Forzar a los usuarios a acceder mediante la autenticación de dos pasos o de varios factores

Para administradores que gestionan las políticas de Chrome desde la Consola del administrador de Google.

Como administrador empresarial de Chrome, puede implementar la verificación en dos pasos (2-SV) o la autenticación de varios factores (MFA) en su organización y obligar a los usuarios a acceder con regularidad a sus dispositivos con ChromeOS.

Esto significa que sus usuarios deben acceder periódicamente a su cuenta en dos o más pasos y proporcionar seguridad adicional a su organización.

Qué son los factores de autenticación

Un factor de autenticación es una información y un proceso que se usan para autenticar la identidad de un usuario por razones de seguridad.

Los factores de autenticación se pueden clasificar en los siguientes tres grupos:

• algo que sepas, como una contraseña o un número de identificación personal (PIN)
• algo que tengas, como una llave de seguridad o un smartphone
• algo que seas, datos biométricos, como huellas digitales y reconocimiento facial

Cuando un usuario accede con 2-SV o MFA, debe proporcionar todos los métodos de autenticación necesarios. De lo contrario, no tendrá acceso.

Los siguientes son ejemplos de autenticación:

• 2-SV cuando un usuario agrega una cuenta a un dispositivo con ChromeOS
• 2-SV cuando un usuario accede a su cuenta
• 2-SV cuando un usuario desbloquea un dispositivo con ChromeOS
• autenticación sin contraseña cuando un usuario usa una huella digital o un PIN para desbloquear la pantalla de bloqueo en su dispositivo con Sistema operativo Chrome

Para obtener detalles sobre por qué y cuándo debería usar 2-SV o MFA en su organización, consulte Cómo proteger su empresa con la verificación en dos pasos.

Antes de comenzar

• Si ya tienes una implementación de Chrome, notifica a los usuarios con anticipación. Diles que deben acceder a su cuenta de Google administrada en una fecha específica.

Paso 1: Selecciona las políticas

Para los usuarios que acceden a sus dispositivos ChromeOS sin el inicio de sesión único (SSO) de SAML, puedes usar las siguientes políticas:

• Frecuencia de acceso en línea de Google
• Frecuencia de desbloqueo en línea de Google

Para los usuarios que acceden a sus dispositivos ChromeOS con el inicio de sesión único (SSO) de SAML, puede usar las siguientes políticas:

• Frecuencia de acceso mediante inicio de sesión único basado en SAML
• Frecuencia de desbloqueo de inicio de sesión único basado en SAML

Paso 2: Revise las políticas

Puede establecer una o más de las siguientes políticas:

Paso 3: Establezca las políticas

Haga clic a continuación para ver los pasos, según cómo quiera administrar estas políticas.

Se puede solicitar para los usuarios que accedieron a su cuenta en cualquier dispositivo. Para obtener más información, consulta Información sobre cuándo se aplican las opciones de configuración.

1. Accede a la Consola del administrador de Google.

   Accede con tu cuenta de administrador (no termina en @gmail.com).

2. En la Consola del administrador, ve a Menú  DispositivosChromeConfiguración. La página Configuración de usuarios y del navegador se abre de forma predeterminada.

   Si te registraste en la Administración en la nube para el navegador Chrome, ve a Menú  Navegador ChromeConfiguración.

3. To apply the setting to everyone, leave the top organizational unit selected. Otherwise, select a child organizational unit.
4. Vaya a Seguridad.
5. Para los usuarios sin SSO de SAML, haz lo siguiente:
   1. Haz clic en Frecuencia de acceso en línea de Google, ingresa un valor en días y haz clic en Guardar:
      • 0: los usuarios siempre deben usar el acceso en línea.
      • 1-365: Después del período de frecuencia establecido, los usuarios deberán usar el acceso en línea la próxima vez que inicien una sesión.
   2. Haz clic en Frecuencia de desbloqueo en línea de Google, ingresa un valor en días y haz clic en Guardar:
      • 0: los usuarios siempre deben usar el acceso en línea en su pantalla bloqueada.
      • 1-365: Después del período de frecuencia establecido, los usuarios deberán usar el acceso en línea la próxima vez que desbloqueen la pantalla bloqueada.
6. Para los usuarios con SSO de SAML, haz lo siguiente:
   1. Haz clic en Frecuencia de acceso con inicio de sesión único basado en SAML, establece un período de frecuencia para el acceso forzado en línea y haz clic en Guardar.
   2. Haga clic en Frecuencia de desbloqueo del inicio de sesión único basado en SAML, ingresa un valor en días y haz clic en Guardar:
      • 0: los usuarios siempre deben usar el acceso en línea en su pantalla bloqueada.
      • 1-365: Después del período de frecuencia establecido, los usuarios deberán usar el acceso en línea la próxima vez que desbloqueen la pantalla bloqueada.

Paso 4: Verifique que se hayan aplicado las políticas

Después de aplicar las políticas de Chrome, los usuarios deberán reiniciar el navegador para que se aplique la configuración. Puedes revisar los dispositivos de los usuarios para asegurarte de que la política se haya aplicado correctamente.

1. En un dispositivo Chrome administrado, navegue a chrome://policy.
2. Haga clic en Recargar políticas.
3. Marque la casilla Mostrar políticas sin valores establecidos.
4. Según corresponda, para GaiaOfflineSigninTimeLimitDays, GaiaLockScreenOfflineSigninTimeLimitDays, SAMLOfflineSigninTimeLimit y SamlLockScreenOfflineSigninTimeLimitDays debe asegurarse de que el estado esté establecido en OK.
5. Para todas las políticas, haz clic en Mostrar valor y asegúrate de que los campos de valor sean los mismos que estableciste en la política.

Tema relacionado

• Desbloqueo rápido