Validation en deux étapes

Déployer la validation en deux étapes

Vos utilisateurs et vous jouez un rôle important dans la configuration de la validation en deux étapes. Les utilisateurs peuvent choisir leur méthode de validation en deux étapes, ou vous pouvez imposer une méthode spécifique à certains utilisateurs ou groupes de votre organisation. Par exemple, vous pouvez forcer l'utilisation de clés de sécurité pour une petite équipe du service commercial.

Étape 1 : Informez les utilisateurs du déploiement de la validation en deux étapes

Avant de déployer la validation en deux étapes, informez vos utilisateurs des plans de votre entreprise, en incluant les informations suivantes :

  • Qu'est-ce que la validation en deux étapes et pourquoi votre entreprise l'utilise-t-elle ?
  • Indiquez si la validation en deux étapes est facultative ou obligatoire.
  • Si nécessaire, donnez la date avant laquelle les utilisateurs doivent avoir activé la validation en deux étapes.
  • Indiquez quelle est la méthode de validation en deux étapes obligatoire ou recommandée.

Étape 2 : Autorisez les utilisateurs à activer la validation en deux étapes

La validation en deux étapes est activée par défaut pour les comptes utilisateur créés avant décembre 2016.

Autorisez les utilisateurs à activer la validation en deux étapes et à utiliser n'importe quelle méthode de validation.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Authentification puis Validation en deux étapes.

  3. Pour appliquer le paramètre à tous les utilisateurs, vérifiez que l'unité organisationnelle racine est sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant ou un groupe de configuration.
  4. Cochez l'option Autoriser les utilisateurs à activer la validation en deux étapes.
  5. Sélectionnez Application puis Désactivée.
  6. Cliquez sur Enregistrer. Si vous avez configuré une unité organisationnelle ou un groupe, vous pourrez peut-être utiliser les options Hériter ou Remplacer pour une unité organisationnelle parente ou Non défini pour un groupe.

Étape 3 : Demandez à vos utilisateurs de s'inscrire à la validation en deux étapes

  1. Demandez à vos utilisateurs de s'inscrire à la validation en deux étapes en suivant les instructions de l'article Activer la validation en deux étapes.
  2. Fournissez-leur les instructions pour s'inscrire aux méthodes de validation en deux étapes :

Étape 4 : Suivez l'inscription des utilisateurs

Mesurez et suivez l'inscription de vos utilisateurs à la validation en deux étapes grâce aux rapports. Vérifiez l'état d'inscription des utilisateurs, l'état d'application et le nombre de clés de sécurité.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu puis Création de rapportspuisRapports utilisateurpuisSécurité.
  3. (Facultatif) Pour ajouter une colonne d'informations, cliquez sur Paramètres  puisAjouter une colonne. Sélectionnez la colonne à ajouter au tableau et cliquez sur Enregistrer.

Pour en savoir plus, consultez Gérer les paramètres de sécurité d'un utilisateur.

Afficher les tendances d'inscription

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Rapports puis Rapports sur les applications puisComptes.

Identifier les unités organisationnelles et les groupes qui n'utilisent pas la validation en deux étapes

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2.  Dans la console d'administration, accédez à Menu  puis  Sécurité puis Centre de sécurité puis État de sécurité.
  3. Pour consulter des informations sur la validation en deux étapes, recherchez État de sécurité pour la Validation en deux étapes pour les administrateurs ou la Validation en deux étapes pour les utilisateurs.

Étape 5 : Forcez l'application de la validation en deux étapes (facultatif)

Avant de commencer : assurez-vous que les utilisateurs sont inscrits à la validation en deux étapes. 

Important:Lorsque la validation en deux étapes est appliquée, les utilisateurs qui n'ont pas finalisé le processus d'inscription à la validation en deux étapes, mais qui ont ajouté des informations d'authentification à deux facteurs à leur compte, comme une clé de sécurité ou un numéro de téléphone, sont en mesure de se connecter à l'aide de ces informations. Si vous voyez une connexion de la part d'un utilisateur désinscrit qui appartient à une unité organisationnelle pour laquelle la validation en deux étapes a été appliquée de force, il s'agit d'une connexion avec validation en deux étapes. Pour en savoir plus, consultez État de la validation en deux étapes avec une inscription partielle.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Authentification puis Validation en deux étapes.

