部署两步验证

如要设置两步验证 (2SV)，您和您的用户都必须执行相应的操作。用户可以选择两步验证方法，您也可以对组织中的特定用户或群组强制执行某个方法。例如，您可以要求销售团队中的某个小团队使用安全密钥。

第 1 步：通知用户两步验证部署事宜

部署两步验证之前，请向用户通知贵公司的计划，包括：

• 什么是两步验证，以及公司为什么要使用两步验证。
• 是否必须启用两步验证。
• 必要时，告知用户必须在哪个日期之前启用两步验证。
• 哪种两步验证方法是用户必须选择的，而哪种只是推荐方法。

第 2 步：允许用户启用两步验证

2016 年 12 月之前创建的用户账号默认启用两步验证。

允许用户启用两步验证并使用任一验证方法。

观看视频

Allow users to turn on 2-Step Verification

允许用户启用两步验证

1. 登录您的 Google 管理控制台。

   请使用拥有超级用户权限的帐号（不是以 @gmail.com 结尾）登录。

2. 在管理控制台中，依次点击“菜单”图标   安全性 身份验证 两步验证。

3. （可选）要将设置仅应用于部分用户，请在侧边选择一个组织部门（通常用于部门）或配置群组（高级）。显示具体方法

   群组设置会覆盖组织部门的设置。了解详情

4. 勾选允许用户启用两步验证复选框。
5. 选择强制执行 关闭。
6. 点击保存。或者，您也可以针对 组织部门 点击覆盖。

   如要稍后恢复继承的值，请点击继承（如果是群组，请点击取消设置）。

第 3 步：让用户注册两步验证

1. 让用户按照启用两步验证中的说明注册两步验证。
2. 提供注册两步验证方法的操作说明：
   • 安全密钥
   • Google 提示、短信或电话
   • Google 身份验证器应用
   • 备用验证码

第 4 步：跟踪用户注册情况

通过报告衡量和跟踪用户的两步验证注册情况。查看用户的注册状态、强制执行状态和安全密钥数。

观看视频

Track users' enrollment in 2-Step Verification

跟踪两步验证注册情况

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标 报告用户报告安全性。
3. （可选）如需添加新信息列，请点击“设置”图标   新增列。选择要添加到表格中的列，然后点击保存。

有关详情，请参阅管理用户的安全设置。

查看注册趋势

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台首页，依次点击报告 应用报告 账号。

确定未使用两步验证的组织部门和群组。

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标  安全性 安全中心 安全性。
3. 请在安全性部分搜索要求管理员进行两步验证或要求用户进行两步验证，以查看两步验证信息。

第 3 步：强制执行两步验证（可选）

准备工作：确保用户已注册两步验证。

重要提示：强制执行两步验证后，如果用户尚未完成两步验证注册流程，但已向账号添加双重身份验证 (2FA) 信息（例如安全密钥或电话号码），则可以使用这些信息登录。如果您看到属于已强制执行两步验证的组织部门的未注册用户的登录，则该登录属于两步验证登录。 有关详情，请参阅半注册两步验证状态。

1. 登录您的 Google 管理控制台。

   请使用拥有超级用户权限的帐号（不是以 @gmail.com 结尾）登录。

2. 在管理控制台中，依次点击“菜单”图标   安全性 身份验证 两步验证。

3. （可选）要将设置仅应用于部分用户，请在侧边选择一个组织部门（通常用于部门）或配置群组（高级）。显示具体方法

   群组设置会覆盖组织部门的设置。了解详情

4. 点击允许用户启用两步验证。
5. 在强制执行部分，选择一个选项：
   • 开启 - 立即开始强制执行。
   • 从以下日期开始启用强制执行 - 选择开始日期。用户登录时，会看到关于注册两步验证的提醒。
     注意：使用开启，开始日期选项时，系统会在所选日期的 24-48 小时内开始强制执行。如果您想要精确的强制执行开始时间，请使用开启选项。
6. （可选）为了让新员工在系统对其账号强制执行两步验证前有时间注册两步验证，请在 1 天到 6 个月范围内选择新用户注册期。
   在此期间，用户可以仅使用密码登录。
7. （可选）为避免用户在可信设备上重复进行两步验证，请在频率下方，勾选允许用户信任设备复选框。
   当用户在新设备上首次登录时，可以勾选信任设备的复选框。除非用户清除 Cookie、取消信任该设备或者您重置用户的登录 Cookie，否则系统不会提示用户在该设备上进行两步验证。
   我们不建议您允许用户在可信设备上避开两步验证，除非您的用户经常在设备之间来回切换。
8. 在方法部分，选择强制执行方法：
   • 不限 - 用户可以设置任何两步验证方法。
   • 任何方法皆可（通过短信或电话接收验证码的方法除外） - 用户可以设置任何两步验证方法，但使用电话接收两步验证验证码的方法除外。
     重要提示：使用短信和电话验证的用户将无法访问自己的账号。如要避免这类用户无法访问自己的账号，请执行以下操作：
     • 由于两步验证强制执行日期过后，用户的手机将无法收到两步验证验证码，因此请在强制执行前，让用户改用其他两步验证方法。
     • 您可以使用用户日志事件中的 login_verification 属性来跟踪使用短信或语音电话接收验证码的用户。如果 login_challenge_method 参数的值为 idv_preregistered_phone，则表示用户是使用短信或语音电话验证码进行身份验证的。
   • 仅限安全密钥 - 用户必须设置安全密钥。
     在选择这种强制执行方法之前，请查找已设置安全密钥的用户（报告数据最长可能会延迟 48 小时）。如要查看各位用户的实时两步验证状态，请参阅管理用户的安全设置。
     重要提示：自从添加通行密钥以来，仅限安全密钥选项现在支持安全密钥和通行密钥作为两步验证方法。通行密钥和安全密钥的钓鱼式攻击防护级别相同。如需了解详情，请参阅使用通行密钥（而非密码）登录。
9. 如果您选择仅限安全密钥，请设置暂停执行两步验证政策时的宽限期。
   在宽限期内，用户可以使用您为其生成的备用验证码登录，这在用户丢失安全密钥时非常有用。选择宽限期，宽限期从验证码生成时开始计算。有关备用验证码的信息，请参阅为用户获取备用验证码。
   重要提示：如果在仅限安全密钥模式下强制执行两步验证，用户将无法自行生成备用验证码。必须由管理员向用户提供备用验证码。
10. 在安全代码部分，选择用户是否可以使用安全代码登录。
    • 不允许用户生成安全代码 - 用户无法生成安全代码。
    • 允许使用安全代码（远程访问除外） - 用户可以通过 g.co/sc 生成安全代码并在同一设备或本地网络（NAT 或 LAN）中使用。
    • 允许使用安全代码（包含远程访问的情况） - 用户可以通过 g.co/sc 生成安全代码并在其他设备或网络中使用（如当您访问远程服务器或使用虚拟机时）。 
      安全代码不同于 Google 身份验证器等应用生成的一次性验证码。要生成安全代码，用户只需点按设备上的安全密钥即可。安全代码的有效期为 5 分钟。
11. 点击保存。或者，您也可以针对 组织部门 点击覆盖。

    如要稍后恢复继承的值，请点击继承（如果是群组，请点击取消设置）。

如果用户在强制执行日期前未准备妥当

您可以将这些用户添加到不强制执行两步验证的群组中，为其提供额外的注册时间。虽然这种解决方法可让您的用户登录其账号，但并不建议将其作为标准做法。了解如何避免账号在强制执行两步验证时遭到锁定。

相关主题

查看您组织的应用报告