Weryfikacja dwuetapowa

Wdrażanie weryfikacji dwuetapowej

Zarówno Ty, jak i Twoi użytkownicy macie do odegrania ważną rolę w konfigurowaniu weryfikacji dwuetapowej. 

Krok 1. Powiadom użytkowników o konieczności wdrożenia weryfikacji dwuetapowej (obowiązkowy)

Zanim weryfikacja dwuetapowa zostanie wdrożona, poinformuj użytkowników o planach firmy względem nich:

  • Opisz, czym jest weryfikacja dwuetapowa i dlaczego jest używana w firmie.
  • Określ, czy weryfikacja dwuetapowa jest opcjonalna, czy obowiązkowa.
  • W razie potrzeby podaj termin, do którego użytkownicy muszą włączyć weryfikację dwuetapową.
  • Sprecyzuj, czy weryfikacja dwuetapowa jest obowiązkowa, czy zalecana.

Krok 2. Skonfiguruj podstawową weryfikację dwuetapową (obowiązkowy)

Wybierz ustawienie konsoli administracyjnej Google, które umożliwia użytkownikom włączenie weryfikacji dwuetapowej. Ustawienie to odnosi się do całej organizacji najwyższego poziomu, na którą może składać się wiele domen.

W organizacjach najwyższego poziomu utworzonych później niż w grudniu 2016 r. to ustawienie konsoli administracyjnej jest włączone domyślnie. Jest ono również domyślnie włączone na kontach utworzonych w nowszych organizacjach najwyższego poziomu. Kiedy weryfikacja dwuetapowa jest włączona, użytkownicy mogą skonfigurować jej metodę.

Zezwalanie użytkownikom w organizacjach najwyższego poziomu na włączanie weryfikacji dwuetapowej

  1. Zaloguj się na Konsola administracyjna Google.

    Użyj swojego konta administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej konsoli administracyjnej kliknij Zabezpieczenia a potem Ustawienia podstawowe.

    Jeśli na stronie głównej nie widzisz opcji Zabezpieczenia, kliknij Więcej opcji u dołu.

  3. W sekcji Weryfikacja dwuetapowa zaznacz pole Zezwalaj użytkownikom na włączanie weryfikacji dwuetapowej.
    Każdy użytkownik w Twojej organizacji najwyższego poziomu może włączyć weryfikację dwuetapową i skonfigurować dowolną metodę tej weryfikacji.
  4. W prawym dolnym rogu strony kliknij Zapisz.

Prośba do użytkowników o skonfigurowanie weryfikacji dwuetapowej

  1. Poproś użytkowników o skonfigurowanie weryfikacji dwuetapowej. W tym celu muszą oni wykonać czynności podane na stronie Włączanie weryfikacji dwuetapowej.
  2. Podaj instrukcje korzystania z różnych metod weryfikacji dwuetapowej:

Krok 3. Wymuś weryfikację dwuetapową (opcjonalny)


Wymuszenie weryfikacji dwuetapowej powoduje, że staje się ona obowiązkowa dla Twoich użytkowników. Użytkownicy, którzy nie skonfigurowali weryfikacji dwuetapowej, nie będą mogli się zalogować na swoje konta.

Wybieranie zaawansowanych ustawień weryfikacji dwuetapowej

  1. Zaloguj się na Konsola administracyjna Google.

    Użyj swojego konta administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej konsoli administracyjnej kliknij Zabezpieczenia a potem Ustawienia podstawowe.

    Jeśli na stronie głównej nie widzisz opcji Zabezpieczenia, kliknij Więcej opcji u dołu.

  3. W sekcji Weryfikacja dwuetapowa sprawdź, czy została zaznaczona opcja Zezwalaj użytkownikom na włączanie weryfikacji dwuetapowej. Jeśli nie, zaznacz ją i kliknij Zapisz.
  4. Kliknij Otwórz ustawienia zaawansowane, aby wymuszać weryfikację dwuetapową.

