Двухэтапная аутентификация

Развертывание двухэтапной аутентификации

Вы и ваши пользователи играете важную роль в настройке двухэтапной аутентификации.

Шаг 1. Уведомите пользователей о развертывании двухэтапной аутентификации (обязательно)

Расскажите пользователям о предстоящем развертывании:

  • Объясните, что такое двухэтапная аутентификация и почему компания ее использует.
  • Укажите, будет ли она обязательной.
  • Если необходимо, сообщите дату, до которой пользователям нужно включить двухэтапную аутентификацию.
  • Укажите, какой способ двухэтапной аутентификации является обязательным или рекомендованным.

Подробнее…

Шаг 2. Настройте базовые параметры двухэтапной аутентификации (обязательно)

Разрешите пользователям включать двухэтапную аутентификацию. По умолчанию пользователи могут включить ее и выбрать любой способ подтверждения. В аккаунтах G Suite, созданных до декабря 2016 года, двухэтапная аутентификация по умолчанию отключена.

Как применить настройки двухэтапной аутентификации

Вы можете задать настройки двухэтапной аутентификации для организационных подразделений и групп исключений – групп пользователей в организационном подразделении. Например, можно включить обязательное использование электронных ключей для небольшой команды в отделе продаж.

Как работают группы исключений:

  • Организационному подразделению можно назначить одну группу исключений.
  • Участники такой группы должны принадлежать к организационному подразделению.
  • Настройки двухэтапной аутентификации применяются к пользователям в группе исключений, а не к адресам группы или вложенным группам.
  • Такие группы необходимо создавать в консоли администратора (а не в Google Группах) с помощью Groups API или Directory Sync.

Для удобства можно указывать организационное подразделение в названиях групп исключений (например, гр_искл_орг_подразд).

 

Как разрешить пользователям включать двухэтапную аутентификацию
  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасность а затем Двухэтапная аутентификация.

  3. Слева выберите организационное подразделение или группу исключения.
  4. Разрешите пользователям включать двухэтапную аутентификацию и использовать любой способ подтверждения, но пока что не делайте ее обязательной.
    • Установите флажок Разрешить пользователям включать двухэтапную аутентификацию.
    • Выберите Принудительное применение > Выкл.
  5. Нажмите Сохранить.
Как уведомить пользователей о том, что они должны включить двухэтапную аутентификацию
  1. Попросите пользователей выполнить инструкции из статьи Как включить двухэтапную аутентификацию.
  2. Предоставьте инструкции по выбору способа двухэтапной аутентификации:
Как отслеживать статус включения двухэтапной аутентификации у пользователей 

В отчетах можно найти следующие сведения о статусе включения двухэтапной аутентификации у пользователей: 

  • Статус включения, статус принудительного применения и количество электронных ключей. Выберите Отчеты > Отчеты о пользователях > Безопасность (чтобы посмотреть количество электронных ключей, нажмите "Настройки" "" а затем Настройки и выберите "Аппаратные токены"). Подробнее…
  • Настройки и статус для отдельного пользователя (статус в реальном времени). Подробнее…
  • Сводка по включению двухэтапной аутентификации у пользователей.   Выберите Отчеты > Отчеты о приложениях > Аккаунты. Подробнее…

  • Организационные подразделения и группы, которые не используют двухэтапную аутентификацию. Подробнее…
     

Шаг 3. Включите принудительную двухэтапную аутентификацию (необязательно)

Администратор может включить для пользователей принудительную двухэтапную аутентификацию.

Прежде чем делать это, следует убедиться, что пользователи включили ее. Пользователи, которые не включили двухэтапную аутентификацию, не смогут войти в свои аккаунты.

