Двухэтапная аутентификация

Развертывание двухэтапной аутентификации

Вы и ваши пользователи играете важную роль в настройке двухэтапной аутентификации. 

Шаг 1. Уведомите пользователей о развертывании двухэтапной аутентификации (обязательно)

Расскажите пользователям о предстоящем развертывании:

  • Объясните, что такое двухэтапная аутентификация и почему компания ее использует.
  • Укажите, является ли двухэтапная аутентификация обязательной.
  • Если необходимо, сообщите, до какой даты пользователи должны включить двухэтапную аутентификацию.
  • Укажите, какой способ двухэтапной аутентификации является обязательным или рекомендованным.

Шаг 2. Настройте базовые параметры двухэтапной аутентификации (обязательно)

В консоли администратора Google можно настроить параметр, который позволит пользователям включить двухэтапную аутентификацию. Этот параметр применяется к организации верхнего уровня, которая может включать в себя несколько доменов.

В организациях верхнего уровня, созданных после декабря 2016 года, параметр консоли администратора, отвечающий за двухэтапную аутентификацию, включен по умолчанию. Он также по умолчанию включен в аккаунтах, созданных в таких организациях. Когда параметр включен, пользователи могут выбрать метод двухэтапной аутентификации.

Как разрешить пользователям в организации верхнего уровня включить двухэтапную аутентификацию

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасность > Основные настройки.

    Если на главной странице нет значка "Безопасность", нажмите Добавить элементы управления в нижней части экрана.

  3. В разделе Двухэтапная аутентификация установите флажок Разрешить пользователям включать двухэтапную аутентификацию.
    В результате любой пользователь организации верхнего уровня сможет включить двухэтапную аутентификацию и выбрать любой из методов.
  4. В правом нижнем углу нажмите Сохранить.

Как уведомить пользователей о том, что они должны включить двухэтапную аутентификацию

  1. Попросите пользователей выполнить инструкции, приведенные в разделе Как включить двухэтапную аутентификацию.
  2. Предоставьте инструкции по выбору методов двухэтапной аутентификации:

Шаг 3. Включите принудительную двухэтапную аутентификацию (необязательно)


Принудительное применение двухэтапной аутентификации делает ее обязательной для пользователей. Те, кто не включил двухэтапную аутентификацию, не смогут войти в свои аккаунты.

Как перейти на страницу расширенных настроек двухэтапной аутентификации

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасность > Основные настройки.

    Если на главной странице нет значка "Безопасность", нажмите Добавить элементы управления в нижней части экрана.

  3. В разделе Двухэтапная аутентификация должен быть установлен флажок Разрешить пользователям включать двухэтапную аутентификацию. Если нет, установите его и нажмите Сохранить.
  4. Нажмите Перейти к расширенным настройкам для включения двухэтапной аутентификации.

Как проверить статус включения двухэтапной аутентификации у пользователей

Прежде чем принудительно применить двухэтапную аутентификацию, убедитесь, что пользователи включили ее. В противном случае они не смогут войти в свои аккаунты.
  1. На странице "Расширенные настройки безопасности" в разделе Принудительное применение нажмите Отчет о включении двухэтапной аутентификации в правой части окна.
  2. Посмотрите, у каких пользователей двухэтапная аутентификация не включена.
    Обновление этих данных может занять до 48 часов. Проверить статус двухэтапной аутентификации для каждого пользователя в режиме реального времени можно на странице пользователя.
  3. Сообщите пользователям, которые не включили двухэтапную аутентификацию, о необходимости сделать это и о том, что в противном случае они потеряют доступ к аккаунтам.

Как принудительно применить аутентификацию

Сделайте двухэтапную аутентификацию обязательной для администраторов и важных пользователей. Подробнее…

Параметр в консоли администратора Google, который позволяет пользователям включить двухэтапную аутентификацию, относится ко всей организации верхнего уровня. Однако вы можете выбрать, следует ли принудительно применить двухэтапную аутентификацию ко всей организации или только к определенным организационным подразделениям.

  1. В левой части страницы "Расширенные настройки безопасности" выберите организационное подразделение.
    • Если оно не выбрано, настройки принудительного применения будут относиться ко всей организации верхнего уровня.
    • Чтобы организационное подразделение унаследовало настройки родительской организации, в правом верхнем углу нажмите Использовать унаследованные.
  2. Выберите время включения принудительной двухэтапной аутентификации.
    • Включить обязательную двухэтапную аутентификацию с выбранной даты. Применение начнется с выбранной даты.
    • Включить обязательную двухэтапную аутентификацию сейчас. Применение начнется немедленно.
  3. Если вы решите принудительно применить аутентификацию с определенной даты, выберите ее в календаре. При входе в аккаунт пользователи будут видеть напоминание о необходимости включить двухэтапную аутентификацию.
  4. Нажмите Сохранить.

