Google Apps: Mã xác minh 2 yếu tố cho người dùng hoàn toàn mới?


37

Tôi là quản trị viên của một tên miền Google Apps. Tôi đã tạo một tài khoản người dùng hoàn toàn mới. Tôi đã cố gắng đăng nhập với tư cách là người dùng đó (trong một trình duyệt mới) và nó nói với tôi rằng "Chính sách của tổ chức của bạn yêu cầu bạn phải đăng ký xác minh 2 bước. Vui lòng liên hệ với quản trị viên của bạn để biết thêm thông tin." Và sau đó nhắc tôi cho một mã.

Làm thế nào trên trái đất người dùng hoàn toàn mới này sẽ có mã nếu họ chưa bao giờ đăng nhập trước đó? Hơn nữa, khi tôi xem thông tin tài khoản người dùng này từ bảng quản trị tên miền, nó nói rằng 2FA bị TẮT.

Rõ ràng khi tôi cố gắng đăng nhập với tư cách là người dùng này thì nó không tắt vì nó đang nhắc mã. Dường như không có cách nào để truy cập vào các tài khoản hoàn toàn mới vì nó yêu cầu mã 2FA, nhưng bạn không thể nhận mã 2FA cho đến khi bạn có thể đăng nhập vào tài khoản người dùng và bật nó lên và thiết lập nó!

Câu trả lời:


14

Tạm thời tắt 2 yếu tố không phải là một tình huống lý tưởng. Tùy thuộc vào số lượng người dùng, bạn có thể theo đuổi người dùng để thiết lập nó để bạn có thể bật lại. Sau một thời gian, bạn sẽ bỏ nó đi.

Chúng tôi khuyên bạn nên tạo một tổ chức con được gọi là "Yếu tố tiền 2" và chuyển người dùng mới vào suborg. Suborg đó có yêu cầu 2 yếu tố bị tắt NHƯNG cũng tắt mọi thứ khác ngoại trừ Mail và Vault (nếu bạn có vault).

Khi người dùng thông báo cho bạn rằng họ đã hoàn thành đăng ký, bạn có thể chuyển họ vào tổ chức hoặc tổ chức thường xuyên.

Điều này đặt trách nhiệm lên người dùng với sự khuyến khích để hoàn thành nó vì họ không thể truy cập bất cứ thứ gì ngoại trừ thư cho đến khi họ được đăng ký và thông báo cho quản trị viên.

Rất dễ dàng để làm từ góc độ quản trị viên.


Mát mẻ. Cảm ơn gợi ý :-)
znq

14
Điều này cực kỳ không tầm thường, tôi đã mong họ xử lý người dùng lần đầu khác đi
Michael

2
WTF! Tôi này thực sự? Có giải pháp "bình thường" nào cho việc này khi chúng tôi không đưa người dùng vào và ra khỏi org đặc biệt không? Người dùng không nên thiết lập MFA trong khi kích hoạt tài khoản?
WooYek

1
Câu trả lời về "tạo mã mới" từ @idean bên dưới có vẻ phù hợp hơn ở đây; Sathya bạn sẽ xem xét chấp nhận điều đó thay vào đó?
Glyph

Simon Woodside có một giải pháp thực sự dưới đây. Rõ ràng Google đã khắc phục sự cố bằng cách thêm tùy chọn "Thời gian đăng ký người dùng mới".
Idris Mokhtarzada

30

Google đã sửa lỗi này ngay bây giờ. Bây giờ bạn có thể đi đến Bảo mật > Cài đặt cơ bản > Chuyển đến cài đặt nâng cao để thực thi xác minh 2 bước .

Sau đó nhấp vào Thời gian đăng ký Người dùng mới và đặt thành 1 ngày . Điều này sẽ cho phép người dùng mới một ngày để đặt 2FA trước khi họ bị khóa.

nhập mô tả hình ảnh ở đây


Cảm ơn - câu trả lời tuyệt vời
Steve de Niese

Tôi đã tìm thấy một 'lỗi' thú vị với điều này - Tôi đã có một tài khoản google sử dụng địa chỉ email doanh nghiệp của mình trong khoảng 2 năm. Hôm nay tôi đã được 'chuyển' vào bộ Google Business và nó nghĩ rằng tôi đã ở với điều đó trong 2 năm. Tôi không nhận ra mình chỉ đăng ký được 1 ngày và vì vậy tôi không thể thiết lập 2FA.
djsmiley2k - CoW

1
Đây phải là câu trả lời mới được chấp nhận.
MegaMatt

20

Ngay sau khi tạo người dùng mới, hãy chuyển đến tab Bảo mật của người dùng đó và nhấp vào "Tạo mã mới" để tạo danh sách mã sử dụng một lần.

Sau đó, cung cấp cho người dùng một hoặc hai mã đầu tiên từ danh sách đó cùng với URL https://accounts.google.com/b/0/SmsAuthSinstall để xác thực SMS (xác minh điều này, nó có thể khác với bạn) để họ có thể đăng nhập một lần và thiết lập 2FA của họ.

Đó là một thực tế tốt để họ tạo ra một danh sách mã xác thực dự phòng mới, vì giờ họ đã sử dụng một hoặc hai.


1
Điều này tốt hơn câu trả lời được chấp nhận ...
fig

Điều này có nhược điểm: (a) quản trị viên biết một số mã sử dụng một lần của người dùng, có thể không phù hợp tùy thuộc vào mô hình bảo mật của bạn, (b) yêu cầu bạn truyền mã an toàn cho người dùng (nghĩa là tin cậy và mã hóa), có thể khó tự động hóa một cách an toàn.
Simon Woodside

4

Có vẻ như bạn đã bật xác thực 2 yếu tố cho tên miền:nhập mô tả hình ảnh ở đây

Tôi nghĩ bạn có thể tắt nó đi để tất cả người dùng không bị buộc phải xác thực 2 yếu tố.

Câu trả lời tốt nhất tôi có thể tìm thấy nếu bạn muốn để cài đặt đó được bật sẽ là thiết lập một nhóm ngoại lệ:

Yêu cầu tất cả người dùng và quản trị viên đăng ký xác minh 2 bước hoặc đặt họ vào một nhóm ngoại lệ bằng cách sử dụng các nhóm ngoại lệ trước khi thực thi cài đặt. Điều này nên được thực hiện cho người dùng mới trong quá trình tạo tài khoản. Nếu không, chúng sẽ bị khóa khỏi Google Apps.

Thông tin chi tiết về nhóm ngoại lệ có thể được tìm thấy tại đây: http://support.google.com/a/a/on


Yepp. Đó là những gì tôi đã làm: tạm thời tắt xác thực 2 yếu tố. Nó không lý tưởng, nhưng dường như là cách duy nhất.
znq

Các nhóm Ngoại lệ có thể là một tính năng tuyệt vời như vậy, nhưng nó được quản lý rất tệ, nó thực sự không thể được sử dụng.
Saariko

1

Dito GAM hiện có thể tạo mã dự phòng cho người dùng ngay cả khi họ chưa bật 2SV . Bạn có thể:

  1. Tạo người dùng mới.
  2. Tạo mã dự phòng bằng lệnh "gam user newguy@example.com update mã hóa"
  3. Truyền đạt một mã dự phòng cho người dùng cùng với mật khẩu ban đầu.
  4. Hướng dẫn người dùng đăng nhập tại: https://accounts.google.com/b/0/SmsAuthS Settings và đăng ký 2SV hoặc có nguy cơ bị khóa sau lần đăng nhập đầu tiên.

https://code.google.com.vn/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.