Sprawdzanie, czy użytkownik skonfigurował weryfikację dwuetapową

Zanim włączysz wymuszanie, sprawdź, czy użytkownicy skonfigurowali weryfikację dwuetapową. Użytkownicy, którzy tego nie zrobili, nie będą mogli zalogować się na swoje konta.
  1. Na stronie „Zaawansowane ustawienia zabezpieczeń” z prawej strony sekcji Wymuszanie kliknij raport o wdrożeniu.
  2. Sprawdź w raporcie, którzy użytkownicy nie skonfigurowali weryfikacji dwuetapowej.
    Dane te mogą pojawiać się z opóźnieniem do 48 godzin. Aby sprawdzić stan weryfikacji dwuetapowej każdego użytkownika w czasie rzeczywistym, zobacz Zarządzanie ustawieniami zabezpieczeń konta użytkownika.
  3. Poinformuj użytkowników, którzy nie skonfigurowali weryfikacji dwuetapowej, że muszą to zrobić, aby nie utracić dostępu do konta.

Włączanie wymuszania weryfikacji dwuetapowej

Wymuś weryfikację dwuetapową na kontach administratorów i ważnych użytkowników. Informacje znajdziesz tutaj: Sprawdzone metody weryfikacji dwuetapowej.

Ustawienie konsoli administracyjnej Google, które umożliwia Twoim użytkownikom włączenie weryfikacji dwuetapowej, odnosi się do całej organizacji najwyższego poziomu. Możesz jednak zdecydować, czy chcesz wymusić weryfikację dwuetapową u wszystkich użytkowników w organizacji najwyższego poziomu, czy tylko u użytkowników z konkretnych jednostek organizacyjnych.

  1. Na stronie „Zaawansowane ustawienia zabezpieczeń”, po lewej stronie wybierz jednostkę organizacyjną, w której chcesz wymusić weryfikację dwuetapową.
    • Jeśli nie wybierzesz żadnej jednostki organizacyjnej, Twoje ustawienia wymuszania zostaną zastosowane do całej organizacji najwyższego poziomu.
    • Jeśli chcesz, by w jednostce organizacyjnej były używane te same ustawienia, co w jej organizacji nadrzędnej, w prawym górnym rogu kliknij Użyj ustawień dziedziczonych.
  2. Wybierz, kiedy rozpocząć wymuszanie weryfikacji dwuetapowej:
    • Włącz wymuszanie od określonej daty – wymuszanie rozpocznie się z określoną przez Ciebie datą.
    • Włącz wymuszanie teraz – wymuszanie rozpocznie się od razu.
  3. Jeśli wybierasz wymuszanie weryfikacji dwuetapowej od określonej daty, kliknij ją w kalendarzu. Po zalogowaniu się na swoje konta użytkownicy zobaczą przypomnienia na temat konieczności skonfigurowania weryfikacji dwuetapowej.
  4. Kliknij Zapisz.

Zabezpieczenie nowych użytkowników przed utratą dostępu do konta

Jeśli stosujesz wymuszanie weryfikacji dwuetapowej, daj swoim pracownikom czas na skonfigurowanie jej, zanim wymuszenie zostanie zastosowane na ich kontach. Możesz to zrobić, definiując okres rejestracji nowego użytkownika. W tym okresie użytkownik będzie mógł logować się przy użyciu samego hasła.
  1. Na stronie „Zaawansowane ustawienia zabezpieczeń” obok opcji Okres rejestracji nowego użytkownika wybierz okres od jednego dnia do sześciu miesięcy.
    W ten sposób określisz, ile czasu nowy użytkownik ma na skonfigurowanie weryfikacji dwuetapowej.
  2. Kliknij Zapisz.

Krok 4. Wybierz opcje wymuszenia (opcjonalnie)

Wybieranie metody weryfikacji dwuetapowej, którą będziesz wymuszać 

Domyślna metoda wymuszania weryfikacji dwuetapowej to „Dowolna”. Zalecamy korzystanie z kluczy bezpieczeństwa, które są najpewniejszą metodą weryfikacji dwuetapowej. Informacje znajdziesz tutaj: Sprawdzone metody weryfikacji dwuetapowej.