Как подготовить пользователей к принудительному применению двухэтапной аутентификации

Если вы включите обязательную двухэтапную аутентификацию, то пользователи, у которых не настроен подходящий способ, не смогут войти в свои аккаунты по истечении срока действия активного сеанса. Например, вы решили перейти от двухэтапной аутентификации любым способом к обязательному использованию электронных ключей. В таком случае вам нужно будет помочь пользователям восстановить доступ к аккаунтам

Уведомите пользователей о включении принудительной двухэтапной аутентификации

Заблаговременно сообщите о том, что вы планируете сделать двухэтапную аутентификацию обязательной, и укажите дату ее включения. Дайте пользователям время настроить нужный способ. Задайте отсрочку применения двухэтапной аутентификации для новых пользователей.

Если пользователи не выберут способ двухэтапной аутентификации до даты ее принудительного включения

Некоторые пользователи могут не настроить нужный способ двухэтапной аутентификации до указанного вами срока.

Чтобы предоставить им дополнительное время на настройку, вы можете добавить их в группу исключений, для которой двухэтапная аутентификация не является обязательной. Этот способ рекомендуется применять в крайних случаях. Узнайте, как избежать проблем с доступом сотрудников к аккаунтам при обязательном использовании двухэтапной аутентификации.

Как выбрать способ двухэтапной аутентификации при ее включении

При включении обязательной двухэтапной аутентификации для способов ее применения по умолчанию устанавливается параметр "Любой". Рекомендуем использовать электронные ключи – это самый надежный способ двухэтапной аутентификации. Подробнее…

Способы обязательной двухэтапной аутентификации

  • Любой. Пользователи могут выбрать любой способ.
  • Любой, за исключением кодов подтверждения, передаваемых с помощью SMS или телефонного звонка. Пользователи могут выбрать любой способ, кроме получения кода по телефону.
  • Только электронный ключ. Пользователи могут использовать только электронный ключ.

Ниже приведены рекомендации по использованию этих способов.  

Любой способ, за исключением кодов подтверждения, передаваемых с помощью SMS или телефонного звонка

Если сейчас разрешено использовать любой способ двухэтапной аутентификации, вероятно, некоторые из ваших пользователей выбрали только один – код подтверждения, получаемый с помощью SMS или звонка. Чтобы они могли войти в свои аккаунты:

  • Заранее уведомите пользователей о необходимости настроить другой способ двухэтапной аутентификации. Также сообщите им, что после определенной даты они не смогут входить в аккаунт с помощью кода подтверждения, получаемого по телефону.
  • Узнайте, какие сотрудники используют для аутентификации код подтверждения, получаемый с помощью SMS или телефонного звонка. Для этого в журнале аудита входа в разделе login_verification найдите пользователей, у которых для параметра login_challenge_method установлено значение idv_preregistered_phone.

Только электронный ключ

Прежде чем включить обязательное использование электронных ключей, изучите отчеты об аккаунтах и определите пользователей, которые уже настроили электронные ключи (обновление этих данных может занять до 48 часов). Информацию о том, как посмотреть статус двухэтапной аутентификации для каждого пользователя в режиме реального времени, можно найти в статье Как управлять настройками безопасности пользователя.

Вы также можете разрешить использовать защитные коды, чтобы решить проблему доступа в ситуациях, когда электронные ключи не поддерживаются. По сравнению с электронными ключами защитные коды менее надежны. Их следует применять только для тех пользователей, чьи браузеры, устройства или приложения не поддерживают электронные ключи. 

Защитные коды отличаются от одноразовых кодов, генерируемых такими приложениями, как Google Authenticator. Защитный код может быть создан только на устройстве с поддержкой электронных ключей. Для получения защитного кода пользователю необходимо нажать на электронный ключ. Сгенерированные защитные коды действительны в течение 5 минут.

Пример: Мария использует финансовое приложение, которое работает только в устаревшем браузере и не поддерживает электронные ключи. 