Как предотвратить блокировку доступа к аккаунту для новых пользователей

Дайте новым пользователям время включить двухэтапную аутентификацию до ее принудительного применения. Для этого задайте период, в течение которого новые пользователи могут входить в систему, используя только пароль.
  1. На странице "Расширенные настройки безопасности" в поле Период включения двухэтапной аутентификации для новых пользователей выберите значение от 1 дня до 6 месяцев.
    Столько времени получат новые пользователи, чтобы включить двухэтапную аутентификацию после первого входа в аккаунт.
  2. Нажмите Сохранить.

Шаг 4. Выберите способы принудительного включения (необязательно)

Как выбрать способ двухэтапной аутентификации при ее включении 

При включении обязательной двухэтапной аутентификации для способов ее применения по умолчанию устанавливается параметр "Любые". Рекомендуем использовать электронные ключи – это самый надежный способ двухэтапной аутентификации. Подробнее…

  1. На странице "Расширенные настройки безопасности" в разделе Разрешенные способы двухэтапной аутентификации выберите один из параметров:
    • Любые. Пользователи могут выбрать любой способ двухэтапной аутентификации.
    • Любые, за исключением кодов подтверждения, передаваемых с помощью SMS или телефонного звонка. Пользователи могут выбрать любой способ, кроме получения кода с помощью телефона.
    • Только электронный ключ. Пользователи могут использовать только электронный ключ.
  2. Нажмите Сохранить.
Как подготовить пользователей к принудительному применению двухэтапной аутентификации 

Если вы включите обязательную двухэтапную аутентификацию, а пользователи не настроят ее, то по истечении срока действия активного сеанса они не смогут войти в свои аккаунты. В таком случае вам нужно будет восстановить доступ к их аккаунтам. Ниже перечислены возможные сценарии перехода на обязательную двухэтапную аутентификацю.

  • Переход с необязательного применения двухэтапной аутентификации на принудительное.
  • Переход с принудительного применения двухэтапной аутентификации, при котором пользователям разрешено выбирать любой способ ее прохождения, на использование всех способов, кроме получения кодов подтверждения с помощью SMS или телефонного звонка.
  • Переход с необязательного применения двухэтапной аутентификации, при котором разрешен любой способ ее прохождения (или любой способ, кроме SMS и телефонных звонков), на использование электронных ключей в качестве единственно возможного способа двухэтапной аутентификации.

Уведомите пользователей о включении принудительной двухэтапной аутентификации

Заблаговременно сообщите о том, что вы планируете сделать двухэтапную аутентификацию обязательной, и укажите дату ее включения. Дайте пользователям время настроить способ двухэтапной аутентификации. Для новых пользователей задайте период включения двухэтапной аутентификации согласно инструкциям в разделе "Как предотвратить блокировку доступа к аккаунту для новых пользователей" выше.

Что, если пользователи не выберут способ двухэтапной аутентификации до даты ее принудительного включения

Некоторые пользователи могут не настроить нужный способ двухэтапной аутентификации до указанного вами срока. Вы можете добавить их в группу исключений, для которой двухэтапная аутентификация начнет применяться только после того, как пользователи настроят ее. Узнайте, как избежать блокировки аккаунтов после принудительного включения двухэтапной аутентификации.

Аккаунты в группе исключения, для которых принудительное применение двухэтапной аутентификации отключено, не защищены, поэтому этот способ рекомендуется применять в крайних случаях.

Как включить параметр "Любые, за исключением кодов подтверждения, передаваемых с помощью SMS или телефонного звонка"

Если вы разрешили использовать любой способ двухэтапной аутентификации, вероятно, некоторые пользователи выбрали получение кода подтверждения на телефон. После того как вы включите параметр "Любые, за исключением кодов подтверждения, передаваемых с помощью SMS или телефонного звонка", такие пользователи потеряют доступ к своим аккаунтам и не смогут добавлять номера телефонов.

Ниже описано, как этого избежать.

  • Прежде чем включать этот параметр, сообщите пользователям, что они должны выбрать другой способ двухэтапной аутентификации, так как после определенной даты они не смогут входить в аккаунт с помощью кода подтверждения, получаемого по SMS или с помощью звонка.
  • Узнайте, какие пользователи используют для аутентификации код подтверждения, полученный с помощью SMS или телефонного звонка. Для этого в журнале аудита входа в разделе login_verification найдите пользователей, у которых для параметра login_challenge_method установлено значение idv_preregistered_phone.

Как включить параметр "Только электронный ключ"

Прежде чем сделать этот способ аутентификации обязательным, откройте настройки безопасности и убедитесь, что пользователи зарегистрировали электронные ключи.