  1. Na stronie „Zaawansowane ustawienia zabezpieczeń” wybierz metodę w sekcji Dozwolone metody weryfikacji dwuetapowej:
    • Dowolna – użytkownik może skonfigurować dowolną metodę weryfikacji dwuetapowej.
    • Dowolne oprócz kodów weryfikacyjnych przekazywanych przez SMS-y lub połączenia głosowe – użytkownik może skonfigurować dowolną metodę weryfikacji dwuetapowej oprócz otrzymywania kodów na telefon.
    • Tylko klucz bezpieczeństwa – użytkownik musi skonfigurować klucz bezpieczeństwa.
  2. Kliknij Zapisz.
Zapewnianie płynnego przejścia na zasady wymuszania 

Gdy wymusisz weryfikację dwuetapową, konta użytkowników bez zgodnych metod weryfikacji dwuetapowej przestaną być dostępne po wygaśnięciu aktywnych sesji. Musisz pomóc tym użytkownikom w odzyskaniu dostępu do kont. Przykładowe scenariusze:

  • ​Zmieniasz zasady weryfikacji dwuetapowej – teraz nie będzie opcjonalna, a wymuszana.
  • ​​Weryfikacja dwuetapowa jest wymuszana, ale użytkownicy mogli do tej pory wybrać dowolną metodę. Zmieniasz ustawienie, aby zezwolić na dowolną metodę oprócz otrzymywania kodów weryfikacyjnych na telefon przy użyciu SMS-ów lub połączeń głosowych.
  • ​​Zmieniasz zasady weryfikacji dwuetapowej – teraz nie będzie opcjonalna, nie będzie można używać dowolnej metody ani nie będzie można używać dowolnej metody oprócz SMS-a lub połączenia głosowego. Będzie wymagane używanie kluczy bezpieczeństwa jako jedynej metody weryfikacji dwuetapowej.

Informowanie o planach wymuszenia weryfikacji dwuetapowej

Zanim ustawisz zasady wymuszania, poinformuj użytkowników o tych planach i dacie wprowadzenia zmian. Daj im czas na dodanie metody weryfikacji dwuetapowej. W przypadku nowych pracowników ustaw okres rejestracji nowych użytkowników zgodnie z opisem w sekcji „Zabezpieczenie nowych użytkowników przed utratą dostępu do konta”.

Jeśli użytkownicy nie spełnią wymagań do daty wymuszenia

Niektórzy użytkownicy mogą nie ustawić odpowiedniej metody weryfikacji dwuetapowej przed datą wymuszenia. Możesz dać im więcej czasu na ustawienie jej, umieszczając ich w grupie wyjątków, w przypadku której weryfikacja dwuetapowa nie będzie wymuszana, dopóki użytkownicy nie dodadzą metody weryfikacji dwuetapowej. Zobacz Unikanie blokowania kont w przypadku wymuszenia weryfikacji dwuetapowej.

Chociaż to obejście umożliwia użytkownikom logowanie się, nie jest zalecane jako standardowa metoda postępowania. Konta użytkowników nie są chronione przez weryfikację dwuetapową, gdy znajdują się w grupie wyjątków.

Wymuszanie opcji „Dowolne oprócz kodów weryfikacyjnych przekazywanych przez SMS-y lub połączenia głosowe”

Jeśli użytkownicy mogą obecnie korzystać z dowolnej metody weryfikacji dwuetapowej, prawdopodobnie niektórzy z nich wybrali SMS-y i połączenia głosowe jako jedyną metodę weryfikacji. Użytkownicy nie będą mogli zalogować się przy użyciu numeru telefonu, na który w przeszłości otrzymywali kody bezpieczeństwa weryfikacji dwuetapowej przez SMS-a lub połączenie głosowe. Nie będą w stanie dodać nowego numeru telefonu.

