Weryfikacja dwuetapowa

Wdrażanie weryfikacji dwuetapowej

Zarówno Ty, jak i Twoi użytkownicy macie do odegrania ważną rolę w konfigurowaniu weryfikacji dwuetapowej. Użytkownicy mogą wybrać metodę weryfikacji dwuetapowej albo możesz wymusić ją dla określonych użytkowników lub grup w organizacji. Możesz na przykład wymagać kluczy bezpieczeństwa w przypadku niewielkiego zespołu w dziale sprzedaży.

Krok 1. Powiadom użytkowników o konieczności wdrożenia weryfikacji dwuetapowej

Przed wdrożeniem weryfikacji dwuetapowej poinformuj użytkowników o planach firmy, w tym:

  • Wyjaśnij, czym jest weryfikacja dwuetapowa i dlaczego warto z niej korzystać.
  • Określ, czy weryfikacja dwuetapowa jest opcjonalna czy wymagana.
  • W razie potrzeby podaj termin, do którego użytkownicy muszą włączyć weryfikację dwuetapową.
  • Sprecyzuj, czy weryfikacja dwuetapowa jest obowiązkowa, czy zalecana.

Krok 2. Zezwól użytkownikom na włączenie weryfikacji dwuetapowej

Konta użytkowników utworzone przed grudniem 2016 r. mają domyślnie włączoną weryfikację dwuetapową.

Zezwól użytkownikom na włączenie weryfikacji dwuetapowej oraz użycie dowolnej metody weryfikacji.

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej otwórz Menu  a potem  Bezpieczeństwo a potemUwierzytelnianie a potemWeryfikacja dwuetapowa.

  3. Aby zastosować to ustawienie do wszystkich użytkowników, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W innym przypadku wybierz podrzędną jednostkę organizacyjną lub grupę konfiguracji.
  4. Zaznacz pole Zezwalaj użytkownikom na włączanie weryfikacji dwuetapowej.
  5. Wybierz Wymuszaniea potemWyłączone.
  6. Kliknij Zapisz. Jeśli masz skonfigurowaną jednostkę organizacyjną lub grupę, może pojawić się opcja Odziedzicz lub Zastąp (w przypadku nadrzędnej jednostki administracyjnej) lub Cofnij ustawienie (w przypadku grupy).

Krok 3. Poproś użytkowników o skonfigurowanie weryfikacji dwuetapowej

  1. Poproś użytkowników o skonfigurowanie weryfikacji dwuetapowej. W tym celu muszą oni wykonać czynności podane na stronie Włączanie weryfikacji dwuetapowej.
  2. Udostępnij instrukcje korzystania z różnych metod weryfikacji dwuetapowej:

Krok 4. Śledź rejestrację użytkowników

Skorzystaj z raportów, by monitorować rejestrację użytkowników w usłudze weryfikacji dwuetapowej. Sprawdź stan rejestracji użytkowników, stan egzekwowania zasad i liczbę kluczy bezpieczeństwa.

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej kliknij Menu  a potem  Raportowanie a potem Raporty dotyczące użytkowników a potem Zabezpieczenia.
  3. (Opcjonalnie) Aby dodać nową kolumnę z informacjami, kliknij Ustawienia  a potem Dodaj nową kolumnę. Wybierz kolumnę, którą chcesz dodać do tabeli, i kliknij Zapisz.

Więcej informacji znajdziesz w artykule Zarządzanie ustawieniami zabezpieczeń konta użytkownika.

Wyświetl trendy dotyczące rejestracji

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Raporty a potemRaporty dotyczące aplikacji a potemKonta.

Zidentyfikuj jednostki organizacyjne i grupy, które nie korzystają z weryfikacji dwuetapowej

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2.  W konsoli administracyjnej otwórz menu  a potem  Zabezpieczenia a potemCentrum bezpieczeństwa  a potemStan zabezpieczeń.
  3. Wyszukaj Stan zabezpieczeń dla Weryfikacji dwuetapowej dla administratorów lub Weryfikacji dwuetapowej dla użytkowników, aby sprawdzić informacje dotyczące weryfikacji dwuetapowej.

