兩步驟驗證

部署兩步驟驗證功能

為完成兩步驟驗證設定,您和您的使用者須分別執行必要的操作。

步驟 1:通知使用者兩步驟驗證部署作業的相關資訊 (必要)

部署兩步驟驗證功能前,請先向使用者說明貴公司的計畫,包括:

  • 兩步驟驗證的詳細說明及貴公司採用這個驗證方式的原因
  • 兩步驟驗證是否為必要程序
  • 如有需要,請向使用者告知兩步驟驗證的啟用期限
  • 哪種兩步驟驗證方法為必要做法,哪種為建議措施

詳情請參閱兩步驟驗證的最佳做法

步驟 2:設定基本兩步驟驗證 (必要)

接下來,請讓使用者開啟兩步驟驗證功能。根據預設,使用者可以開啟兩步驟驗證功能,並採用任何驗證方法 (對於 2016 年 12 月「前」建立的 G Suite 帳戶,系統會預設關閉兩步驟驗證功能)。

套用兩步驟驗證設定

您可以為機構單位和「例外群組」(機構單位內的一群使用者) 自訂兩步驟驗證設定,例如要求銷售機構單位中的一小群團隊成員使用安全金鑰。

例外群組的運作方式

  • 您可以將一個例外群組指派給特定機構單位。
  • 例外群組中的使用者必須隸屬於該機構單位。
  • 兩步驟驗證設定會套用至例外群組中的使用者,不會套用至群組地址或巢狀群組。
  • 透過管理控制台、Groups API 或 Directory Sync (而非 Google 網路論壇) 建立群組。

為了方便辨識,您可以在例外群組的名稱中加入機構單位名稱 (例如 exgrp_<機構單位名稱>)。

 

允許使用者開啟兩步驟驗證功能
  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [安全性] 接下來 [兩步驟驗證]

  3. 在左側選取所需機構單位或例外群組。
  4. 允許使用者開啟兩步驟驗證功能及使用任何驗證方法,但目前不強制執行兩步驟驗證。
    • 勾選 [允許使用者開啟兩步驟驗證功能]
    • 依序選取 [強制執行] > [停用]
  5. 按一下 [儲存]
請使用者註冊兩步驟驗證功能
  1. 請使用者按照開啟兩步驟驗證功能一文的操作說明註冊兩步驟驗證功能。
  2. 提供註冊兩步驟驗證方法的操作說明:
追蹤使用者的註冊情形

透過報告評估及追蹤使用者註冊兩步驟驗證功能的情形。

  • 如要確認使用者的註冊情形、強制執行狀態和安全金鑰數量,請依序前往 [報告] > [使用者報告] > [安全性] (依序點選「設定」圖示 "" 接下來 [設定],即可選取 [已註冊的安全金鑰數])。瞭解詳情
  • 檢查個別使用者的設定和即時狀態。瞭解詳情
  • 如要查看註冊趨勢數據匯報,請依序前往 [報告] > [應用程式報告] > [帳戶]瞭解詳情

  • 找出未採用兩步驟驗證功能的機構單位和群組。瞭解詳情
     

步驟 3:強制執行兩步驟驗證 (選用)

管理員可以視需要為使用者強制執行兩步驟驗證。

開啟強制執行設定之前,請先確認使用者已註冊兩步驟驗證功能。假如使用者未註冊這項功能,就無法登入自己的帳戶。

確保強制執行政策的轉換作業能夠順利進行

強制執行兩步驟驗證時,如果使用者沒有可用的兩步驟驗證方法,等到目前的工作階段到期,使用者就無法登入帳戶。舉例來說,如果您原本允許使用任何方式進行兩步驟驗證,但後來規定必須使用安全金鑰,您就必須協助使用者進行帳戶救援程序,他們才能登入。

告知使用者強制執行兩步驟驗證的規畫

設定強制執行政策前,請先告知使用者相關規畫和強制執行日期,讓他們有時間新增兩步驟驗證方法。如果您有新員工,請為對方設定新使用者註冊期限

如果使用者未於強制執行日期前按照相關規定操作

部分使用者可能並未在強制執行日期之前設定必要的兩步驟驗證方法。

如要為使用者提供額外的註冊時間,請將他們加入不會強制執行兩步驟驗證的例外群組。雖然這個解決方法可讓使用者登入帳戶,我們還是不建議當成標準做法。瞭解如何避免帳戶在強制執行兩步驟驗證後遭到鎖定

選擇要強制執行的兩步驟驗證方法

強制執行兩步驟驗證時,預設的驗證方法是「不限」。建議您使用安全金鑰,這是最安全的兩步驟驗證方法。進一步瞭解兩步驟驗證的最佳做法

強制執行方式

  • 不限:使用者可以設定任何兩步驟驗證方法。
  • 透過簡訊或語音來電之外的其他方式接收驗證碼:使用者無法透過手機接收兩步驟驗證碼,但可以設定此方式以外的任何兩步驟驗證方法。
  • 僅限安全金鑰:使用者必須設定安全金鑰。

強制執行上述方式時的注意事項:

