Google Apps: รหัสยืนยันสองปัจจัยสำหรับผู้ใช้ใหม่ใช่ไหม


37

ฉันเป็นผู้ดูแลระบบของโดเมน Google Apps ฉันสร้างบัญชีผู้ใช้ใหม่แล้ว ฉันพยายามลงชื่อเข้าใช้ในฐานะผู้ใช้รายนั้น (ในเบราว์เซอร์ใหม่) และบอกฉันว่า "นโยบายขององค์กรของคุณกำหนดให้คุณต้องลงทะเบียนในการยืนยันแบบสองขั้นตอนโปรดติดต่อผู้ดูแลระบบของคุณสำหรับข้อมูลเพิ่มเติม" จากนั้นให้ฉันขอรหัส

ผู้ใช้ใหม่นี้จะมีรหัสได้อย่างไรถ้าพวกเขาไม่เคยเข้าสู่ระบบมาก่อนนอกจากนี้เมื่อฉันดูข้อมูลบัญชีผู้ใช้นี้จากแผงผู้ดูแลระบบโดเมนมันบอกว่า 2FA ปิดอยู่

เห็นได้ชัดเมื่อฉันพยายามเข้าสู่ระบบในฐานะผู้ใช้รายนี้มันไม่ได้ปิดเนื่องจากได้รับแจ้งให้ใส่รหัส ดูเหมือนจะไม่มีทางเข้าถึงบัญชีใหม่เนื่องจากต้องใช้รหัส 2FA แต่คุณไม่สามารถรับรหัส 2FA ได้จนกว่าคุณจะสามารถลงชื่อเข้าใช้บัญชีผู้ใช้และเปิดใช้งานและตั้งค่า!

คำตอบ:


14

การปิดใช้งาน 2 ปัจจัยชั่วคราวไม่ใช่สถานการณ์ในอุดมคติ ขึ้นอยู่กับจำนวนผู้ใช้คุณสามารถไล่ผู้ใช้เพื่อตั้งค่าเพื่อให้คุณสามารถเปิดใช้งานได้อีกครั้ง หลังจากนั้นคุณก็จะทิ้งมันไว้

เราขอแนะนำให้คุณสร้างองค์กรย่อยที่เรียกว่า "Pre-2-factor" และย้ายผู้ใช้ใหม่ไปยัง suborg suborg นั้นมีข้อกำหนด 2 ปัจจัยปิดอยู่แต่ก็ปิดทุกอย่างยกเว้น Mail และ Vault (ถ้าคุณมี vault)

เมื่อผู้ใช้แจ้งคุณว่าพวกเขาเสร็จสิ้นการลงทะเบียนคุณสามารถย้ายพวกเขาไปยังองค์กรปกติหรือองค์กรย่อย

สิ่งนี้ทำให้เกิดความรับผิดชอบต่อผู้ใช้ในการสร้างแรงจูงใจให้ทำเพราะพวกเขาไม่สามารถเข้าถึงอะไรได้นอกจากเมลจนกว่าพวกเขาจะลงทะเบียนและแจ้งผู้ดูแลระบบ

ง่ายมากที่จะทำจากมุมมองของผู้ดูแลระบบ


เย็น. ขอบคุณสำหรับคำใบ้ :-)
znq

13
นี่เป็นเรื่องไม่น่าเหลือเชื่อฉันคาดหวังให้พวกเขาจัดการผู้ใช้ครั้งแรกที่แตกต่าง
Michael

2
WTF! ฉันนี้จริงหรือ ไม่มีวิธีแก้ปัญหา "ปกติ" สำหรับสิ่งนี้หรือไม่ที่เราไม่ย้ายผู้ใช้ออกจากองค์กรพิเศษหรือไม่? ผู้ใช้ไม่สามารถตั้งค่า MFA ในระหว่างการเปิดใช้งานบัญชีได้หรือไม่
WooYek

1
คำตอบเกี่ยวกับ "สร้างรหัสใหม่" จาก @idean ด้านล่างดูเหมือนว่าเหมาะสมกว่าที่นี่ Sathya คุณจะพิจารณารับคนนั้นแทนหรือไม่?
Glyph

Simon Woodside มีทางออกที่แท้จริงด้านล่าง เห็นได้ชัดว่า Google แก้ไขปัญหาด้วยการเพิ่มตัวเลือก "ระยะเวลาการลงทะเบียนผู้ใช้ใหม่"
Idris Mokhtarzada

30

Google ได้แก้ไขสิ่งนี้แล้ว ตอนนี้คุณสามารถไปที่การรักษาความปลอดภัย > การตั้งค่าพื้นฐาน > ไปที่การตั้งค่าขั้นสูงในการบังคับใช้การยืนยันแบบ 2 ขั้นตอน

จากนั้นคลิกที่ใหม่ระยะเวลาการลงทะเบียนผู้ใช้และกำหนดให้1 วัน วิธีนี้จะทำให้ผู้ใช้ใหม่หนึ่งวันตั้งค่า 2FA ก่อนที่พวกเขาจะถูกล็อค

