Google Apps: 2-Faktor-Bestätigungscode für brandneue Nutzer?

37

Ich bin der Administrator einer Google Apps-Domain. Ich habe ein brandneues Benutzerkonto erstellt. Ich habe versucht, mich als dieser Benutzer (in einem neuen Browser) anzumelden, und es wurde mir mitgeteilt, dass Sie sich gemäß der Richtlinie Ihres Unternehmens in zwei Schritten verifizieren müssen. Wenden Sie sich an Ihren Administrator, um weitere Informationen zu erhalten. Und fordert mich dann zur Eingabe eines Codes auf.

Wie um alles in der Welt hätte dieser brandneue Benutzer einen Code, wenn er sich noch nie angemeldet hätte? Wenn ich mir die Kontoinformationen dieses Benutzers in der Domain-Admin-Leiste ansehe, heißt es, dass 2FA ausgeschaltet ist.

Wenn ich versuche, mich als dieser Benutzer anzumelden, ist dies nicht deaktiviert, da zur Eingabe eines Codes aufgefordert wird. Es scheint keine Möglichkeit zu geben, auf brandneue Konten zuzugreifen, da 2FA-Codes erforderlich sind. Sie können jedoch erst dann 2FA-Codes abrufen, wenn Sie sich beim Benutzerkonto anmelden und es aktivieren und einrichten können!

google-apps multi-factor-auth znq
quelle

Antworten:

14

Das vorübergehende Ausschalten von 2-Faktor ist keine ideale Situation. Abhängig von der Anzahl der Benutzer können Sie den Benutzer verfolgen, um ihn einzurichten und wieder einzuschalten. Nach einer Weile lassen Sie es einfach aus.

Es wird empfohlen, eine Unterorganisation mit dem Namen "Pre-2-Faktor" zu erstellen und den neuen Benutzer in die Unterorganisation zu verschieben. In diesem Suborg ist die 2-Faktor-Anforderung deaktiviert, ABER alles andere außer Mail und Vault (wenn Sie Vault haben) wird ebenfalls deaktiviert .

Sobald der Benutzer Sie benachrichtigt hat, dass die Registrierung abgeschlossen ist, können Sie sie in die reguläre Organisation oder Unterorganisation verschieben.

Dies bringt die Verantwortung für den Benutzer mit dem Anreiz, dies zu tun, da er nur auf E-Mails zugreifen kann, bis er sich registriert und einen Administrator benachrichtigt.

Aus Sicht des Administrators sehr einfach.

Weehooey
quelle
Cool. Danke für den Hinweis :-)
znq
13
das ist unglaublich nicht trivial, ich hätte erwartet, dass sie erstmals anders mit Benutzern umgehen
Michael
2
WTF! Ich das wirklich? Gibt es dafür keine "normale" Lösung, bei der wir Benutzer nicht in eine und aus einer bestimmten Organisation verschieben? Sollte ein Benutzer nicht in der Lage sein, MFA während der Kontoaktivierung einzurichten?
WooYek
1
Die Antwort auf "Neue Codes generieren" von @idean unten scheint hier besser zu passen. Sathya, würdest du in Betracht ziehen, stattdessen diesen anzunehmen?
Glyphe
Simon Woodside hat unten eine echte Lösung. Anscheinend hat Google das Problem durch Hinzufügen der Option "Registrierungszeitraum für neue Nutzer" behoben.
Idris Mokhtarzada
30

Google hat das jetzt behoben. Sie können jetzt zu Sicherheit > Grundeinstellungen > Zu erweiterten Einstellungen wechseln, um die Bestätigung in zwei Schritten zu erzwingen .

Klicken Sie dann auf Registrierungszeitraum für neuen Benutzer und stellen Sie 1 Tag ein . Auf diese Weise kann ein neuer Benutzer eines Tages seine 2FA festlegen, bevor er gesperrt wird.

