Google Apps: รหัสยืนยันสองปัจจัยสำหรับผู้ใช้ใหม่ใช่ไหม

ฉันเป็นผู้ดูแลระบบของโดเมน Google Apps ฉันสร้างบัญชีผู้ใช้ใหม่แล้ว ฉันพยายามลงชื่อเข้าใช้ในฐานะผู้ใช้รายนั้น (ในเบราว์เซอร์ใหม่) และบอกฉันว่า "นโยบายขององค์กรของคุณกำหนดให้คุณต้องลงทะเบียนในการยืนยันแบบสองขั้นตอนโปรดติดต่อผู้ดูแลระบบของคุณสำหรับข้อมูลเพิ่มเติม" จากนั้นให้ฉันขอรหัส

ผู้ใช้ใหม่นี้จะมีรหัสได้อย่างไรถ้าพวกเขาไม่เคยเข้าสู่ระบบมาก่อนนอกจากนี้เมื่อฉันดูข้อมูลบัญชีผู้ใช้นี้จากแผงผู้ดูแลระบบโดเมนมันบอกว่า 2FA ปิดอยู่

เห็นได้ชัดเมื่อฉันพยายามเข้าสู่ระบบในฐานะผู้ใช้รายนี้มันไม่ได้ปิดเนื่องจากได้รับแจ้งให้ใส่รหัส ดูเหมือนจะไม่มีทางเข้าถึงบัญชีใหม่เนื่องจากต้องใช้รหัส 2FA แต่คุณไม่สามารถรับรหัส 2FA ได้จนกว่าคุณจะสามารถลงชื่อเข้าใช้บัญชีผู้ใช้และเปิดใช้งานและตั้งค่า!

การปิดใช้งาน 2 ปัจจัยชั่วคราวไม่ใช่สถานการณ์ในอุดมคติ ขึ้นอยู่กับจำนวนผู้ใช้คุณสามารถไล่ผู้ใช้เพื่อตั้งค่าเพื่อให้คุณสามารถเปิดใช้งานได้อีกครั้ง หลังจากนั้นคุณก็จะทิ้งมันไว้

เราขอแนะนำให้คุณสร้างองค์กรย่อยที่เรียกว่า "Pre-2-factor" และย้ายผู้ใช้ใหม่ไปยัง suborg suborg นั้นมีข้อกำหนด 2 ปัจจัยปิดอยู่แต่ก็ปิดทุกอย่างยกเว้น Mail และ Vault (ถ้าคุณมี vault)

เมื่อผู้ใช้แจ้งคุณว่าพวกเขาเสร็จสิ้นการลงทะเบียนคุณสามารถย้ายพวกเขาไปยังองค์กรปกติหรือองค์กรย่อย

สิ่งนี้ทำให้เกิดความรับผิดชอบต่อผู้ใช้ในการสร้างแรงจูงใจให้ทำเพราะพวกเขาไม่สามารถเข้าถึงอะไรได้นอกจากเมลจนกว่าพวกเขาจะลงทะเบียนและแจ้งผู้ดูแลระบบ

ง่ายมากที่จะทำจากมุมมองของผู้ดูแลระบบ

Google ได้แก้ไขสิ่งนี้แล้ว ตอนนี้คุณสามารถไปที่การรักษาความปลอดภัย > การตั้งค่าพื้นฐาน > ไปที่การตั้งค่าขั้นสูงในการบังคับใช้การยืนยันแบบ 2 ขั้นตอน

จากนั้นคลิกที่ใหม่ระยะเวลาการลงทะเบียนผู้ใช้และกำหนดให้1 วัน วิธีนี้จะทำให้ผู้ใช้ใหม่หนึ่งวันตั้งค่า 2FA ก่อนที่พวกเขาจะถูกล็อค

ทันทีหลังจากสร้างผู้ใช้ใหม่ให้ไปที่แท็บความปลอดภัยของผู้ใช้และคลิกที่ "สร้างรหัสใหม่" เพื่อสร้างรายการรหัสแบบใช้ครั้งเดียว

จากนั้นให้ผู้ใช้หนึ่งหรือสองรหัสแรกจากรายการนั้นพร้อมกับ URL https://accounts.google.com/b/0/SmsAuthSettingsสำหรับการรับรองความถูกต้องของ SMS (ตรวจสอบสิ่งนี้มันอาจจะแตกต่างกันสำหรับคุณ) เพื่อให้พวกเขาสามารถเข้าสู่ระบบ เพียงครั้งเดียวและตั้งค่า 2FA ของพวกเขา

เป็นเรื่องที่ดีที่จะให้พวกเขาสร้างรายการรหัสยืนยันตัวตนสำรองใหม่เนื่องจากตอนนี้พวกเขาใช้หนึ่งหรือสอง

ดูเหมือนว่าคุณได้เปิดใช้งานการบังคับใช้การตรวจสอบความถูกต้องของปัจจัย 2 ประการสำหรับโดเมน:

ฉันคิดว่าคุณสามารถปิดการใช้งานเพื่อให้ผู้ใช้ทั้งหมดไม่ได้ถูกบังคับให้มีการตรวจสอบสิทธิ์แบบ 2 ปัจจัย

คำตอบที่ดีที่สุดที่ฉันสามารถหาได้หากคุณต้องการปล่อยให้การตั้งค่านั้นเปิดใช้งานคือการตั้งค่ากลุ่มยกเว้น:

ให้ผู้ใช้และผู้ดูแลระบบทั้งหมดลงทะเบียนในการยืนยันแบบสองขั้นตอนหรือวางไว้ในกลุ่มยกเว้นโดยใช้กลุ่มข้อยกเว้นก่อนบังคับใช้การตั้งค่า สิ่งนี้ควรทำสำหรับผู้ใช้ใหม่ในระหว่างการสร้างบัญชี มิฉะนั้นจะถูกล็อคไว้จาก Google Apps

ดูรายละเอียดเพิ่มเติมเกี่ยวกับกลุ่มข้อยกเว้นได้ที่นี่: http://support.google.com/a/bin/answer.py?hl=th&answer=2548882

Dito GAM ตอนนี้สามารถสร้างรหัสสำรองสำหรับผู้ใช้แม้ว่าพวกเขาไม่ได้มี 2SV เปิดเลย คุณสามารถ:

1. สร้างผู้ใช้ใหม่
2. สร้างรหัสสำรองด้วยคำสั่ง "gam user newguy@example.com อัปเดตรหัสสำรอง"
3. สื่อสารรหัสสำรองหนึ่งรหัสให้กับผู้ใช้พร้อมกับรหัสผ่านเริ่มต้น
4. สั่งให้ผู้ใช้เข้าสู่ระบบที่: https://accounts.google.co.th/b/0/SmsAuthSettingsและลงทะเบียนใน 2SV หรือเสี่ยงต่อการถูกล็อคหลังจากเข้าสู่ระบบครั้งแรก

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users