Unikanie zablokowania tym użytkownikom dostępu do kont:

  • Zanim ustawisz te zasady, poproś użytkowników, aby dodali inną metodę weryfikacji dwuetapowej i zaczęli jej używać. Poinformuj ich też, że po określonej dacie wymuszenia nie będą mogli otrzymywać kodów bezpieczeństwa weryfikacji dwuetapowej na telefon.
  • Użyj zdarzenia kontroli logowania login_verification, aby sprawdzić, którzy użytkownicy logują się przy użyciu kodów weryfikacji dwuetapowej otrzymywanych przez SMS-a lub połączenie głosowe. Jeśli parametr login_challenge_method ma wartość idv_preregistered_phone, oznacza to, że użytkownik uwierzytelnił się przy użyciu kodu bezpieczeństwa otrzymanego przez SMS-a lub połączenie głosowe.

Wymuszanie opcji „Tylko klucz bezpieczeństwa”

Zanim wymusisz te zasady, sprawdź, czy użytkownicy skonfigurowali już klucze bezpieczeństwa w swoich ustawieniach zabezpieczeń:

  • ​W sekcji Tylko klucz bezpieczeństwa kliknij użytkownicy zarejestrowali klucze bezpieczeństwa, aby wygenerować listę użytkowników.
  • Aby zobaczyć ustawienia użytkownika, kliknij jego nazwę na liście.
Zezwalanie na kody zapasowe w sytuacji utraty kluczy bezpieczeństwa przez użytkowników
Jeśli jako jedyną dozwoloną metodę weryfikacji dwuetapowej wybierzesz klucze bezpieczeństwa, a użytkownik utraci taki klucz, będzie potrzebował alternatywnego sposobu zalogowania się, zanim uzyska nowy. Możesz pozwolić użytkownikom na używanie kodów zapasowych przez określony czas.
  1. Na stronie „Zaawansowane ustawienia zabezpieczeń” obok opcji Okres prolongaty zawieszenia zasad weryfikacji dwuetapowej:, wybierz okres od jednego dnia do jednego tygodnia.
    Okres prolongaty rozpocznie się po wygenerowaniu przez Ciebie kodów zapasowych.
  2. Kliknij Zapisz.
Zezwalanie na kody zabezpieczające, gdy klucze bezpieczeństwa nie są obsługiwane 
Jeśli wymusisz stosowanie kluczy bezpieczeństwa, niektórzy użytkownicy mogą mieć problemy z korzystaniem z niektórych aplikacji. Użytkownicy nie mogą używać danych logowania Google do logowania się w aplikacjach internetowych działających na platformach, które nie obsługują kluczy bezpieczeństwa. Platformy te obejmują mobilny system iOS oraz przeglądarki Safari i Internet Explorer. Oto przykłady:
  • Firmowa aplikacja internetowa działająca tylko w przeglądarce, która nie obsługuje kluczy bezpieczeństwa
    Paulina pracuje w dziale finansów i korzysta z finansowej aplikacji internetowej, która działa tylko w przeglądarce Internet Explorer 8.0. Ponieważ stosowanie kluczy bezpieczeństwa jest wymuszone, nie może ona zalogować się w aplikacji internetowej przy użyciu konta Google.
  • Początkowa konfiguracja iPhone'a
    Norbert pracuje w dziale sprzedaży i ma nowego iPhone'a. Aby go skonfigurować, musi zalogować się za jego pomocą na koncie Google.  Przeglądarka Safari i mobilna wersja iOS nie obsługują kluczy bezpieczeństwa, więc nie może on zalogować się w celu skonfigurowania iPhone'a.

Włączanie kodów zabezpieczających

Gdy platforma nie obsługuje kluczy bezpieczeństwa, możesz zezwolić użytkownikom na zalogowanie się i uwierzytelnienie przy użyciu specjalnego jednorazowego kodu zabezpieczającego. Użytkownicy mogą wygenerować ten kod tylko na urządzeniu obsługującym klucze bezpieczeństwa.

  1. Na stronie Zaawansowane ustawienia zabezpieczeń w sekcji Dozwolone metody weryfikacji dwuetapowej, Tylko klucz bezpieczeństwa wybierz Do weryfikacji dwuetapowej użytkownicy mogą używać kodu zabezpieczającego z https://g.co/sc zamiast kluczy bezpieczeństwa.
  2. Kliknij Zapisz.

