Verifica in due passaggi

Eseguire il deployment della verifica in due passaggi

Tu e i tuoi utenti svolgete un ruolo importante nella configurazione della verifica in due passaggi.

Passaggio 1: notifica agli utenti il deployment della verifica in due passaggi (obbligatorio)

Prima di eseguire il deployment della verifica in due passaggi, comunica i piani della tua azienda agli utenti e:

  • Descrivi la verifica in due passaggi e spiega perché la tua azienda ha scelto di adottarla.
  • Indica se la verifica in due passaggi è facoltativa o obbligatoria.
  • Se necessario, specifica la data entro la quale gli utenti dovranno attivare la verifica in due passaggi.
  • Indica quale metodo di verifica in due passaggi è obbligatorio o consigliato.

Per maggiori dettagli, vedi Best practice per la verifica in due passaggi.

Passaggio 2: configura la verifica in due passaggi di base (obbligatorio)

Quindi, consenti agli utenti di attivare la verifica in due passaggi. Per impostazione predefinita, gli utenti possono attivare la verifica in due passaggi e utilizzare qualsiasi metodo di verifica. Per gli account G Suite creati prima di dicembre 2016, la verifica in due passaggi è disattivata per impostazione predefinita.

Applicare le impostazioni della verifica in due passaggi

Puoi personalizzare le impostazioni della verifica in due passaggi per le unità organizzative e i gruppi di eccezioni, ossia un gruppo di utenti all'interno dell'unità organizzativa. Ad esempio, puoi imporre l'uso dei token di sicurezza a un piccolo team nell'unità organizzativa Vendite.

Come funzionano i gruppi di eccezioni

  • Puoi assegnare un solo gruppo di eccezione a un'unità organizzativa.
  • Gli utenti del gruppo di eccezione devono appartenere a tale unità.
  • Le impostazioni della verifica in due passaggi si applicano agli utenti del gruppo di eccezione, non agli indirizzi dei gruppi o ai gruppi nidificati.
  • Puoi creare i gruppi nella Console di amministrazione, nell'API Gruppi o in Directory Sync (non in Google Gruppi).

Per facilitarne l'individuazione, potresti includere l'unità organizzativa nei nomi dei gruppi di eccezioni (ad esempio gruppoecc_ nome_UO).

 

Consentire agli utenti di attivare la verifica in due passaggi
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Sicurezza quindi Verifica in due passaggi.

  3. A destra, seleziona un'unità organizzativa o un gruppo di eccezione.
  4. Consenti agli utenti di attivare la verifica in due passaggi e di utilizzare qualsiasi metodo di verifica, ma senza imporla ancora:
    • Seleziona Consenti agli utenti di attivare la verifica in due passaggi.
    • Seleziona Applicazione forzata > OFF.
  5. Fai clic su Salva.
Comunicare agli utenti che devono registrarsi alla verifica in due passaggi
  1. Chiedi agli utenti di registrarsi alla verifica in due passaggi seguendo le istruzioni riportate in Attivare la verifica in due passaggi.
  2. Fornisci le istruzioni di registrazione per i diversi metodi di verifica in due passaggi:
Tenere traccia della registrazione degli utenti 

Utilizza i rapporti per misurare e tenere traccia della registrazione degli utenti alla verifica in due passaggi. 

  • Controlla la registrazione, lo stato dell'applicazione forzata e il numero di token di sicurezza degli utenti. Vai a Rapporti > Rapporti utente > Sicurezza (fai clic su Impostazioni "" e poi Impostazioni per selezionare Chiavi di sicurezza). Ulteriori informazioni
  • Controlla le impostazioni e lo stato di un singolo utente (stato in tempo reale). Ulteriori informazioni
  • Visualizza un'istantanea delle tendenze di registrazione.   Vai a Rapporti > Rapporti app > Account. Ulteriori informazioni

  • Individua le unità organizzative e i gruppi che non utilizzano la verifica in due passaggi. Ulteriori informazioni
     

Passaggio 3: applica la verifica in due passaggi (facoltativo)

Assicurati che gli utenti siano registrati alla verifica in due passaggi prima di attivare l'applicazione forzata. Gli utenti non registrati non possono accedere ai propri account.