  • Под пунктом Только электронный ключ нажмите на ссылку пользователи зарегистрировали электронные ключи, чтобы открыть список пользователей.
  • Нажмите на имя пользователя, чтобы посмотреть его настройки.
Как включить резервные коды на случай потери электронных ключей
Если электронные ключи выбраны в качестве единственного способа двухэтапной аутентификации, а пользователь потерял свой электронный ключ, ему нужен способ войти в аккаунт до получения нового ключа. В течение определенного периода времени можно разрешить использовать резервные коды.
  1. На странице "Расширенные настройки безопасности" в разделе Срок продления использования двухэтапной аутентификации выберите значение от 1 дня до 1 недели.
    Срок, на который будет продлена двухэтапная аутентификация, начнется с момента создания резервных кодов.
  2. Нажмите Сохранить.
Как разрешить использование защитных кодов, если электронные ключи не поддерживаются 
При принудительном применении электронных ключей у некоторых пользователей могут возникнуть проблемы с доступом к отдельным приложениям. На некоторых платформах, не поддерживающих электронные ключи, пользователи не смогут войти в веб-интерфейс приложений с помощью учетных данных Google. В том числе это касается мобильной версии iOS, а также Safari и Internet Explorer. Вот некоторые примеры:
  • Корпоративное веб-приложение запускается только в браузере, который не поддерживает электронные ключи
    Мария работает в финансовом отделе и использует специальное веб-приложение, доступное только через браузер Internet Explorer 8.0. Поскольку электронные ключи применяются в обязательном порядке, она не сможет войти в это веб-приложение с помощью учетных данных аккаунта Google.
  • Начальная настройка iPhone
    Николай, сотрудник отдела продаж, приобрел новый iPhone. Для его настройки ему необходимо войти в аккаунт Google на устройстве.  Ему не удастся это сделать, так как браузер Safari и версия iOS для мобильных устройств не поддерживают электронные ключи.

Как разрешить использование защитных кодов

На платформах без поддержки электронных ключей пользователям можно разрешить применять специальный одноразовый защитный код для аутентификации и входа в систему. Его можно генерировать только на устройстве, которое предусматривает использование электронных ключей.

  1. На странице "Расширенные настройки безопасности" в разделе Разрешенные способы двухэтапной аутентификации, Только электронный ключ выберите Для двухэтапной аутентификации пользователи могут использовать защитный код с https://g.co/sc вместо электронного ключа.
  2. Нажмите Сохранить.

Как используются защитные коды

Защитные коды отличаются от одноразовых кодов, генерируемых такими приложениями, как Google Authenticator. Защитный код может быть создан только на устройстве с поддержкой электронных ключей. Для получения защитного кода пользователю необходимо нажать на электронный ключ.

Когда следует разрешить использование защитных кодов

Защитные коды позволяют решить проблему доступа, если применение электронных ключей является обязательным, но они не поддерживаются в рабочей среде пользователя. Однако по сравнению с электронными ключами защитные коды менее надежны. В связи с этим их применение допустимо только в случае, если используемые пользователем платформа или приложение не поддерживают электронные ключи.

Как пользователю получить защитный код

Мария работает в финансовом отделе и использует специальное веб-приложение, доступное только в браузере Internet Explorer 8.0. Ниже описывается, как она может получить доступ к нему.

  1. Мария входит в аккаунт с помощью учетных данных Google на своем ноутбуке.
  2. Для прохождения аутентификации она вставляет электронный ключ в USB-порт или, если он уже находится в разъеме, нажимает кнопку на нем.
  3. Мария запускает Internet Explorer 8.0, чтобы войти в приложение.
  4. Появляется запрос о генерировании одноразового защитного кода на устройстве с поддержкой электронного ключа.
  5. Мария открывает браузер Chrome на ноутбуке и вводит https://g.co/sc.
  6. Она нажимает кнопку на электронном ключе и получает защитный код.
  7. Скопировав и вставив защитный код, Мария завершает вход в веб-приложение через Internet Explorer.

В настоящее время электронные ключи поддерживаются только в браузерах Chrome и Firefox. Сгенерированные одноразовые защитные коды действительны в течение 5 минут.

Как разрешить не проходить двухэтапную аутентификацию при каждом входе в аккаунт на доверенных устройствах

Мы не рекомендуем предоставлять это разрешение. Исключением являются случаи, когда пользователям часто приходится работать с разными устройствами.

  1. На странице "Расширенные настройки безопасности" в разделе Частота двухэтапной аутентификации выберите один из следующих вариантов:
    • Разрешить пользователю добавлять устройство в список доверенных при прохождении двухэтапной аутентификации. При входе в аккаунт с нового устройства его можно будет добавить в список доверенных. Пользователю больше не придется проходить двухэтапную аутентификацию на этом устройстве, если он не удалит файлы cookie и не отменит связь с устройством в своем аккаунте, а также если вы не сбросите файлы cookie сотрудника, использующиеся для входа.
    • Запретить пользователю добавлять устройство в список доверенных при прохождении двухэтапной аутентификации. Двухэтапная аутентификация будет обязательна каждый раз при входе в аккаунт.
  2. Нажмите Сохранить.

Шаг 5. Управляйте электронными ключами (необязательно)

Как добавить электронный ключ

Вы можете добавить в аккаунт пользователя электронный ключ. Если пользователь не включил двухэтапную аутентификацию, это будет сделано автоматически после добавления ключа. Подробнее о том, как управлять настройками безопасности пользователя

 

Эта информация оказалась полезной?
Как можно улучшить эту статью?