透過簡訊或語音來電之外的其他方式接收驗證碼

如果您目前允許任何兩步驟驗證方法,可能會有使用者將簡訊和語音來電做為唯一的驗證方法。如何避免這些使用者帳戶遭到鎖定:

  • 在強制執行設定生效前,請使用者開始採用其他兩步驟驗證方法。此外,也要通知他們在強制執行日期後,將無法透過手機取得兩步驟驗證碼。
  • 透過 login_verification「登入稽核」活動事件,追蹤哪些使用者利用簡訊或語音來電提供的兩步驟驗證碼登入帳戶。如果 login_challenge_method 參數的值為 idv_preregistered_phone,表示使用者是透過簡訊或語音驗證碼進行身分驗證。

僅限安全金鑰

強制使用安全金鑰前,請先檢閱帳戶報告,找出設定安全金鑰的使用者 (這份報告的資料最多可能會有 48 小時的延遲時間)。如要查看個別使用者的兩步驟驗證即時註冊狀態,請參閱管理使用者的安全性設定

您也可以允許使用者透過安全碼登入,這樣一來,即使系統不支援安全金鑰,使用者仍可登入帳戶。使用安全碼進行兩步驟驗證的可靠性不如安全金鑰,因此建議您僅在使用者必須使用不支援安全金鑰的瀏覽器、裝置或應用程式時,才允許他們使用安全碼。

安全碼不同於 Google Authenticator 這類應用程式產生的一次性代碼。如要產生安全碼,使用者應在支援安全金鑰的裝置上輕觸安全金鑰。安全碼的有效期限是 5 分鐘。

範例情境:小莉使用的財務應用程式只能在舊版瀏覽器上執行,而且不支援安全金鑰。

  1. 小莉開啟舊版瀏覽器,並嘗試登入財務應用程式。
  2. 依照提示,在支援安全金鑰的裝置取得一次性安全碼。
  3. 在筆記型電腦上開啟 Chrome 並登入 Google 帳戶。如果小莉之前從未在這個瀏覽器上登入她的 Google 帳戶,系統可能會要求她輸入安全金鑰。
  4. 前往 https://g.co/sc。
  5. 在筆記型電腦上輕觸安全金鑰,藉此產生安全碼。接著複製這組安全碼,用來完成瀏覽器的應用程式登入程序。

為使用者新增安全金鑰:如果使用者尚未開啟兩步驟驗證功能,您只要為對方註冊安全金鑰,系統就會自動為他們註冊這項功能。進一步瞭解管理使用者的安全性設定

開啟強制執行設定

選取強制執行方式和設定。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [安全性] 接下來 [兩步驟驗證]

  3. 在左側選取所需機構單位或例外群組。
  4. 按一下 [允許使用者開啟兩步驟驗證功能]
  5. 在「強制執行」下方,選擇要開始強制執行兩步驟驗證的時間。
    • 啟用:立即開始。
    • 開啟「強制執行開始日期」設定:選取開始日期。系統會在使用者登入時提醒他們註冊兩步驟驗證功能。
  6. 設定「新使用者註冊期限」。

    預留一些時間,讓新員工在自己的帳戶套用強制執行設定之前完成註冊程序。使用者在期限內只要使用密碼即可登入。

    可選取的時間長度最短為 1 天,最長為 6 個月。新使用者首次成功登入後,必須在這個期限之前註冊兩步驟驗證功能。
  7. (選用) 在「頻率」設定中,按一下 [允許使用者信任裝置]

    允許使用者在信任的裝置上不必重複進行兩步驟驗證。首次透過新裝置登入時,使用者可以勾選相關方塊信任裝置。往後除非使用者清除 Cookie、撤銷裝置,或者您重設使用者的登入 Cookie,否則該裝置不會提示使用者進行兩步驟驗證。

    如果您的使用者不常變換使用的裝置,則不建議您讓使用者在信任的裝置上跳過兩步驟驗證。一旦您不允許信任的裝置,使用者每次登入時都必須進行兩步驟驗證。

安全金鑰選項

新增備用驗證方法,以免使用者無法存取安全金鑰,或者需要登入不支援安全金鑰的應用程式。

  1. 設定「兩步驟驗證政策停權寬限期」

    允許使用者透過您為他們產生的備用驗證碼登入 (當使用者遺失安全金鑰時可以派上用場),並選取寬限期的長度。寬限期會從您產生驗證碼的時候起算。瞭解詳情

  2. 在「安全碼」部分中,選擇是否要允許使用者透過安全碼登入。 
    • 禁止使用者產生安全碼:使用者無法產生安全碼 (如果您在 2019 年 11 月 20 日之前註冊 G Suite,這就是您的預設設定)。
    • 允許使用沒有遠端存取權的安全碼:使用者可產生適用於同一部裝置或區域網路 (NAT 或 LAN) 的安全碼 (如果您在 2019 年 11 月 20 日當天或之後註冊 G Suite,這就是您的預設設定)。
    • 允許使用具備遠端存取權的安全碼:使用者可產生適用於各種裝置或網路 (例如存取遠端伺服器或虛擬機器時) 的安全碼。
這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題