ป้อนคำอธิบายรูปภาพที่นี่


ขอบคุณ - คำตอบที่ดี
Steve de Niese

ฉันพบ 'ข้อผิดพลาด' ที่น่าขบขัน - ฉันมีบัญชี Google โดยใช้ที่อยู่อีเมลธุรกิจเป็นเวลาประมาณ 2 ปี วันนี้ฉันถูก 'ย้าย' เข้าไปในชุด Google Business และมันคิดว่าฉันเคยอยู่กับมันมา 2 ปีแล้ว ไม่ทราบว่าฉันลงทะเบียนเพียง 1 วันแล้วดังนั้นฉันจึงไม่สามารถตั้งค่า 2FA ได้
djsmiley2k - CoW

1
นี่ควรเป็นคำตอบที่ยอมรับใหม่
MegaMatt

20

ทันทีหลังจากสร้างผู้ใช้ใหม่ให้ไปที่แท็บความปลอดภัยของผู้ใช้และคลิกที่ "สร้างรหัสใหม่" เพื่อสร้างรายการรหัสแบบใช้ครั้งเดียว

จากนั้นให้ผู้ใช้หนึ่งหรือสองรหัสแรกจากรายการนั้นพร้อมกับ URL https://accounts.google.com/b/0/SmsAuthSettingsสำหรับการรับรองความถูกต้องของ SMS (ตรวจสอบสิ่งนี้มันอาจจะแตกต่างกันสำหรับคุณ) เพื่อให้พวกเขาสามารถเข้าสู่ระบบ เพียงครั้งเดียวและตั้งค่า 2FA ของพวกเขา

เป็นเรื่องที่ดีที่จะให้พวกเขาสร้างรายการรหัสยืนยันตัวตนสำรองใหม่เนื่องจากตอนนี้พวกเขาใช้หนึ่งหรือสอง


1
นี่มันดีกว่าคำตอบที่ยอมรับ ...
รูปที่

สิ่งนี้มีข้อเสีย: (ก) ผู้ดูแลระบบรู้รหัสใช้ครั้งเดียวบางส่วนของผู้ใช้ซึ่งอาจไม่เหมาะสมขึ้นอยู่กับรุ่นความปลอดภัยของคุณ (b) กำหนดให้คุณส่งรหัสไปยังผู้ใช้อย่างปลอดภัย (เช่นด้วยความไว้วางใจและ การเข้ารหัส) ซึ่งอาจทำได้ยากโดยอัตโนมัติในลักษณะที่ปลอดภัย
Simon Woodside

4

ดูเหมือนว่าคุณได้เปิดใช้งานการบังคับใช้การตรวจสอบความถูกต้องของปัจจัย 2 ประการสำหรับโดเมน:ป้อนคำอธิบายรูปภาพที่นี่

ฉันคิดว่าคุณสามารถปิดการใช้งานเพื่อให้ผู้ใช้ทั้งหมดไม่ได้ถูกบังคับให้มีการตรวจสอบสิทธิ์แบบ 2 ปัจจัย

คำตอบที่ดีที่สุดที่ฉันสามารถหาได้หากคุณต้องการปล่อยให้การตั้งค่านั้นเปิดใช้งานคือการตั้งค่ากลุ่มยกเว้น:

ให้ผู้ใช้และผู้ดูแลระบบทั้งหมดลงทะเบียนในการยืนยันแบบสองขั้นตอนหรือวางไว้ในกลุ่มยกเว้นโดยใช้กลุ่มข้อยกเว้นก่อนบังคับใช้การตั้งค่า สิ่งนี้ควรทำสำหรับผู้ใช้ใหม่ในระหว่างการสร้างบัญชี มิฉะนั้นจะถูกล็อคไว้จาก Google Apps

ดูรายละเอียดเพิ่มเติมเกี่ยวกับกลุ่มข้อยกเว้นได้ที่นี่: http://support.google.com/a/bin/answer.py?hl=th&answer=2548882


yepp นั่นคือสิ่งที่ฉันทำลงไป: ปิดการตรวจสอบสิทธิ์แบบ 2 ปัจจัยชั่วคราว มันไม่เหมาะ แต่ดูเหมือนจะเป็นวิธีเดียว
znq

กลุ่มข้อยกเว้นอาจเป็นคุณลักษณะที่ยอดเยี่ยม แต่ก็มีการจัดการที่แย่มากมันไม่สามารถใช้งานได้จริง
Saariko

1

Dito GAM ตอนนี้สามารถสร้างรหัสสำรองสำหรับผู้ใช้แม้ว่าพวกเขาไม่ได้มี 2SV เปิดเลย คุณสามารถ:

  1. สร้างผู้ใช้ใหม่
  2. สร้างรหัสสำรองด้วยคำสั่ง "gam user newguy@example.com อัปเดตรหัสสำรอง"
  3. สื่อสารรหัสสำรองหนึ่งรหัสให้กับผู้ใช้พร้อมกับรหัสผ่านเริ่มต้น
  4. สั่งให้ผู้ใช้เข้าสู่ระบบที่: https://accounts.google.co.th/b/0/SmsAuthSettingsและลงทะเบียนใน 2SV หรือเสี่ยงต่อการถูกล็อคหลังจากเข้าสู่ระบบครั้งแรก

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.