla ai loro account. Puoi farlo definisci un periodo di registrazione per i nuovi utenti. Durante questo periodo, gli utenti possono accedere usando solo le proprie password.
  1. Dalla pagina Impostazioni di sicurezza avanzate, accanto al Periodo di registrazione dei nuovi utenti, seleziona un periodo di tempo da un giorno a sei mesi.
    Questo è il tempo che i nuovi utenti hanno per registrarsi per la verifica in due passaggi dopo il loro primo accesso.
  2. Fai clic su Salva.

Passaggio 4: seleziona le opzioni di applicazione (facoltativo)

Selezionare un metodo per applicare la verifica in due passaggi 

Quando applichi la verifica in due passaggi, il metodo di applicazione predefinito è "Qualsiasi". Prendi in considerazione l'utilizzo di token di sicurezza, che sono il metodo di verifica in due passaggi più sicuro. Consulta le best practice per la verifica in due passaggi.

  1. Nella pagina Impostazioni di sicurezza avanzate, in Metodi consentiti per la verifica in due passaggi, seleziona un metodo:
    • Qualsiasi: gli utenti possono configurare qualsiasi metodo di verifica in due passaggi.
    • Tutto ad eccezione di codici di verifica via SMS o chiamata telefonica: gli utenti possono configurare qualsiasi metodo di verifica in due passaggi tranne l'utilizzo del telefono per ricevere i codici di verifica.
    • Solo token di sicurezza: gli utenti devono configurare un token di sicurezza.
  2. Fai clic su Salva.
Garantire una transizione agevole a un criterio di applicazione 

Quando applichi la verifica in due passaggi, gli utenti esistenti i cui metodi di verifica non sono compatibili non potranno più accedere ai loro account dopo la scadenza delle sessioni attive. Dovrai aiutarli a recuperare i loro account in modo che possano nuovamente accedervi. Scenari di esempio:

  • ​Stai passando da un criterio in cui la verifica in due passaggi è facoltativa a uno in cui è obbligatoria.
  • ​​Stai applicando la verifica in due passaggi, ma consenti agli utenti di scegliere qualsiasi metodo. Stai passando al criterio che consente agli utenti di utilizzare qualsiasi metodo di verifica in due passaggi tranne l'utilizzo del telefono (SMS o chiamata vocale) per ricevere i codici.
  • ​​Stai passando da un criterio in cui la verifica in due passaggi è facoltativa oppure è consentito qualsiasi metodo o qualsiasi metodo tranne SMS o chiamata vocale a un criterio che richiede i token di sicurezza come unico metodo di verifica.

Comunicare i piani per l'applicazione della verifica in due passaggi

Comunica i tuoi piani e la data di applicazione prima di impostare un criterio di applicazione. Dai agli utenti il tempo necessario per aggiungere un metodo di verifica in due passaggi. Per i nuovi dipendenti puoi configurare un periodo di applicazione per i nuovi utenti, come descritto in "Impedire che i nuovi utenti vengano esclusi dai propri account".

Se gli utenti non riescono a rispettare la data di applicazione

È possibile che alcuni utenti non abbiano configurato un metodo di verifica in due passaggi appropriato entro la data di applicazione che hai specificato. Puoi dare a questi utenti più tempo per la registrazione inserendoli in un gruppo di eccezione in cui la verifica in due passaggi non viene applicata finché non avranno aggiunto un metodo. Vedi Evitare blocchi degli account quando viene applicata la verifica in due passaggi.

Anche se questa soluzione alternativa consente agli utenti di accedere ai propri account, non è consigliata come prassi standard perché tali account non sono protetti dalla verifica in due passaggi quando gli utenti sono inseriti nel gruppo di eccezione.

Applicare il criterio "Tutto ad eccezione di codici di verifica via SMS o chiamata telefonica"

Se al momento gli utenti possono utilizzare qualsiasi metodo di verifica in due passaggi, probabilmente alcuni avranno attivato l'SMS e la chiamata vocale come unico metodo. Gli utenti non potranno accedere con un numero di telefono che hanno utilizzato in passato per ricevere i codici della verifica in due passaggi tramite SMS o chiamata vocale. Non potranno aggiungere nuovi numeri di telefono.

Evita che venga bloccato l'accesso di questi utenti ai propri account:

  • Prima di impostare questo criterio, chiedi agli utenti di aggiungere e iniziare a utilizzare un altro metodo di verifica in due passaggi. Informali anche che non potranno ricevere i codici di verifica in due passaggi sui loro telefoni dopo la data di applicazione specificata.
  • Utilizza l'evento attività del controllo dell'accesso login_verification per tenere traccia degli utenti che accedono mediante i codici di verifica in due passaggi ricevuti tramite SMS o chiamata vocale. Se il valore del parametro login_challenge_method è idv_preregistered_phone, l'utente è stato autenticato utilizzando un codice di verifica vocale o di testo.

Applicare il criterio "Solo token di sicurezza"

Prima di applicare questo criterio, rivedi le impostazioni di sicurezza degli utenti per assicurarti che abbiano impostato i propri token di sicurezza:

  • ​In Solo token di sicurezza, fai clic su Assicurati che gli utenti abbiano registrato i token di sicurezza prima di applicare l'opzione per generare un elenco di utenti.
  • ​Fai clic su un utente nell'elenco per visualizzarne le impostazioni.