Garantire una transizione agevole a un criterio di applicazione forzata

Quando applichi la verifica in due passaggi, gli utenti esistenti i cui metodi di verifica non sono compatibili non potranno più accedere ai loro account dopo la scadenza delle sessioni attive. Se ad esempio vuoi passare dal consentire qualsiasi verifica in due passaggi al richiedere i token di sicurezza, dovrai aiutare l'utente a recuperare i propri account, in modo che possa accedere. 

Comunicare i piani per l'applicazione forzata della verifica in due passaggi

Comunica i tuoi piani e la data in cui verrà attuata l'applicazione forzata prima di impostare un criterio di applicazione. Lascia agli utenti il tempo di aggiungere un metodo di verifica in due passaggi. Per i neoassunti puoi impostare un periodo di registrazione per i nuovi utenti.

Se gli utenti non riescono a rispettare la data dell'applicazione forzata

È possibile che alcuni utenti non abbiano configurato un metodo di verifica in due passaggi adeguato entro la data in cui è prevista l'applicazione forzata.

Puoi dare loro più tempo per la registrazione inserendoli in un gruppo di eccezione in cui la verifica in due passaggi non viene applicata. Anche se questa soluzione alternativa consente agli utenti di accedere ai loro account, non è consigliabile adottarla come prassi normale. Ulteriori informazioni su come evitare blocchi degli account quando viene applicata la verifica in due passaggi.

Scegliere il metodo di verifica in due passaggi da applicare

Quando applichi la verifica in due passaggi, il metodo di applicazione predefinito è "Tutti". Valuta l'opportunità di utilizzare i token di sicurezza, che rappresentano il metodo di verifica in due passaggi più sicuro. Ulteriori informazioni sulle best practice per la verifica in due passaggi

Metodi di applicazione forzata

  • Tutti: gli utenti possono configurare qualsiasi metodo di verifica in due passaggi.
  • Tutti ad eccezione di codici di verifica via SMS o chiamata telefonica: gli utenti possono configurare qualsiasi metodo di verifica in due passaggi, tranne l'utilizzo del telefono, per ricevere i codici di verifica.
  • Solo token di sicurezza: gli utenti devono configurare un token di sicurezza.

Considerazioni da tenere presenti quando si applicano questi metodi:  

Tutti i metodi ad eccezione dei codici di verifica via SMS o chiamata telefonica

Se al momento consenti l'uso di qualsiasi metodo di verifica in due passaggi, probabilmente alcuni utenti avranno attivato solo la verifica via SMS e chiamata vocale. Per evitare che venga bloccato l'accesso di questi utenti ai loro account:

  • Prima di mettere in atto l'applicazione forzata, chiedi agli utenti di iniziare a utilizzare un altro metodo di verifica in due passaggi. Informali anche che non potranno ricevere i codici di verifica in due passaggi sui loro telefoni dopo la data di applicazione forzata specificata.
  • Utilizza l'evento attività del controllo degli accessi login_verification per tenere traccia degli utenti che accedono mediante i codici di verifica in due passaggi ricevuti via SMS o chiamata vocale. Se il valore del parametro login_challenge_method è idv_preregistered_phone, l'utente è stato autenticato utilizzando un codice di verifica vocale o via SMS.

Solo token di sicurezza

Prima di applicare i token di sicurezza, esamina i rapporti dell'account per individuare gli utenti che li hanno configurati (i dati dei rapporti potrebbero subire ritardi fino a 48 ore). Per visualizzare lo stato della verifica in due passaggi in tempo reale per ciascun utente, vai a Gestire le impostazioni di sicurezza degli utenti.

Consentire i codici di sicurezza: i codici di sicurezza consentono agli utenti di continuare a lavorare quando i token di sicurezza non sono supportati. Poiché i codici di sicurezza sono meno efficaci dei token per la verifica in due passaggi, ti consigliamo di riservarne l'uso per i soli utenti che devono utilizzare browser, dispositivi o app che non supportano i token. 

I codici di sicurezza sono diversi dai codici monouso generati da app come Google Authenticator. Per generare un codice di sicurezza, l'utente deve utilizzare un dispositivo in cui può usare il proprio token di sicurezza. Per generare il codice di sicurezza, l'utente deve toccare il token di sicurezza. La durata della validità dei codici di sicurezza è di 5 minuti.

Scenario di esempio: Paola utilizza un'app finanziaria che funziona solo su un browser datato e non supporta i token di sicurezza. 

