兩步驟驗證

部署兩步驟驗證功能

為完成兩步驟驗證 (2SV) 設定,您和您的使用者須分別執行必要的操作。

步驟 1:通知使用者兩步驟驗證部署作業的相關資訊 (必要)

請於部署兩步驟驗證前,將貴公司的計劃通知使用者,包括:

  • 詳細說明兩步驟驗證和貴公司採用這個驗證方式的原因。
  • 指出兩步驟驗證是否為必要程序。
  • 如有必要,請告知使用者須啟用兩步驟驗證的日期。
  • 指出哪種兩步驟驗證方法為必要或建議措施。

步驟 2:設定基本兩步驟驗證 (必要)

請先在 Google 管理控制台選取允許使用者開啟兩步驟驗證的設定。這項設定會套用到整個頂層機構,其中可能包含多個網域。

如果是 2016 年 12 月之後建立的頂層機構,管理控制台中的兩步驟驗證設定會預設為開啟;針對在近期頂層機構中建立的帳戶,兩步驟驗證設定同樣會預設為開啟。只要開啟兩步驟驗證功能,使用者就可以開始設定兩步驟驗證方法。

允許頂層機構中的使用者開啟兩步驟驗證功能

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [安全性] 下一步 [基本設定]。

    您可能需要按一下首頁底部的 [更多控制項],才會看到 [安全性]。

  3. 勾選「兩步驟驗證」下方的 [允許使用者開啟兩步驟驗證功能]
    這樣一來,頂層機構中的所有使用者皆可開啟兩步驟驗證功能,並開始設定兩步驟驗證方法。
  4. 按一下右下角的 [儲存]

請使用者註冊兩步驟驗證功能

  1. 請使用者按照開啟兩步驟驗證功能一文的操作說明註冊兩步驟驗證功能。
  2. 提供註冊兩步驟驗證方法的操作說明:

步驟 3:強制執行兩步驟驗證 (選用)


強制執行兩步驟驗證後,使用者就一定要使用這項功能。假如使用者未註冊兩步驟驗證功能,就無法登入自己的帳戶。

選取進階兩步驟驗證設定

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [安全性] 下一步 [基本設定]。

    您可能需要按一下首頁底部的 [更多控制項],才會看到 [安全性]。

  3. 確認已勾選「兩步驟驗證」下方的 [允許使用者開啟兩步驟驗證功能]。如果未勾選的話,請勾選方塊,然後按一下 [儲存]
  4. 按一下 [前往進階設定啟用兩步驟驗證程序強制執行功能]。

確認使用者已註冊兩步驟驗證功能

開啟強制執行設定之前,請先確認使用者皆已註冊兩步驟驗證功能。假如使用者尚未註冊,就無法登入自己的帳戶。
  1. 在「進階安全性設定」頁面的「強制執行」下方,按一下右邊的 [註冊報告]
  2. 詳閱報告並查看哪些使用者尚未註冊。
    這項資料可能會延遲顯示,最多延遲 48 小時。如要查看個別使用者的即時兩步驟驗證狀態,請參閱管理使用者的安全性設定一文。
  3. 通知尚未註冊的使用者進行註冊,否則會有無法登入自己帳戶的風險。

開啟強制執行功能

強制管理員和重要使用者執行兩步驟驗證功能。請參閱兩步驟驗證的最佳做法

管理控制台中允許使用者開啟兩步驟驗證的設定會套用到整個頂層機構。不過,您可以強制所有頂層機構中的使用者執行兩步驟驗證,也可以只對特定機構單位的使用者執行這項功能。

  1. 在「進階安全性設定」頁面的左側,選取您要強制執行兩步驟驗證的機構單位。
    • 如果您未選取任何機構單位,系統會將強制執行設定套用到整個頂層機構。
    • 如果您希望機構單位沿用上層機構的設定,請按一下右上方的 [沿用上層設定]
  2. 選擇何時開始強制執行兩步驟驗證:
    • 開啟「強制執行開始日期」設定:在您指定的日期開始強制執行。
    • 開啟「立即強制執行」設定:立即開始強制執行。
  3. 如果您選擇在特定日期開始強制執行兩步驟驗證,請在日曆上按一下開始日期。系統會在使用者登入時提醒他們註冊兩步驟驗證。
  4. 按一下 [儲存]

