Tu e i tuoi utenti svolgete un ruolo importante nella configurazione della verifica in due passaggi (V2P). I tuoi utenti possono scegliere il metodo che preferiscono per la V2P oppure puoi imporre tu un metodo per determinati utenti o gruppi della tua organizzazione. Ad esempio, puoi richiedere a un piccolo team del reparto Vendite di utilizzare i token di sicurezza.
Passaggio 1: notifica agli utenti il deployment della verifica in due passaggi
Prima di implementare la verifica in due passaggi, comunica i piani della tua azienda agli utenti, includendo le azioni seguenti:
- Descrivi cos'è la V2P e perché la tua azienda la sta usando.
- Indica se la verifica in due passaggi è facoltativa o obbligatoria.
- Se richiesto, fornisci la data da cui gli utenti devono attivare la verifica in due passaggi.
- Indica quale metodo è richiesto obbligatoriamente o consigliato per la V2P.
Passaggio 2: consenti agli utenti di attivare la verifica in due passaggi
Negli account utente creati prima di dicembre 2016, la V2P è attivata per impostazione predefinita.
Consenti agli utenti di attivare la V2P e di utilizzare tutti i metodi di verifica.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu
Sicurezza
Autenticazione
- Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa di primo livello. In alternativa, puoi selezionare un'unità organizzativa secondaria o un gruppo di configurazione.
- Seleziona la casella Consenti agli utenti di attivare la verifica in due passaggi.
- Seleziona Applicazione forzata
- Fai clic su Salva. Se hai configurato un'unità organizzativa o un gruppo, potresti essere in grado di scegliere Eredita o Ignora per le impostazioni di un'unità organizzativa principale oppure Annulla impostazioni per quelle di un gruppo.
Passaggio 3: chiedi agli utenti di registrarsi per la verifica in due passaggi
- Comunica agli utenti che devono registrarsi per la verifica in due passaggi seguendo le istruzioni in Attivare la verifica in due passaggi.
- Fornisci le istruzioni per registrarsi per i diversi metodi di verifica in due passaggi:
Passaggio 4: monitora la registrazione degli utenti
Utilizza i report per misurare e monitorare la registrazione degli utenti alla verifica in due passaggi. Controlla lo stato della registrazione degli utenti, lo stato dell'applicazione forzata e il numero di token di sicurezza.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu
Reporting
- (Facoltativo) Per aggiungere una nuova colonna di informazioni, fai clic su Impostazioni
Per saperne di più, vedi Gestire le impostazioni di sicurezza di un utente.
Visualizzare le tendenze di registrazione
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella home page della Console di amministrazione, vai aReport
Individuare le unità organizzative e i gruppi che non utilizzano la verifica in due passaggi
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu.
-
Per esaminare le informazioni sulla V2P, cerca Stato della sicurezza in Verifica in due passaggi per gli amministratori o Verifica in due passaggi per gli utenti.
(Facoltativo) Passaggio 5: applica la verifica in due passaggi
Prima di iniziare: assicurati che gli utenti siano registrati alla V2P.
Importante: quando viene applicata la V2P, gli utenti che non hanno completato la procedura di registrazione per la funzionalità, ma hanno aggiunto informazioni sull'autenticazione a 2 fattori (2FA), ad esempio un token di sicurezza o un numero di telefono, saranno in grado di accedere utilizzando queste informazioni. Se vedi un accesso di un utente non registrato che appartiene a un'unità organizzativa in cui è stata applicata la verifica in due passaggi, si tratta di un accesso V2P. Per informazioni dettagliate, vai a Stato V2P registrata a metà.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu
- Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa di primo livello. In alternativa, puoi selezionare un'unità organizzativa secondaria o un gruppo di configurazione.
- Fai clic su Consenti agli utenti di attivare la verifica in due passaggi.
- In Applicazione forzata, scegli un'opzione:
- Attivo: si avvia immediatamente.
- Attiva applicazione dalla data: seleziona la data di inizio. Gli utenti visualizzano i promemoria per registrarsi per la verifica in due passaggi quando accedono.
Nota: se utilizzi l'opzione ON dal giorno, l'applicazione inizierà entro 24-48 ore dalla data selezionata. Se vuoi che l'applicazione forzata inizi a un'ora precisa, utilizza l'opzione On.
- (Facoltativo) Per concedere ai nuovi dipendenti il tempo di registrarsi prima che la verifica venga applicata in modo forzato ai loro account, seleziona un periodo di tempo compreso tra 1 giorno e 6 mesi in corrispondenza di Periodo di registrazione dei nuovi utenti.
