强制要求用户使用两步验证或多重身份验证登录

适用于通过 Google 管理控制台管理 Chrome 政策的管理员。

作为 Chrome 企业版管理员，您可以在贵组织中实施两步验证 (2-SV) 或多重身份验证 (MFA)，并强制要求用户定期登录 ChromeOS 设备。

这意味着用户必须定期通过两个或更多步骤登录其账号，这也可以为贵组织提供额外的安全保障。

什么是身份验证因素

身份验证因素是出于安全目的而用于验证用户身份的信息和流程。

身份验证因素可分为三类：

• 您知道的信息，例如密码或个人识别码 (PIN)
• 您拥有的设备，例如安全密钥或智能手机
• 您的生物识别信息，例如指纹和人脸识别

当用户使用两步验证或多重身份验证登录时，必须提供所有必要的身份验证信息，否则将无法获得访问权限。

以下是一些身份验证示例：

• 当用户将账号添加到 ChromeOS 设备时进行两步验证
• 当用户登录其用户账号时进行两步验证
• 当用户解锁 ChromeOS 设备时进行两步验证
• 当用户使用指纹或 PIN 码解锁其 ChromeOS 设备上的锁定屏幕时进行无密码身份验证

如要详细了解为何应在组织中使用两步验证或多重身份验证以及何时使用，请参阅通过两步验证来保护您的企业。

开始前须知

• 如果您之前已部署 Chrome，请提前通知用户，告知其必须在特定日期登录受管理的 Google 账号。

第 1 步：选择政策

如果用户是在不使用 SAML 单点登录 (SSO) 的情况下登录其 ChromeOS 设备，则您可以使用以下政策：

• Google 在线登录频率
• Google 在线解锁频率

如果用户通过 SAML SSO 登录其 ChromeOS 设备，则您可以使用以下政策：

• SAML 单点登录的登录频率
• SAML 单点登录解锁频率

第 2 步：查看政策

您可以设置以下政策中的一项或多项：

政策	说明和设置
GaiaOfflineSigninTimeLimitDays	针对不通过 SAML SSO 登录 ChromeOS 设备的用户，设置在登录屏幕上强制要求在线登录的频率。 输入所需数值（以天为单位）： 0：用户始终需要进行在线登录。 1-365：达到设置的频率周期后，用户下次开启会话时必须进行在线登录。 如果留空，则用户无需定期进行在线登录。
GaiaLockScreenOfflineSigninTimeLimitDays	针对不通过 SAML SSO 登录 ChromeOS 设备的用户，设置在锁定屏幕上强制要求在线登录的频率。 输入所需数值（以天为单位）： 0 - 用户始终需要在锁定屏幕上进行在线登录。 1-365：达到设置的频率周期后，用户下次解锁屏幕锁定时必须进行在线登录。 如果留空，则用户无需通过定期进行在线登录来解锁屏幕锁定。
SAMLOfflineSigninTimeLimit	针对使用 SAML SSO 的账号设置在登录屏幕上强制要求在线登录流程的频率。 选择登录频率选项。 如果您选择一律不，则用户不需要进行在线登录。
SamlLockScreenOfflineSigninTimeLimitDays	针对使用 SAML 的用户设置在锁定的屏幕上强制要求在线登录的频率。 输入所需数值（以天为单位）： 0 - 用户始终需要在锁定屏幕上进行在线登录。 1-365：达到设置的频率周期后，用户下次解锁屏幕锁定时必须进行在线登录。 如果留空，则用户无需通过定期进行在线登录来解锁屏幕锁定。

第 3 步：设置政策

根据您希望采取的政策管理方式，点击下方的相应标题查看具体步骤。

可应用于任何设备上的已登录用户。有关详情，请参阅了解系统何时会应用设置。

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标  设备Chrome设置。默认情况下，系统会打开用户和浏览器设置页面。

   如果您已注册 Chrome 浏览器云管理，请依次点击“菜单”图标  Chrome 浏览器设置。

3. 要将设置应用于所有人，请将顶级单位部门保持为已选中状态。否则，请选择某个下级单位部门。
4. 选择安全性。
5. 如果用户不使用 SAML 单点登录，请执行以下操作：
   1. 点击 Google 在线登录频率，以天为单位输入一个值，然后点击保存：
      • 0：用户始终需要进行在线登录。
      • 1-365：达到设置的频率周期后，用户下次开启会话时必须进行在线登录。
   2. 点击 Google 在线解锁频率，以天为单位输入一个值，然后点击保存：
      • 0 - 用户始终需要在锁定屏幕上进行在线登录。
      • 1-365：达到设置的频率周期后，用户下次解锁屏幕锁定时必须进行在线登录。
6. 如果用户使用 SAML 单点登录，请执行以下操作：
   1. 点击 SAML 单点登录的登录频率，设置强制在线登录的频率周期，然后点击保存。
   2. 点击 SAML 单点登录解锁频率，以天为单位输入一个值，然后点击保存：
      • 0 - 用户始终需要在锁定屏幕上进行在线登录。
      • 1-365：达到设置的频率周期后，用户下次解锁屏幕锁定时必须进行在线登录。

第 4 步：验证政策是否已应用

您应用任何 Chrome 政策后，用户都必须重启 Chrome 浏览器，相应设置才会生效。您也可以进行检查，以确保政策已正确应用到用户的设备。

1. 在受管理的 Chrome 设备上，转到 chrome://policy。
2. 点击重新加载政策。
3. 选中显示未设定值的政策复选框。
4. 如适用，请确保 GaiaOfflineSigninTimeLimitDays、GaiaLockScreenOfflineSigninTimeLimitDays、SAMLOfflineSigninTimeLimit 和 SamlLockScreenOfflineSigninTimeLimitDays 部分的状态已设为正常。
5. 如果要查看所有政策，请点击显示政策值，并确保所显示的字段值与您在政策中设置的值相同。

相关主题

• 快速解锁