避免新使用者的帳戶遭到鎖定

強制執行兩步驟驗證時,請先預留一些時間,讓新員工在系統將強制執行設定套用到他們的帳戶之前完成註冊。如要預留時間,您可以定義新使用者註冊期限;使用者在期限內只要使用密碼即可登入。
  1. 在「進階安全性設定」頁面找到「新使用者註冊期限」,然後選取旁邊的時間範圍 (1 天到 6 個月)。
    新使用者首次成功登入後,必須在這個期限之前註冊兩步驟驗證。
  2. 按一下 [儲存]

步驟 4:選取強制執行選項 (選用)

選取要強制執行的兩步驟驗證方法

強制執行兩步驟驗證時,預設的驗證方法是「不限」。建議您使用安全金鑰,這是最安全的兩步驟驗證方法。請參閱兩步驟驗證的最佳做法

  1. 在「進階安全性設定」頁面的「允許的兩步驟驗證方法」下方,選取下列任一個方法:
    • 不限:使用者可以設定任何兩步驟驗證方法。
    • 透過簡訊或語音來電之外的其他方式接收驗證碼:使用者無法透過手機接收兩步驟驗證碼,但可以設定此方式以外的任何兩步驟驗證方法。
    • 僅限安全金鑰:使用者必須設定安全金鑰。
  2. 按一下 [儲存]
強制執行政策時,確保轉換作業能夠順利執行

強制執行兩步驟驗證時,如果現有使用者沒有可用的兩步驟驗證方法,等到運作中的工作階段到期後,帳戶就會遭到鎖定。為了讓使用者登入帳戶,您需要協助他們復原帳戶。強制執行兩步驟驗證的範例情況包括:

  • ​您將選用的兩步驟驗證政策改為強制執行。
  • ​​您已強制執行兩步驟驗證,但允許使用者選擇任何認證方法。現在您更改了政策,使用者將無法透過手機的簡訊或語音來電接收兩步驟驗證碼,但可以使用此方式以外的任何方法。
  • ​​您將兩步驟驗證政策從選用、允許任何驗證方法、或允許簡訊或語音來電以外的任何方法,更改為將安全金鑰做為唯一的兩步驟驗證方法。

告知使用者強制執行兩步驟驗證的規劃

設定強制執行政策前,請先告知使用者相關規劃和強制執行日期,讓他們有時間新增兩步驟驗證方法。如果您有新員工,請按照「避免新使用者的帳戶遭到鎖定」一節的說明,設定新使用者註冊期限。

如果使用者未於強制執行日期前準備就緒

部分使用者可能尚未在強制執行日期之前設定適當的兩步驟驗證方法。如要為這些使用者提供額外的註冊時間,請將他們移入不會強制執行兩步驟驗證的例外群組,直到他們成功新增兩步驟驗證方法後再行移出。請參閱避免帳戶在強制執行兩步驟驗證後遭到鎖定一文。

雖然這個解決方法可讓使用者登入帳戶,還是不建議將其視為標準做法,因為只要這些使用者仍處於例外群組,他們的帳戶就不會受到兩步驟驗證機制保護。

強制執行「透過簡訊或語音來電之外的其他方式接收驗證碼」政策

如果使用者目前可以使用任何兩步驟驗證方法,這些使用者可能是以簡訊和語音來電做為唯一的驗證方法。然而,要是使用者更換了電話號碼,就無法透過舊號碼接收簡訊或聆聽語音來電,因此也就無法取得兩步驟驗證碼來登入帳戶。系統也會禁止他們新增任何新的電話號碼。

如何避免這些使用者帳戶遭到鎖定:

  • 設定這項政策前,請要求使用者新增並開始使用其他兩步驟驗證方法。此外,也要通知他們在特定強制執行日期後,將無法透過手機取得兩步驟驗證碼。
  • 透過 login_verification「登入稽核」活動事件,追蹤哪些使用者利用簡訊或語音來電提供的兩步驟驗證碼登入帳戶。如果 login_challenge_method 參數的值為 idv_preregistered_phone,則表示使用者是透過簡訊或語音驗證碼進行身份驗證。

強制執行「僅限安全金鑰」政策

執行這項政策前,請先查看使用者的安全性設定,確認使用者已設定自己的安全金鑰:

