Google Apps: двофакторний код підтвердження для абсолютно нового користувача?


37

Я адміністратор домену Google Apps. Я створив абсолютно новий обліковий запис користувача. Я спробував увійти як цей користувач (у новому браузері), і він сказав мені, що "Політика вашої організації вимагає, щоб ви записалися на двоетапну перевірку. Для отримання додаткової інформації зв'яжіться зі своїм адміністратором". А потім запитує мене на отримання коду.

Як на землі цей новий користувач має код, якщо він ніколи раніше не входив? Крім того, коли я переглядаю інформацію цього облікового запису користувачів з панелі адміністратора домену, він говорить, що 2FA вимкнено.

Зрозуміло, що коли я намагаюся увійти як цей користувач, він не вимикається, оскільки він вимагає ввести код. Здається, немає доступу до абсолютно нових облікових записів, оскільки для цього потрібні 2FA-коди, але ви не можете отримати 2FA-коди, поки не зможете увійти в обліковий запис користувачів і ввімкнути його та налаштувати його!

Відповіді:


14

Тимчасове відключення 2-факторного не є ідеальною ситуацією. Залежно від кількості користувачів, ви можете переслідувати користувача, щоб налаштувати його, щоб ви могли його знову ввімкнути. Через деякий час ви просто залишите його.

Ми рекомендуємо створити підорганізацію, що називається на кшталт "Pre-2-factor", і перемістити нового користувача в suborg. Ця суборганізм має вимкнено 2-факторну вимогу, АЛЕ також вимкніть все інше, окрім пошти та Сейфа (якщо у вас є сховище).

Після того як користувач сповістить вас, що завершив реєстрацію, ви можете перемістити їх у звичайну організацію чи підорганізацію.

Це покладає на користувача відповідальність за стимул зробити це, оскільки вони не можуть отримати доступ до нічого, крім пошти, доки вони не зареєструються та не повідомлять адміністратора.

Це дуже легко зробити з точки зору адміністратора.


Класно. Дякую за підказку :-)
znq

14
це неймовірно не банально, я б очікував, що вони вперше користуватимуться користувачами
Майкл

2
WTF! I це по-справжньому? Чи немає для цього "нормального" рішення, коли ми не переміщуємо користувачів у спеціальний орган? Чи не може користувач налаштувати MFA під час активації акаунта?
WooYek

1
Відповідь про "генерування нових кодів" від @idean нижче здається, що тут краще підходить; Чи хотіли б ви прийняти Сатью замість цього?
Гліф

Саймон Вудсайд має реальне рішення нижче. Очевидно, Google виправив проблему, додавши опцію "Період реєстрації нового користувача".
Ідріс Мохтарзада

30

Google це виправив зараз. Тепер ви можете перейти в Безпека > Основні налаштування > Перейти до розширених налаштувань, щоб застосувати двоетапну перевірку .

Потім натисніть на новий термін реєстрації користувача та встановіть 1 день . Це дозволить новому користувачеві одного дня встановити свій 2FA перед тим, як його заблокувати.

введіть тут опис зображення


Спасибі - чудова відповідь
Стів де Ніс

З цим я виявив кумедну помилку - у мене був обліковий запис google, який використовував електронну адресу своєї компанії близько двох років. Сьогодні мене "перенесли" в набір Google Business, і, здається, я був з цим ті самі 2 роки. Він не розуміє, що я зареєстрований лише 1 день, і тому я не можу налаштувати 2FA.
djsmiley2k - CoW

1
Це має бути нова прийнята відповідь.
MegaMatt

20

Відразу після створення нового користувача перейдіть на вкладку Безпека цього користувача та натисніть «Створити нові коди», щоб створити список кодів одноразового використання.

Потім дайте користувачеві перший або два коди із цього списку разом із URL-адресою https://accounts.google.com/b/0/SmsAuthSettings для автентифікації SMS (переконайтеся, що це може бути для вас іншим), щоб вони могли увійти один раз і налаштуйте їх 2FA.

Доброю практикою є також, щоб вони генерували новий список резервних кодів аутентифікації, оскільки вони вже використовували один-два.


1
Це краще, ніж прийнята відповідь ...
рис

У цьому є недоліки: (a) адміністратор знає деякі коди одноразового використання користувача, які можуть бути невідповідними залежно від вашої моделі безпеки; (b) вимагає від вас надійної передачі коду користувачеві (тобто з довірою та шифрування), що може бути важко автоматизованим захищеним способом.
Саймон Вудсайд

4

Це здається, що для домену увімкнено 2-факторну перевірку автентифікації:введіть тут опис зображення

Я думаю, ви могли б вимкнути це, щоб усі користувачі не змушені мати двофакторну автентифікацію.

Найкращою відповіддю, яку я можу знайти, якщо ви хочете, щоб цей параметр увімкнено, було б створити групу виключень:

Дозволити всім користувачам та адміністраторам залучатись до двоетапної перевірки або розміщувати їх у групі виключень, використовуючи групи виключень, перш ніж застосовувати налаштування. Це слід зробити для нових користувачів під час створення облікового запису. В іншому випадку вони будуть заблоковані з Google Apps.

Більш детальну інформацію про групу виключень можна знайти тут: http://support.google.com/a/bin/answer.py?hl=uk&answer=2548882


Yepp. Ось що я закінчив: тимчасово відключивши двофакторну аутентифікацію. Це не ідеально, але, здається, це єдиний спосіб.
znq

Групи винятків можуть бути такою чудовою особливістю, але вона керується настільки погано, що її реально не використовувати.
Саарико

1

Тепер Dito GAM може генерувати резервні коди для користувачів, навіть якщо вони ще не ввімкнули 2SV . Ти можеш:

  1. Створіть нового користувача.
  2. Створюйте резервні коди за допомогою команди "gam user newguy@example.com update update backupcodes"
  3. Повідомте користувачеві один резервний код разом із початковим паролем.
  4. Доручіть користувачеві увійти за адресою: https://accounts.google.com/b/0/SmsAuthSettings та записатись у 2SV або ризикуєте бути заблокованими після початкового входу.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.