  1. Мария запускает устаревший браузер, чтобы войти в приложение.
  2. Появляется запрос о создании одноразового защитного кода на устройстве с поддержкой электронного ключа.
  3. Мария запускает браузер Chrome на ноутбуке и входит в свой аккаунт Google. Если прежде она не входила в аккаунт в этом браузере, может появиться запрос на использование электронного ключа.
  4. Мария переходит по адресу https://g.co/sc.
  5. Она нажимает на электронный ключ, чтобы получить защитный код. Скопировав защитный код и вставив его в устаревший браузер, Мария завершает вход в приложение.

Добавление электронных ключей для пользователя автоматически включает для него двухэтапную аутентификацию, если это не было сделано ранее. Подробнее об управлении настройками безопасности пользователя

Как принудительно применить аутентификацию

Выберите способ принудительного применения аутентификации и настройте его.

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасность а затем Двухэтапная аутентификация.

  3. Слева выберите организационное подразделение или группу исключения.
  4. Нажмите Разрешить пользователям включать двухэтапную аутентификацию.
  5. В разделе Принудительное применение выберите время включения обязательной двухэтапной аутентификации.
    • Вкл.: принудительное применение начинает действовать сразу.
    • Включить обязательную двухэтапную аутентификацию с выбранной даты: выберите дату начала. При входе в аккаунт пользователи будут видеть напоминание о необходимости включить двухэтапную аутентификацию.
  6. Задайте значение для параметра Период включения двухэтапной аутентификации для новых пользователей .

    Так у новых пользователей будет время настроить двухэтапную аутентификацию до ее принудительного применения. В течение этого времени они могут входить в систему, используя только пароль.

    Задайте период от 1 дня до 6 месяцев. В течение этого времени новые пользователи должны включить двухэтапную аутентификацию после первого входа в аккаунт.
  7. При необходимости выберите для параметра Частота значение Разрешить пользователю добавлять устройство в список надежных.

    В этом случае пользователи не будут проходить двухэтапную аутентификацию при каждом входе в аккаунт на надежных устройствах. При входе в аккаунт с нового устройства пользователь сможет добавить его в список надежных. Пользователю больше не придется проходить двухэтапную аутентификацию на этом устройстве, если он не удалит файлы cookie и не отменит связь с устройством в своем аккаунте, а также если вы не сбросите файлы cookie сотрудника, использующиеся для входа.

     Мы не рекомендуем отключать двухэтапную аутентификацию на надежных устройствах. Исключением являются случаи, когда пользователям часто приходится работать с разными устройствами. Если вы запретите использовать надежные устройства, пользователю нужно будет проходить двухэтапную аутентификацию при каждом входе в аккаунт. 

Варианты использования электронных ключей 

Добавьте резервный способ подтверждения на случай, если у пользователя не будет доступа к электронному ключу или нужно будет войти в приложение, которое не поддерживает электронные ключи. 

  1. Задайте значение для параметра Отсрочка до включения двухэтапной аутентификации.

    Разрешите пользователям выполнять временный вход с кодом подтверждения, чтобы они могли войти в аккаунт в том случае, если электронный ключ был утерян. Укажите длительность отсрочки, которая начнется с момента создания кода подтверждения. Подробнее…

  2.  В разделе Защитные коды укажите, могут ли пользователи выполнять вход с помощью таких кодов. 
    • Не разрешать пользователям создавать защитные коды. Пользователи не могут создавать защитные коды. Если вы оформили подписку на G Suite до 20 ноября 2019 г., этот вариант задан по умолчанию.
    • Разрешить защитные коды без удаленного доступа. Пользователи могут создавать защитные коды и использовать их на том же устройстве или в локальной сети (NAT или LAN). Если вы оформили подписку на G Suite после 20 ноября 2019 г., этот вариант задан по умолчанию.
    • Разрешить защитные коды с удаленным доступом. Пользователи могут создавать защитные коды и использовать их на других устройствах и в других сетях, например для доступа к удаленному серверу или виртуальной машине.
Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
73010
false