Krok 5. Wymuś weryfikację dwuetapową (opcjonalny)

Zanim zaczniesz: sprawdź, czy użytkownicy korzystają z weryfikacji dwuetapowej.

Ważne: gdy wymusisz stosowanie weryfikacji dwuetapowej, użytkownicy, którzy nie ukończyli procesu rejestracji, ale dodali do swojego konta informacje uwierzytelniania dwuskładnikowego, takie jak klucz bezpieczeństwa lub numer telefonu, będą mogli logować się za pomocą tych informacji. Jeśli zobaczysz logowanie przez niezarejestrowanego użytkownika należącego do jednostki organizacyjnej, w której wymuszono weryfikację dwuetapową, jest to logowanie z weryfikacją dwuetapową. Więcej informacji znajdziesz w sekcji Stan niedokończonej rejestracji w ramach weryfikacji dwuetapowej.

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej otwórz Menu  a potem  Bezpieczeństwo a potemUwierzytelnianie a potemWeryfikacja dwuetapowa.

  3. Aby zastosować to ustawienie do wszystkich użytkowników, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W innym przypadku wybierz podrzędną jednostkę organizacyjną lub grupę konfiguracji.
  4. Kliknij Zezwalaj użytkownikom na włączanie weryfikacji dwuetapowej.
  5. W sekcji Wymuszanie wybierz opcję:
    • Włączone – zaczyna się natychmiast.
    • Włącz wymuszanie od określonej daty – musisz wybrać datę rozpoczęcia. Po zalogowaniu się na swoje konta użytkownicy zobaczą przypomnienia na temat konieczności skonfigurowania weryfikacji dwuetapowej.
      Uwaga: jeśli wybierzesz opcję Od określonej daty, wymuszanie zacznie obowiązywać w ciągu 24–48 godzin od wybranej daty. Jeśli chcesz ustawić dokładny czas rozpoczęcia wymuszania, wybierz opcję Włączone.
  6. (Opcjonalnie) Aby dać nowym pracownikom czas na zarejestrowanie się, zanim zostaną objęci obowiązkiem korzystania z weryfikacji dwuetapowej, w sekcji Okres rejestracji nowego użytkownika wybierz termin od 1 do 6 miesięcy.
    W tym czasie użytkownik będzie mógł logować się przy użyciu samego hasła.
  7. (Opcjonalnie) Aby użytkownicy mogli uniknąć powtarzania weryfikacji dwuetapowej na zaufanych urządzeniach, w sekcji Częstotliwość zaznacz pole Zezwalaj użytkownikowi na oznaczenie urządzenia jako zaufanego.
    Przy pierwszym logowaniu na nowym urządzeniu użytkownik będzie mógł zaznaczyć pole pozwalające pomijać tu weryfikację dwuetapową. To ustawienie będzie obowiązywać, chyba że użytkownik wyczyści pliki cookie, unieważni urządzenie lub Ty zresetujesz pliki cookie logowania użytkownika.
    Jeśli użytkownicy nie zmieniają często urządzeń, unikanie weryfikacji dwuetapowej na zaufanych urządzeniach nie jest zalecane.
  8. W sekcji Metody wybierz metodę wymuszania:
    • Dowolna – użytkownik może skonfigurować dowolną metodę weryfikacji dwuetapowej.
    • Dowolna oprócz kodów weryfikacyjnych przekazywanych przez SMS-y lub połączenia głosowe – użytkownik może skonfigurować dowolną metodę weryfikacji dwuetapowej oprócz otrzymywania kodów na telefon.
      Ważne: użytkownikom, którzy do weryfikacji używają wiadomości i połączeń telefonicznych, zostanie zablokowany dostęp do kont. Aby uniknąć zablokowania im dostępu do kont:
      • Zanim wymuszanie zacznie obowiązywać, poproś użytkowników, by zaczęli korzystać z innej metody weryfikacji dwuetapowej, bo po dacie wymuszenia nie będzie ona dostępna na ich telefonach.