  3. Pour appliquer le paramètre à tous les utilisateurs, vérifiez que l'unité organisationnelle racine est sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant ou un groupe de configuration.
  4. Cliquez sur Autoriser les utilisateurs à activer la validation en deux étapes.
  5. Dans Application, choisissez une option :
    • Activé : démarre immédiatement.
    • Activer le : sélectionnez la date de début. Les utilisateurs voient des rappels pour s'inscrire à la validation en deux étapes s'afficher lorsqu'ils se connectent.
      Remarque : Lorsque vous utilisez l'option Activer le, l'application commence dans les 24 à 48 heures suivant la date sélectionnée. Pour activer l'application à un moment précis, utilisez l'option Activée.
  6. (Facultatif) Pour laisser aux nouveaux employés le temps de s'inscrire avant l'application forcée de la validation en deux étapes à leur compte, sélectionnez une période comprise entre un jour et six mois dans Délai d'inscription pour les nouveaux utilisateurs.
    Pendant ce délai, les utilisateurs peuvent se connecter simplement avec leur mot de passe.
  7. (Facultatif) Pour permettre aux utilisateurs de ne pas avoir à effectuer la validation en deux étapes à chaque fois qu'ils se connectent sur leurs appareils vérifiés, sous Fréquence, cochez l'optionAutoriser l'utilisateur à faire confiance à son appareil.
    La première fois qu'un utilisateur se connecte depuis un nouvel appareil, il peut cocher une option lui permettant de le vérifier. L'utilisateur n'est alors plus invité à effectuer la validation en deux étapes sur cet appareil, sauf s'il supprime ses cookies ou révoque l'appareil, ou si vous réinitialisez son cookie de connexion.
    Il n'est pas recommandé d'éviter la validation en deux étapes sur des appareils vérifiés, sauf si ces personnes changent souvent d'appareil.
  8. Dans Méthodes, sélectionnez la méthode d'application :
    • Toutes : les utilisateurs peuvent configurer n'importe quelle méthode de validation en deux étapes.
    • Toutes, à l'exception des codes de validation par SMS et appel téléphonique : les utilisateurs peuvent configurer n'importe quelle méthode de validation en deux étapes, à l'exception de la réception de codes de validation en deux étapes par téléphone.
      Important : Les utilisateurs qui utilisent les SMS et les appels téléphoniques comme méthode de validation ne pourront plus accéder à leur compte. Pour éviter que ces utilisateurs ne puissent plus accéder à leur compte :
      • Avant l'application forcée de la méthode, indiquez aux utilisateurs de commencer à utiliser une autre méthode de validation en deux étapes, car les codes de validation ne seront plus disponibles sur leur téléphone.
      • Vous pouvez utiliser l'attribut login_verification dans les événements de journaux des utilisateurs pour suivre les utilisateurs qui utilisent des codes depuis un message ou un appel vocal. Si le paramètre login_challenge_method (méthode de la question d'authentification à la connexion) contient la valeur idv_preregistered_phone (téléphone préenregistré IDV), cela signifie que l'utilisateur s'authentifie à l'aide d'un code de validation reçu par SMS ou appel vocal.
    • Clé de sécurité uniquement : les utilisateurs doivent configurer une clé de sécurité.
      Avant de sélectionner cette méthode d'application, recherchez les utilisateurs qui ont déjà configuré des clés de sécurité (l'affichage des données des rapports peut prendre jusqu'à 48 heures). Pour savoir comment accéder en temps réel à l'état de la validation en deux étapes pour chacun des utilisateurs, consultez Gérer les paramètres de sécurité des utilisateurs.
      Important : Depuis l'ajout des clés d'accès, l'option Clé de sécurité uniquement est désormais compatible avec les clés de sécurité et les clés d'accès en tant que méthode de validation en deux étapes. Les clés d'accès et les clés de sécurité offrent le même niveau de protection contre l'hameçonnage. Pour en savoir plus, consultez Se connecter avec une clé d'accès au lieu d'un mot de passe.
  9. Si vous sélectionnez Clé de sécurité uniquement, définissez le délai de grâce pour la suspension de la validation en deux étapes.
    Cette période permet aux utilisateurs de se connecter avec le code de validation de secours que vous générez pour eux, ce qui peut s'avérer utile lorsqu'ils perdent leur clé de sécurité. Sélectionnez la durée de ce délai de grâce, qui commence lorsque vous générez le code de validation. Pour en savoir plus sur les codes de secours, consultez Obtenir des codes de validation de secours pour un utilisateur.
  10. Dans Codes de sécurité, indiquez si les utilisateurs peuvent se connecter à l'aide d'un code de sécurité.
    • Ne pas autoriser les utilisateurs à générer des codes de sécurité : les utilisateurs ne peuvent pas générer de codes de sécurité.
    • Autoriser les codes de sécurité sans accès distant : les utilisateurs peuvent générer des codes de sécurité et les utiliser sur le même appareil ou réseau local (NAT ou LAN).
    • Autoriser les codes de sécurité avec accès distant : les utilisateurs peuvent générer des codes de sécurité et les utiliser sur d'autres appareils ou réseaux, par exemple pour accéder à un serveur distant ou une machine virtuelle. 
      Les codes de sécurité sont différents des codes à usage unique générés par des applications telles que Google Authenticator. Pour générer un code de sécurité, l'utilisateur doit appuyer sur la clé de sécurité connectée à son appareil. Les codes de sécurité sont valides pendant cinq minutes.
  11. Cliquez sur Enregistrer. Si vous avez configuré une unité organisationnelle ou un groupe, vous pourrez peut-être utiliser les options Hériter ou Remplacer pour une unité organisationnelle parente ou Non défini pour un groupe.

Si la date d'application forcée n'est pas respectée par certains utilisateurs

Vous pouvez accorder un délai supplémentaire aux utilisateurs en plaçant leur compte dans un groupe dans lequel la validation en deux étapes n'est pas appliquée. Bien que cette solution temporaire permette à vos utilisateurs de se connecter, elle ne doit pas se prolonger. Découvrez comment éviter le blocage de comptes lors de l'application de la validation en deux étapes.

Article associé

Afficher les rapports sur les applications pour votre organisation

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
12275666101641585378
true
Rechercher dans le centre d'aide
true
true
true
false
false