Двухэтапная аутентификация

Как защитить компанию с помощью двухэтапной аутентификации

Эти статьи предназначены для администраторов Google Workspace. Пользователям Google Workspace рекомендуется ознакомиться со статьей Как защитить свой аккаунт с помощью двухэтапной аутентификации.

Двухэтапная аутентификация (2SV) – это дополнительный барьер между вашим предприятием и киберпреступниками, которые пытаются украсть имена пользователей и пароли для доступа к коммерческим данным.

Важно: вскоре двухэтапная аутентификация будет требоваться для аккаунтов администраторов

Чтобы усилить защиту информации вашей организации, Google вскоре будет требовать, чтобы для всех аккаунтов администраторов была включена двухэтапная аутентификация. Сейчас это требование принудительно применяется для некоторых организаций, использующих выпуск Enterprise. В 2024 году оно будет постепенно принудительно применено для всех организаций, использующих выпуск Enterprise. До этого времени вам следует включить 2SV для аккаунтов администраторов в организации. Ниже указаны факторы, которые следует учитывать.

  • Требование будет принудительно применено на протяжении следующего года. Суперадминистраторы будут уведомлены за 60 дней до принудительного применения.
  • Администраторы будут уведомлены по электронной почте или мобильному телефону за 30 дней до принудительного применения. В течение этих 30 дней установленные Google правила контроля за соблюдением требований, касающихся 2SV, будут переопределять любые правила 2SV, действующие в организации. Когда администратор входит в свой аккаунт, он получает напоминание о том, что нужно включить двухэтапную аутентификацию до требуемой даты.
  • Это обязательное требование для администраторов, которые работают с выпусками Google Workspace и для которых действуют правила контроля за соблюдением требований, касающиеся 2SV. Если администратору не удается включить 2SV, единственный способ избежать принудительного применения – удалить для пользователя права администратора.
  • В сервисных аккаунтах можно не включать двухэтапную аутентификацию, но в аккаунте администратора, от лица которого они действуют, она должна быть включена.
  • Вы можете проверить состояние принудительного применения для администратора в консоли администратора Google. Чтобы получить инструкции, перейдите к разделу Отследите статус включения двухэтапной аутентификации у пользователей и добавьте столбец Обязательная двухэтапная аутентификация.
  • Когда вы назначаете пользователю роль администратора, принудительное применение сразу же вступает в силу.
  • Если администратору не удается войти в систему после принудительного применения двухэтапной аутентификации, выполните инструкции по восстановлению аккаунта администратора.

Что такое двухэтапная аутентификация?

При двухэтапной аутентификации пользователи входят в аккаунты в два этапа, используя что-то, что они знают (пароль), и что-то, что у них есть (мобильный телефон или электронный ключ). Узнайте, как это работает.

Secure your Google Workspace user accounts

Нужна ли двухэтапная аутентификация компаниям небольшого размера?

Киберпреступники угрожают компаниям любого размера. Получив доступ к аккаунту администратора, хакер сможет просматривать электронную почту, документы, финансовую отчетность и другую информацию, принадлежащую компании.

Хакер может украсть или подобрать пароль, но он не сможет получить доступ к физическому объекту, который есть только у вас.

Способы двухэтапной аутентификации

При двухэтапной аутентификации вы можете выбрать, как будет выполняться ее второй этап.

Развернуть все  |   Свернуть все

Электронные ключи
Это самый надежный способ двухэтапной аутентификации, обеспечивающий в том числе защиту от фишинга. Есть два типа электронных ключей:

При входе пользователя в аккаунт Google его устройство обнаруживает, что для аутентификации требуется электронный ключ. На втором этапе аутентификации пользователь входит в аккаунт с помощью электронного ключа. В зависимости от типа электронного ключа, пользователь подключает его к своему устройству через USB, Bluetooth или NFC. Подробнее об электронных ключах

Уведомление от Google
Пользователь может настроить отправку уведомления от Google на мобильное устройство Android или Apple. При входе в аккаунт Google он будет получать на мобильное устройство уведомление "Это вы пытаетесь войти в аккаунт?". Для подтверждения достаточно нажать на это уведомление. Этот способ так же безопасен, как и использование кодов подтверждения, и к тому же намного быстрее. Подробнее о телефонных уведомлених
Google Authenticator и другие генераторы кодов подтверждения
При этом способе аутентификации пользователи создают одноразовые коды подтверждения на аппаратном токене (миниатюрном устройстве) или в приложении на мобильном устройстве, например в Google Authenticator. Код можно использовать для входа в аккаунт на компьютере или другом устройстве, в том числе и на самом мобильном устройстве. Google Authenticator и другие приложения для генерации кодов не нуждаются в подключении к интернету.
Двухэтапная аутентификация поддерживает программные и аппаратные токены, использующие стандарт TOTP (Time-based One Time Password).
Резервные коды
Если мобильного устройства нет под рукой или пользователь находится в зоне повышенной безопасности, куда мобильные устройства брать нельзя, для прохождения двухэтапной аутентификации можно воспользоваться резервным кодом. Создать и распечатать резервные коды можно заранее.
SMS или голосовое сообщение
Google отправляет код для двухэтапной аутентификации на мобильное устройство при помощи SMS или телефонного звонка.
 

Примечание. Двухэтапная аутентификация с использование местных номеров телефонов сейчас не поддерживается для некоторых доменов в Нигерии и Кот-д’Ивуаре из-за частых взломов аккаунтов в этих странах. Чтобы узнать, можно ли использовать этот метод аутентификации в вашем домене, обратитесь в службу поддержки.

Ключи доступа
Если администратор выбрал вариант "Пропустить пароль" для аккаунта пользователя, такой пользователь может пропустить ввод пароля при входе, вместо этого используя ключ доступа с одноэтапной и двухэтапной аутентификацией. С помощью ключей доступа пользователи могут входить в свой управляемый аккаунт Google, используя телефон, электронный ключ или функцию блокировки экрана на компьютере. Подробнее о том, как войти в аккаунт, используя ключ доступа вместо пароля

Рекомендации по применению двухэтапной аутентификации

Сделайте двухэтапную аутентификацию обязательной для администраторов и важных пользователей
Двухэтапную аутентификацию можно сделать необязательной или принудительной. Рекомендуется включить двухэтапную аутентификацию для аккаунтов администратора и пользователей, которые работают с важной корпоративной информацией.
  • Аккаунт администратора обладает наибольшими возможностями. Его владелец может удалять пользователей, сбрасывать пароли и получать доступ ко всем данным.
  • Пользователи, работающие с конфиденциальными данными, например с финансовой документацией и информацией о сотрудниках, также должны использовать двухэтапную аутентификацию.
Используйте электронные ключи
Электронные ключи являются самым надежным способом двухэтапной аутентификации.
  • Электронные ключи – это способ двухэтапной аутентификации, при котором пользователю не нужно вводить коды. Вы можете приобрести совместимые электронные ключи у надежного продавца или ключи Titan в Google Store. Пользователи также могут применять встроенные электронные ключи телефона (доступны в Android 7 или iOS 10 и последующих версиях).
  • Альтернативные способы – уведомление от Google или приложение Google Authenticator. Уведомление от Google удобнее, так как пользователю нужно просто нажать на экран устройства при получении запроса, вместо того чтобы вводить код подтверждения.
  • Не рекомендуем использовать SMS – они передаются по сетям операторов связи и могут быть перехвачены.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
6193721449988252859
true
Поиск по Справочному центру
true
true
true
false
false