Jak działają kody zabezpieczające

Kody zabezpieczające różnią się od kodów jednorazowych generowanych przez aplikacje, takie jak Google Authenticator. Aby wygenerować kod zabezpieczający, użytkownik potrzebuje urządzenia, na którym może użyć klucza bezpieczeństwa. Aby wygenerować kod zabezpieczający, użytkownik dotyka klucza bezpieczeństwa.

Kiedy zezwolić na kody zabezpieczające

Gdy wymuszasz stosowanie kluczy bezpieczeństwa, zezwolenie na kody zabezpieczające pozwala użytkownikom na wykonywanie pracy, gdy klucze bezpieczeństwa nie są obsługiwane. Jednak ponieważ kody zabezpieczające nie są tak silne jak klucze bezpieczeństwa weryfikacji dwuetapowej, zezwalaj na kody zabezpieczające tylko użytkownikom, którzy muszą pracować z platformami i aplikacjami nieobsługującymi kluczy bezpieczeństwa.

Sposób użytkowania

Oto jak Paulina z działu finansów może korzystać z finansowej aplikacji internetowej działającej w przeglądarce Internet Explorer 8.0.

  1. Paulina loguje się na laptopie przy użyciu danych logowania Google.
  2. Aby uwierzytelnić swoją tożsamość, wkłada klucz bezpieczeństwa do portu USB laptopa lub dotyka już włożonego klucza.
  3. Paulina uruchamia przeglądarkę Internet Explorer 8.0 i próbuje zalogować się w aplikacji finansowej.
  4. Zgodnie z instrukcjami pobiera jednorazowy kod zabezpieczający na urządzenie, na którym może używać klucza bezpieczeństwa.
  5. Paulina uruchamia Chrome na laptopie i otwiera stronę https://g.co/sc.
  6. Dotyka klucza bezpieczeństwa, aby wygenerować kod zabezpieczający.
  7. Kopiuje kod zabezpieczający i przy jego użyciu kończy logowanie się w aplikacji internetowej w przeglądarce Internet Explorer.

Obecnie klucze bezpieczeństwa są obsługiwane tylko przez przeglądarki Chrome i Firefox. Jednorazowe kody zabezpieczające są ważne przez 5 minut.

Pozwalanie użytkownikom na unikanie powtórnej weryfikacji dwuetapowej na zaufanych urządzeniach

Zezwalanie użytkownikom na unikanie weryfikacji dwuetapowej na zaufanych urządzeniach nie jest zalecane, chyba że Twoi użytkownicy często zmieniają urządzenia.

  1. Na stronie „Zaawansowane ustawienia zabezpieczeń” wybierz jedną z opcji w sekcji Częstotliwość weryfikacji dwuetapowej:
    • Jeśli wybierzesz Zezwalaj użytkownikom na oznaczenie urządzenia jako zaufanego podczas weryfikacji dwuetapowej, przy pierwszym logowaniu na nowym urządzeniu użytkownik będzie mógł zaznaczyć pole pozwalające pomijać weryfikację dwuetapową na tym urządzeniu. Użytkownik nie będzie musiał więcej przeprowadzać weryfikacji dwuetapowej na tym urządzeniu, chyba że wyczyści pliki cookie, unieważni urządzenie na swoim koncie lub Ty zresetujesz pliki cookie logowania użytkownika.
    • Nie zezwalaj użytkownikom na oznaczenie urządzenia jako zaufanego podczas weryfikacji dwuetapowej. Użytkownik musi przejść weryfikację dwuetapową podczas każdego logowania.
  2. Kliknij Zapisz.

Krok 5. Zarządzaj kluczami bezpieczeństwa (opcjonalne)

Dodawanie klucza bezpieczeństwa

Do konta użytkownika możesz dodać klucz bezpieczeństwa. Jeśli użytkownik nie włączył weryfikacji dwuetapowej, zostanie ona włączona automatycznie w momencie, gdy nadasz mu klucz bezpieczeństwa. Patrz: Zarządzanie ustawieniami zabezpieczeń konta użytkownika

 

Czy to było pomocne?
Jak możemy ją poprawić?