  1. Anna apre il browser datato e prova ad accedere all'app finanziaria.
  2. Segue le istruzioni per ricevere un codice di sicurezza monouso su un dispositivo in cui può utilizzare il token di sicurezza,
  3. quindi apre Chrome sul suo laptop e accede al suo Account Google. È possibile che le venga richiesto di utilizzare il token di sicurezza se è la prima volta che accede al suo Account Google su quel browser.
  4. Anna va all'indirizzo https://g.co/sc
  5. e seleziona il token di sicurezza sul suo laptop per generare un codice di sicurezza. Copia quindi il codice di sicurezza e lo utilizza per completare l'accesso all'app sul browser.

Aggiungere token di sicurezza per un utente: se l'utente non è ancora registrato per la verifica in due passaggi, viene registrato automaticamente nel momento in cui aggiungi il suo token di sicurezza. Vedi Gestire le impostazioni di sicurezza degli utenti.

Attivare l'applicazione forzata

Seleziona un metodo di applicazione e un'impostazione.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Sicurezza quindi Verifica in due passaggi.

  3. A destra, seleziona un'unità organizzativa o un gruppo di eccezione.
  4. Fai clic su Consenti agli utenti di attivare la verifica in due passaggi.
  5. In Applicazione forzata, scegli quando deve essere avviata l'applicazione forzata della verifica in due passaggi.
    • Attivo: si avvia immediatamente.
    • Attiva applicazione dalla data: seleziona la data di inizio. Quando gli utenti eseguono l'accesso, verranno visualizzati dei promemoria per la registrazione alla verifica in due passaggi.
  6. Imposta un Periodo di registrazione dei nuovi utenti.

    In questo modo, darai ai nuovi dipendenti il tempo di registrarsi prima che la verifica in due passaggi sia applicata forzatamente ai loro account. Durante questo periodo, gli utenti possono accedere usando solo le loro password.

    Seleziona un periodo di tempo compreso tra 1 giorno e 6 mesi. Si tratta del tempo di cui dispongono gli utenti per registrarsi alla verifica in due passaggi dopo il loro primo accesso.
  7. Nell'impostazione Frequenza, fai clic su Consente all'utente di ritenere attendibile il dispositivo (facoltativo).

    Consente agli utenti di evitare di ripetere la verifica in due passaggi sui dispositivi attendibili. La prima volta che un utente esegue l'accesso da un nuovo dispositivo, può selezionare una casella per contrassegnare il dispositivo come attendibile. Successivamente, all'utente non verrà chiesto di eseguire la verifica in due passaggi su quel dispositivo, a meno che non ne cancelli i cookie o revochi il dispositivo, oppure se tu reimposti i cookie di accesso dell'utente.

     Non è consigliato consentire agli utenti di non eseguire la verifica in due passaggi sui dispositivi attendibili, a meno che non passino spesso da un dispositivo a un altro. Se non consenti i dispositivi attendibili, gli utenti devono superare la verifica in due passaggi ogni volta che eseguono l'accesso. 

Opzioni per i token di sicurezza 

Aggiungi un metodo di verifica di backup nel caso in cui gli utenti non abbiano accesso al proprio token di sicurezza o debbano accedere a un'app che non supporta i token di sicurezza. 

  1. Imposta il Periodo di tolleranza per la sospensione del criterio di verifica in due passaggi.

    Consenti agli utenti di accedere con un codice di verifica di backup generato da te (utile quando l'utente perde il proprio token di sicurezza). Seleziona la durata del periodo di tolleranza, che inizia quando generi il codice di verifica. Ulteriori informazioni

  2.  Nelle opzioni relative ai codici di sicurezza, indica se l'utente può utilizzare i codici per accedere. 
    • Non consentire agli utenti di generare codici di sicurezza: gli utenti non possono generare codici di sicurezza (opzione predefinita se hai effettuato la registrazione a G Suite prima del 20 novembre 2019).
    • Consenti i codici di sicurezza senza accesso remoto: gli utenti possono generare codici di sicurezza e utilizzarli sullo stesso dispositivo o rete locale (NAT o LAN) (opzione predefinita se hai effettuato la registrazione a G Suite il 20 novembre 2019 o in una data successiva.).
    • Consenti i codici di sicurezza con l'accesso remoto: gli utenti possono generare codici di sicurezza da utilizzare su altri dispositivi o reti, ad esempio quando accedono a un server remoto o a una macchina virtuale.
È stato utile?
Come possiamo migliorare l'articolo?