如果 Google 已对组织的管理员账号强制执行两步验证,则本文中的步骤不适用。如需查看您账号的强制执行状态,请参阅跟踪用户的注册情况,然后添加强制执行两步验证列。有关详情,请参阅“重要提示:管理员账号即将需要进行两步验证”。
当您强制执行两步验证时,可以指定一个注册期,在此期间新用户仅需要通过密码就可以登录。这样一来,新员工就可以在系统对其账号强制执行两步验证前先注册两步验证。 为避免账号锁定,请将用户置于不强制执行两步验证的配置群组中,直到他们可以注册为止。
用户账号是如何被锁定的
- 如果您更改了组织结构,并将用户从不强制执行两步验证的组织部门移动到强制执行两步验证的组织部门,那么尚未注册两步验证的用户将无法登录自己的账号。
- 如果您强制执行其他两步验证政策,可能会导致用户的账号遭到锁定。例如,如果您允许用户通过短信获取验证码,然后更改政策以要求他们使用安全密钥,那么不遵守新政策的用户的账号将遭到锁定。
- 如果用户移除了其账号中上次已知的第二个验证步骤(例如电话号码),则会收到警告。如果用户不添加新的第二个验证步骤,则可能会无法登录自己的账号。如果用户需要重新添加上次已知的第二个验证步骤,请告知他们参阅开启两步验证。
第 1 步:创建免于执行两步验证的群组
-
- 通过管理控制台或 Google Cloud Directory Sync 创建群组,并将不需要使用两步验证的用户添加到该群组。请参阅在组织中创建群组,了解相关步骤。
第 2 步:为群组停用强制执行
准备工作:如有需要,请了解如何将设置应用于部门或群组。
您必须以超级用户身份登录,才能执行此任务。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
身份验证
- 在群组部分,输入您创建的配置群组的名称。
如果您没有找到所需群组,则该群组可能是通过 Google 群组创建的。您必须通过管理控制台、Directory API 或 Google Cloud Directory Sync 创建配置群组。 - 让用户启用两步验证并使用任一验证方法,但暂不强制要求用户进行两步验证:勾选允许用户启用两步验证对应的复选框,然后选择强制执行
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。
第 3 步:将已注册的用户从群组中移除
-
-
在管理控制台中,依次点击“菜单”图标
报告
您会看到哪些用户注册了两步验证。此数据最长可能延迟 48 小时。如要查看各位用户的实时两步验证状态,请参阅管理用户的安全设置。
- “免于执行两步验证”群组中的用户注册两步验证后,请将其从该群组中移除,并移到适当的组织部门。