Durante questo periodo, gli utenti potranno accedere usando solo la loro password. - (Facoltativo) Per consentire agli utenti di evitare ripetuti controlli della V2P su dispositivi attendibili, in Frequenza seleziona la casella Consenti all'utente di ritenere attendibile il dispositivo.
La prima volta che un utente esegue l'accesso da un nuovo dispositivo, può selezionare una casella per contrassegnare il dispositivo come attendibile. Successivamente, all'utente non verrà chiesto di eseguire la V2P su quel dispositivo, a meno che non ne cancelli i cookie o revochi il dispositivo, oppure se tu reimposti i cookie di accesso dell'utente.
Non è consigliato consentire agli utenti di non eseguire la V2P sui dispositivi attendibili, a meno che non passino spesso da un dispositivo a un altro. - In Metodi, seleziona il metodo di applicazione forzata:
- Qualsiasi: gli utenti possono configurare qualsiasi metodo di verifica in due passaggi.
- Tutto ad eccezione di codici di verifica via SMS o chiamata telefonica: gli utenti possono configurare qualsiasi metodo di verifica in due passaggi tranne l'utilizzo del telefono per ricevere i codici di verifica.
Importante: gli utenti che utilizzano SMS e telefonate per la verifica non potranno più accedere ai loro account. Per evitare che venga bloccato l'accesso di questi utenti ai loro account:- Prima di attivare l'applicazione forzata, chiedi agli utenti di iniziare a utilizzare un altro metodo di V2P, poiché i codici V2P non saranno più disponibili sui loro telefoni dopo la data di applicazione forzata.
- Puoi utilizzare l'attributo login_verification in Eventi del log utente per tenere traccia degli utenti che utilizzano i codici ricevuti tramite SMS o chiamata vocale. Se il valore del parametro login_challenge_method è idv_preregistered_phone, l'utente è stato autenticato utilizzando un codice di verifica vocale o via SMS.
- Solo token di sicurezza: gli utenti devono configurare un token di sicurezza.
Prima di selezionare questo metodo di applicazione forzata, trova gli utenti che hanno già configurato i token di sicurezza (i dati dei report potrebbero subire ritardi fino a 48 ore). Per visualizzare lo stato della verifica in due passaggi in tempo reale per ciascun utente, vai a Gestire le impostazioni di sicurezza degli utenti.
Importante: dall'aggiunta delle passkey, l'opzione Solo token di sicurezza ora supporta sia i token di sicurezza sia le passkey come metodo V2P. Passkey e token di sicurezza hanno entrambi lo stesso livello di protezione contro il phishing. Per maggiori dettagli, vedi Accedere con una passkey anziché con una password.
- Se selezioni Solo token di sicurezza, imposta il periodo di tolleranza per la sospensione del criterio di verifica in due passaggi.
Questo periodo di tempo consente agli utenti di accedere con un codice di verifica di backup generato da te, utile quando un utente perde il token di sicurezza. Seleziona la durata del periodo di tolleranza, che inizia quando generi il codice di verifica. Per informazioni sui codici di backup, vedi Generare i codici di verifica di backup per un utente. - In Codici di sicurezza, specifica se gli utenti possono accedere utilizzando un codice di sicurezza.
- Non consentire agli utenti di generare codici di sicurezza: gli utenti non possono generare codici di sicurezza.
- Consenti i codici di sicurezza senza accesso remoto: gli utenti possono generare codici di sicurezza e utilizzarli sullo stesso dispositivo o rete locale (NAT o LAN).
- Consenti i codici di sicurezza con l'accesso remoto: gli utenti possono generare codici di sicurezza da utilizzare su altri dispositivi o reti, ad esempio quando accedono a un server remoto o a una macchina virtuale.
I codici di sicurezza sono diversi dai codici monouso generati da app come Google Authenticator. Per generare un codice di sicurezza, l'utente deve toccare il token sul proprio dispositivo. La durata della validità dei codici di sicurezza è di 5 minuti.
- Fai clic su Salva. Se hai configurato un'unità organizzativa o un gruppo, potresti essere in grado di scegliere Eredita o Ignora per le impostazioni di un'unità organizzativa principale oppure Annulla impostazioni per quelle di un gruppo.
Se gli utenti non riescono a rispettare la data dell'applicazione forzata
Puoi dare agli utenti più tempo per la registrazione inserendoli un gruppo in cui la V2P non viene applicata. Anche se questa soluzione alternativa consente agli utenti di accedere ai loro account, non è consigliabile adottarla come prassi normale. Scopri di più su come evitare il blocco degli account quando viene applicata la verifica in due passaggi.