Consentire codici di backup quando gli utenti perdono i token di sicurezza

Se applichi i token di sicurezza come unico metodo di verifica in due passaggi accettato e un utente perde il proprio token di sicurezza, devi offrirgli un modo per accedere mentre recupera un nuovo token. Puoi consentire agli utenti di utilizzare i codici di backup per un determinato periodo di tolleranza.
  1. Dalla pagina Impostazioni di sicurezza avanzate, accanto a Periodo di tolleranza per la sospensione della verifica in due passaggi, seleziona un periodo di tempo da un giorno a una settimana.
    Il periodo di tolleranza inizia quando generi i codici di backup.
  2. Fai clic su Salva.
Consentire i codici di sicurezza quando i token di sicurezza non sono supportati 
Se applichi i token di sicurezza, alcuni utenti potrebbero riscontrare problemi nell'utilizzo di alcune applicazioni. Gli utenti non possono utilizzare le proprie credenziali Google per accedere ad applicazioni web eseguite su piattaforme che non supportano i token di sicurezza. Queste piattaforme includono iOS per dispositivi mobili, Safari e Internet Explorer. Ecco alcuni esempi:
  • Un'applicazione web aziendale funziona solo su un browser che non supporta i token di sicurezza
    Anna lavora nel reparto Finanza e utilizza un'applicazione web specifica del settore che funziona solo su Internet Explorer 8.0. Poiché i token di sicurezza sono stati applicati, non può accedere all'applicazione utilizzando il suo Account Google.
  • Configurazione iniziale di iPhone
    Carlo lavora nel reparto Vendite e ha un nuovo iPhone. Per configurarlo, deve accedere al suo Account Google sull'iPhone.  Tuttavia, poiché Safari e iOS per dispositivi mobili non supportano i token di sicurezza, Carlo non può eseguire l'accesso né configurare l'iPhone.

Attivare i codici di sicurezza

Quando una piattaforma non supporta i token di sicurezza, puoi consentire agli utenti di accedere e autenticarsi con uno speciale codice monouso. Gli utenti possono generare questo codice solo su un dispositivo che supporta i token di sicurezza.

  1. Nella pagina Impostazioni di sicurezza avanzate, in Metodi consentiti per la verifica in due passaggi, Solo token di sicurezza, seleziona Per la verifica in due passaggi, gli utenti possono utilizzare un codice di sicurezza fornito da https://g.co/sc anziché i token di sicurezza.
  2. Fai clic su Salva.

Come funzionano i codici di sicurezza

I codici di sicurezza sono diversi dai codici monouso generati da applicazioni come Google Authenticator. Per generare un codice di sicurezza, l'utente ha bisogno di un dispositivo su cui possa utilizzare il proprio token di sicurezza. Il codice viene generato quando l'utente tocca il token.

Quando consentire i codici di sicurezza

Quando applichi i token di sicurezza, i codici di sicurezza consentono agli utenti di continuare a lavorare quando i token non sono supportati. Tuttavia, poiché i codici di sicurezza non sono così efficaci come i token per la verifica in due passaggi, ti consigliamo di consentire l'uso di questi codici solo per gli utenti che devono lavorare su piattaforme o applicazioni che non supportano i token.

Esperienza utente

Ecco in che modo Anna del reparto Finanza può utilizzare l'applicazione web specifica che funziona su Internet Explorer 8.0.

  1. Anna accede al suo laptop utilizzando le proprie credenziali Google.
  2. Per autenticare la propria identità, inserisce un token di sicurezza in una porta USB del laptop o ne tocca uno già inserito.
  3. Anna avvia Internet Explorer 8.0 e prova ad accedere all'applicazione finanziaria.
  4. Segue le istruzioni per ricevere un codice di sicurezza monouso su un dispositivo in cui può utilizzare il token di sicurezza.
  5. Anna avvia Chrome sul suo laptop e va all'indirizzo https://g.co/sc.
  6. Tocca il token di sicurezza e genera un codice di sicurezza.
  7. Copia il codice e lo utilizza per completare l'accesso all'applicazione web su Internet Explorer.

Al momento solo Chrome e Firefox supportano i token di sicurezza. I codici di sicurezza monouso sono validi per cinque minuti.

Consentire agli utenti di evitare di ripetere la verifica in due passaggi sui dispositivi attendibili

Non è consigliato consentire agli utenti di non ripetere la verifica in due passaggi sui dispositivi attendibili, tranne se passano spesso da un dispositivo all'altro.

  1. Nella sezione Frequenza della verifica in due passaggi della pagina Impostazioni di sicurezza avanzate, seleziona un'opzione:
    • Consenti all'utente di ritenere attendibile il dispositivo al momento della verifica in due passaggi: la prima volta che un utente esegue l'accesso da un nuovo dispositivo, può selezionare una casella per marcare come attendibile il dispositivo ed evitare la verifica in due passaggi. All'utente non verrà chiesto di nuovo di eseguire la verifica in due passaggi su quel dispositivo, a meno che non lo revochi nel proprio account o ne cancelli i cookie oppure se tu reimposti i suoi cookie di accesso.
    • Non consentire all'utente di ritenere attendibile il dispositivo al momento della verifica in due passaggi: l'utente deve eseguire la verifica in due passaggi a ogni accesso.
  2. Fai clic su Salva.

Passaggio 5: gestisci i token di sicurezza (facoltativo)

Aggiungere un token di sicurezza per un utente

Puoi aggiungere un token di sicurezza a un account utente. Se l'utente non è registrato per la verifica in due passaggi, viene registrato automaticamente al momento dell'aggiunta di un token di sicurezza. Consulta Gestire le impostazioni di sicurezza di un utente.

 

È stato utile?
Come possiamo migliorare l'articolo?