      • Możesz użyć atrybutu login_verification w zdarzeniach w dzienniku użytkownika, aby sprawdzić, którzy użytkownicy logują się przy użyciu kodów weryfikacyjnych otrzymywanych SMS-em lub przez połączenie głosowe. Jeśli parametr login_challenge_method ma wartość idv_preregistered_phone, oznacza to, że użytkownik uwierzytelnił się przy użyciu kodu bezpieczeństwa otrzymanego przez SMS-a lub połączenie głosowe.
    • Tylko klucz bezpieczeństwa – użytkownik musi skonfigurować klucz bezpieczeństwa.
      Zanim wybierzesz tę metodę wymuszania, znajdź użytkowników, którzy skonfigurowali już klucze bezpieczeństwa (dane w raportach mogą być opóźnione o maksymalnie 48 godzin). Aby sprawdzić stan weryfikacji dwuetapowej każdego użytkownika w czasie rzeczywistym, zobacz Zarządzanie ustawieniami zabezpieczeń konta użytkownika.
      Ważne: od momentu dodania kluczy dostępu opcja Tylko klucz bezpieczeństwa obsługuje teraz zarówno klucze bezpieczeństwa, jak i klucze dostępu jako metodę weryfikacji dwuetapowej. Zarówno klucze dostępu, jak i klucze bezpieczeństwa zapewniają ten sam poziom ochrony przed phishingiem. Więcej informacji znajdziesz w artykule Logowanie się za pomocą klucza dostępu zamiast hasła.
  9. Jeśli wybierzesz Tylko klucz bezpieczeństwa, ustaw Okres prolongaty zawieszenia zasad weryfikacji dwuetapowej.
    W tym okresie możesz pozwalać użytkownikom logować się przy użyciu wygenerowanego przez Ciebie zapasowego kodu weryfikacyjnego, co jest przydatne, gdy użytkownik utraci klucz bezpieczeństwa. Wybierz długość okresu prolongaty, który rozpocznie się po wygenerowaniu kodu weryfikacyjnego dla użytkownika. Więcej informacji o kodach zapasowych znajdziesz w artykule Pobieranie zapasowych kodów weryfikacyjnych dla użytkownika.
  10. W sekcji Kody zabezpieczające wybierz, czy użytkownik może logować się przy użyciu kodu zabezpieczającego.
    • Nie zezwalaj użytkownikom na generowanie kodów zabezpieczających – użytkownicy nie mogą generować kodów zabezpieczających.
    • Zezwalaj na kody zabezpieczające bez dostępu zdalnego – użytkownicy mogą generować kody zabezpieczające i używać ich na tym samym urządzeniu albo w sieci lokalnej (NAT lub LAN).
    • Zezwalaj na kody zabezpieczające z dostępem zdalnym – użytkownicy mogą generować kody zabezpieczające i używać ich na innych urządzeniach lub w innych sieciach, na przykład przy uzyskiwaniu dostępu do serwera zdalnego lub maszyny wirtualnej. 
      Kody zabezpieczające różnią się od kodów jednorazowych generowanych przez aplikacje takie jak Google Authenticator. Aby wygenerować kod zabezpieczający, użytkownik musi kliknąć klucz bezpieczeństwa na urządzeniu. Kody zabezpieczające są ważne przez 5 minut.
  11. Kliknij Zapisz. Jeśli masz skonfigurowaną jednostkę organizacyjną lub grupę, może pojawić się opcja Odziedzicz lub Zastąp (w przypadku nadrzędnej jednostki administracyjnej) lub Cofnij ustawienie (w przypadku grupy).

Jeśli użytkownicy nie spełnią wymagań do daty wymuszenia

Możesz dać im więcej czasu na rejestrację w usłudze, umieszczając ich w grupie, w przypadku której weryfikacja dwuetapowa nie będzie wymuszana. Chociaż to obejście umożliwia użytkownikom logowanie się, nie jest zalecane jako standardowy sposób postępowania. Dowiedz się, jak uniknąć zablokowania konta, gdy wymuszana jest weryfikacja dwuetapowa.

Powiązany artykuł

Wyświetlanie raportów dotyczących używania aplikacji przez organizację

Czy to było pomocne?

Jak możemy ją poprawić?
true
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
15332370756305990478
true
Wyszukaj w Centrum pomocy
true
true
true
false
false