  • ​按一下「僅限安全金鑰」下方的 [使用者已註冊安全金鑰],系統隨即會產生一份使用者名單。
  • ​按一下清單中的使用者,查看對方的設定。
允許使用者在安全金鑰遺失時使用備用碼
如果您已將安全金鑰強制規定為唯一許可的兩步驟驗證方法,但使用者卻遺失了安全金鑰,在等待取得新金鑰期間,他們必須使用別種方式登入。您可以允許使用者在特定的寬限期內使用備用碼登入帳戶。
  1. 在「進階安全性設定」頁面找到「兩步驟驗證政策停權寬限期」,選取旁邊的時間範圍 (1 天到 1 週)。
    寬限期會從系統產生備用碼當天起算。
  2. 按一下 [儲存]
允許在不支援安全金鑰的情況下使用安全碼
強制使用安全金鑰可能會導致您的部分使用者無法順利使用某些應用程式,因為使用者無法在不支援安全金鑰的平台上使用 Google 憑證登入網頁應用程式。這些平台包括 iOS 行動作業系統、Safari 和 Internet Explorer。以下列舉幾個例子:
  • 公司網頁應用程式只能在不支援安全金鑰的瀏覽器中運作
    財務部的小莉需要使用一款只能在 Internet Explorer 8.0 版本中執行的財務網頁應用程式,但是因為設定強制使用安全金鑰,導致她無法使用自己的 Google 帳戶登入這款網頁應用程式。
  • iPhone 初始設定
    業務部的阿傑有一支新的 iPhone,他需要在 iPhone 上登入自己的 Google 帳戶才能進行設定,但是因為 Safari 和 iOS 行動作業系統不支援安全金鑰,所以他現在無法登入帳戶來完成 iPhone 設定。

啟用安全碼

對於不支援安全金鑰的平台,您可以允許使用者在登入時使用特殊的一次性安全碼進行驗證。不過請注意,使用者只能在支援安全金鑰的裝置上產生安全碼。

  1. 前往「進階安全性設定」頁面,在「允許的兩步驟驗證方法」部分的「僅限安全金鑰」之下,選取 [使用者進行兩步驟驗證時,可以使用 https://g.co/sc 的安全碼代替安全金鑰]
  2. 按一下 [儲存]

安全碼運作機制

安全碼不同於 Google Authenticator 這類應用程式產生的一次性代碼。如要產生安全碼,使用者必須在支援安全金鑰的裝置上輕觸安全金鑰。

何時應允許使用安全碼

強制使用安全金鑰時,如果同時允許使用安全碼,就能讓使用者在安全金鑰不受支援的平台上處理工作。不過,由於使用安全碼進行兩步驟驗證的可靠性不如安全金鑰,所以建議您只有在使用者需要使用不支援安全金鑰的平台或應用程式時,才允許他們使用安全碼。

使用者體驗

財務部的小莉可以按照下列流程,開啟只能在 Internet Explorer 8.0 版本中執行的財務網頁應用程式。

  1. 使用 Google 憑證登入筆記型電腦。
  2. 驗證身分:將安全金鑰插入筆記型電腦的 USB 連接埠,或輕觸已插入的安全金鑰。
  3. 啟動 Internet Explorer 8.0 並嘗試登入所需的財務應用程式。
  4. 依照提示,在支援安全金鑰的裝置取得一次性安全碼。
  5. 在筆記型電腦上啟動 Chrome 並前往 https://g.co/sc。
  6. 輕觸安全金鑰並產生一組安全碼。
  7. 複製這組安全碼,用來完成 Internet Explorer 網頁應用程式的登入程序。

目前只有 Chrome 和 Firefox 支援安全金鑰。每組一次性安全碼的有效期限是 5 分鐘。

允許使用者在信任的裝置上不必重複進行兩步驟驗證

除非您的使用者經常變換使用的裝置,否則不建議讓使用者在信任的裝置上跳過兩步驟驗證。

  1. 在「進階安全性設定」頁面的「兩步驟驗證頻率」下方,選取下列任一選項:
    • 允許使用者進行兩步驟驗證時選擇信任裝置:使用者首次使用新裝置登入時,只要勾選相關方塊選擇信任裝置,之後透過該裝置登入時即可略過兩步驟驗證程序。除非使用者清除 Cookie、您重設使用者的登入 Cookie、或是使用者在帳戶中撤銷該裝置,否則該裝置不會再要求使用者進行兩步驟驗證。
    • 不允許使用者進行兩步驟驗證時選擇信任裝置:使用者每次登入都必須通過兩步驟驗證程序。
  2. 按一下 [儲存]

步驟 5:管理安全金鑰 (選用)

為使用者新增安全金鑰

您可以在使用者帳戶中新增安全金鑰。如果使用者尚未註冊使用兩步驟驗證功能,您只要為對方註冊安全金鑰,他們就會自動註冊這項功能。請參閱管理使用者的安全性設定一文。

 

這對您有幫助嗎?
我們應如何改進呢?