Google Apps: двофакторний код підтвердження для абсолютно нового користувача?

Я адміністратор домену Google Apps. Я створив абсолютно новий обліковий запис користувача. Я спробував увійти як цей користувач (у новому браузері), і він сказав мені, що "Політика вашої організації вимагає, щоб ви записалися на двоетапну перевірку. Для отримання додаткової інформації зв'яжіться зі своїм адміністратором". А потім запитує мене на отримання коду.

Як на землі цей новий користувач має код, якщо він ніколи раніше не входив? Крім того, коли я переглядаю інформацію цього облікового запису користувачів з панелі адміністратора домену, він говорить, що 2FA вимкнено.

Зрозуміло, що коли я намагаюся увійти як цей користувач, він не вимикається, оскільки він вимагає ввести код. Здається, немає доступу до абсолютно нових облікових записів, оскільки для цього потрібні 2FA-коди, але ви не можете отримати 2FA-коди, поки не зможете увійти в обліковий запис користувачів і ввімкнути його та налаштувати його!

Тимчасове відключення 2-факторного не є ідеальною ситуацією. Залежно від кількості користувачів, ви можете переслідувати користувача, щоб налаштувати його, щоб ви могли його знову ввімкнути. Через деякий час ви просто залишите його.

Ми рекомендуємо створити підорганізацію, що називається на кшталт "Pre-2-factor", і перемістити нового користувача в suborg. Ця суборганізм має вимкнено 2-факторну вимогу, АЛЕ також вимкніть все інше, окрім пошти та Сейфа (якщо у вас є сховище).

Після того як користувач сповістить вас, що завершив реєстрацію, ви можете перемістити їх у звичайну організацію чи підорганізацію.

Це покладає на користувача відповідальність за стимул зробити це, оскільки вони не можуть отримати доступ до нічого, крім пошти, доки вони не зареєструються та не повідомлять адміністратора.

Це дуже легко зробити з точки зору адміністратора.

Google це виправив зараз. Тепер ви можете перейти в Безпека > Основні налаштування > Перейти до розширених налаштувань, щоб застосувати двоетапну перевірку .

Потім натисніть на новий термін реєстрації користувача та встановіть 1 день . Це дозволить новому користувачеві одного дня встановити свій 2FA перед тим, як його заблокувати.

Відразу після створення нового користувача перейдіть на вкладку Безпека цього користувача та натисніть «Створити нові коди», щоб створити список кодів одноразового використання.

Потім дайте користувачеві перший або два коди із цього списку разом із URL-адресою https://accounts.google.com/b/0/SmsAuthSettings для автентифікації SMS (переконайтеся, що це може бути для вас іншим), щоб вони могли увійти один раз і налаштуйте їх 2FA.

Доброю практикою є також, щоб вони генерували новий список резервних кодів аутентифікації, оскільки вони вже використовували один-два.

Це здається, що для домену увімкнено 2-факторну перевірку автентифікації:

Я думаю, ви могли б вимкнути це, щоб усі користувачі не змушені мати двофакторну автентифікацію.

Найкращою відповіддю, яку я можу знайти, якщо ви хочете, щоб цей параметр увімкнено, було б створити групу виключень:

Дозволити всім користувачам та адміністраторам залучатись до двоетапної перевірки або розміщувати їх у групі виключень, використовуючи групи виключень, перш ніж застосовувати налаштування. Це слід зробити для нових користувачів під час створення облікового запису. В іншому випадку вони будуть заблоковані з Google Apps.

Більш детальну інформацію про групу виключень можна знайти тут: http://support.google.com/a/bin/answer.py?hl=uk&answer=2548882

Тепер Dito GAM може генерувати резервні коди для користувачів, навіть якщо вони ще не ввімкнули 2SV . Ти можеш:

1. Створіть нового користувача.
2. Створюйте резервні коди за допомогою команди "gam user newguy@example.com update update backupcodes"
3. Повідомте користувачеві один резервний код разом із початковим паролем.
4. Доручіть користувачеві увійти за адресою: https://accounts.google.com/b/0/SmsAuthSettings та записатись у 2SV або ризикуєте бути заблокованими після початкового входу.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users