Bildbeschreibung hier eingeben

Simon Woodside
quelle
Vielen Dank - tolle Antwort
Steve de Niese
Ich habe einen amüsanten "Bug" gefunden - ich besitze seit ungefähr 2 Jahren ein Google-Konto, das meine geschäftliche E-Mail-Adresse verwendet. Heute bin ich in die Google Business-Suite "umgezogen" und glaube, ich bin seit zwei Jahren damit beschäftigt. Es wird nicht bemerkt, dass ich nur für einen Tag registriert bin und daher den 2FA nicht einrichten kann.
djsmiley2k - CoW
1
Dies sollte die neue akzeptierte Antwort sein.
MegaMatt
20

Wechseln Sie unmittelbar nach dem Erstellen eines neuen Benutzers zur Registerkarte "Sicherheit" dieses Benutzers und klicken Sie auf "Neue Codes generieren", um eine Liste der einmal verwendbaren Codes zu generieren.

Geben Sie dem Nutzer dann den ersten oder den zweiten Code aus dieser Liste zusammen mit der URL https://accounts.google.com/b/0/SmsAuthSettings für die SMS-Authentifizierung (überprüfen Sie, ob dies für Sie möglicherweise anders ist), damit er sich anmelden kann einmal und richten ihre 2FA.

Es hat sich bewährt, eine neue Liste von Sicherungsauthentifizierungscodes zu erstellen, da sie jetzt einen oder zwei verwendet haben.

idean
quelle
1
Dies ist besser als die akzeptierte Antwort ...
Abb.
Dies hat Nachteile: (a) Der Administrator kennt einige Einmalcodes des Benutzers, die abhängig von Ihrem Sicherheitsmodell möglicherweise nicht geeignet sind. (B) Er muss die Codes sicher an den Benutzer übertragen (dh mit Vertrauen und Verschlüsselung), die möglicherweise nur schwer auf sichere Weise automatisiert werden kann.
Simon Woodside
4

Es hört sich so an, als hätten Sie die 2-Faktor-Authentifizierungsdurchsetzung für die Domain aktiviert:Bildbeschreibung hier eingeben

Ich denke, Sie können das deaktivieren, damit nicht alle Benutzer zur 2-Faktor-Authentifizierung gezwungen werden.

Die beste Antwort, die ich finden könnte, wenn Sie diese Einstellung aktiviert lassen möchten, wäre das Einrichten einer Ausnahmegruppe:

Lassen Sie alle Benutzer und Administratoren die Bestätigung in zwei Schritten durchführen oder platzieren Sie sie mithilfe von Ausnahmegruppen in einer Ausnahmegruppe, bevor Sie die Einstellung erzwingen. Dies sollte für neue Benutzer während der Kontoerstellung erfolgen. Andernfalls werden sie von Google Apps ausgeschlossen.

Weitere Details zur Ausnahmegruppe finden Sie hier: http://support.google.com/a/bin/answer.py?hl=de&answer=2548882

quickcel
quelle
Yepp. Am Ende habe ich Folgendes getan: Vorübergehende Deaktivierung der 2-Faktor-Authentifizierung. Es ist nicht ideal, aber es scheint der einzige Weg zu sein.
24.
Die Ausnahmegruppen können ein großartiges Feature sein, aber es wird so schlecht verwaltet, dass es nicht wirklich verwendet werden kann.
Saariko
1

Dito GAM kann jetzt Sicherungscodes für Benutzer generieren, auch wenn 2SV noch nicht aktiviert ist . Sie können:

  1. Erstellen Sie den neuen Benutzer.
  2. Erstellen Sie Sicherungscodes mit dem Befehl "gam user [email protected] update backupcodes".
  3. Teilen Sie dem Benutzer einen Sicherungscode zusammen mit dem anfänglichen Kennwort mit.
  4. Weisen Sie den Nutzer an, sich unter https://accounts.google.com/b/0/SmsAuthSettings anzumelden und sich bei 2SV anzumelden, oder riskieren Sie, nach der ersten Anmeldung gesperrt zu werden.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users

Jay Lee
quelle