Google Apps: kode verifikasi 2 faktor untuk pengguna baru?

37

Saya adalah admin dari domain Google Apps. Saya membuat akun pengguna baru. Saya mencoba masuk sebagai pengguna itu (di browser baru) dan dikatakan bahwa "Kebijakan organisasi Anda mengharuskan Anda mendaftar dalam verifikasi 2 langkah. Silakan hubungi administrator Anda untuk informasi lebih lanjut." Dan kemudian meminta saya untuk kode.

Bagaimana mungkin pengguna baru ini memiliki kode jika mereka belum pernah login sebelumnya? Selanjutnya, ketika saya melihat info akun pengguna ini dari panel admin domain, dikatakan bahwa 2FA dimatikan.

Jelas ketika saya mencoba masuk karena pengguna ini tidak aktif karena meminta kode. Tampaknya tidak ada cara untuk mengakses akun baru karena memerlukan kode 2FA, tetapi Anda tidak bisa mendapatkan kode 2FA sampai Anda dapat masuk ke akun pengguna dan menyalakannya & mengaturnya!

google-apps multi-factor-auth znq
sumber

Jawaban:

14

Mematikan sementara 2 faktor bukanlah situasi yang ideal. Bergantung pada jumlah pengguna, Anda bisa mengejar pengguna untuk mengaturnya sehingga Anda dapat menyalakannya kembali. Setelah beberapa saat, Anda akan membiarkannya begitu saja.

Kami menyarankan Anda membuat suborganisasi yang disebut "Pre-2-factor" dan memindahkan pengguna baru ke dalam suborg. Suborg yang memiliki persyaratan 2 faktor dimatikan TETAPI juga matikan semua yang lain kecuali untuk Mail dan Vault (jika Anda memiliki vault).

Setelah pengguna memberi tahu Anda bahwa mereka telah menyelesaikan pendaftaran, Anda dapat memindahkan mereka ke organisasi atau suborganisasi reguler.

Ini menempatkan tanggung jawab pada pengguna dengan insentif untuk menyelesaikannya karena mereka tidak dapat mengakses apa pun kecuali surat sampai mereka didaftarkan dan memberi tahu admin.

Sangat mudah dilakukan dari perspektif admin.

Weehooey
sumber
Keren. Terima kasih atas petunjuknya :-)
znq
14
ini sangat tidak sepele, saya akan mengharapkan mereka untuk menangani pengguna pertama kali secara berbeda
Michael
2
WTF! Saya ini nyata? Apakah tidak ada solusi "normal" untuk ini di mana kami tidak memindahkan pengguna keluar masuk org khusus? Tidakkah seharusnya pengguna dapat mengatur MFA selama aktivasi akun?
WooYek
1
Jawaban tentang "buat kode baru" dari @idean di bawah sepertinya lebih cocok di sini; Sathya, akankah kamu mempertimbangkan untuk menerima yang itu?
Glyph
Simon Woodside memiliki solusi nyata di bawah ini. Rupanya Google memperbaiki masalah ini dengan menambahkan opsi "Periode pendaftaran Pengguna Baru".
Idris Mokhtarzada
30

Google telah memperbaikinya sekarang. Anda sekarang dapat pergi ke Keamanan > Pengaturan Dasar > Pergi ke pengaturan lanjutan untuk menegakkan verifikasi 2 langkah .

Kemudian klik Periode pendaftaran Pengguna Baru dan atur ke 1 hari . Ini akan memungkinkan pengguna baru suatu hari untuk mengatur 2FA mereka sebelum mereka dikunci.

masukkan deskripsi gambar di sini

Simon Woodside
sumber
Terima kasih - jawaban bagus
Steve de Niese
Saya menemukan 'bug' yang lucu dengan ini - saya punya akun google menggunakan alamat email bisnis saya selama sekitar 2 tahun. Hari ini saya 'dipindahkan' ke dalam suite Google Business dan saya pikir saya telah melakukannya selama 2 tahun yang sama. Itu tidak menyadari bahwa saya hanya terdaftar selama 1 hari dan jadi saya tidak dapat mengatur 2FA.
djsmiley2k - Kontrak Karya
1
Ini harus menjadi jawaban yang baru diterima.
MegaMatt
20

Segera setelah membuat pengguna baru, buka tab Keamanan pengguna itu dan klik "Hasilkan Kode Baru" untuk menghasilkan daftar kode Sekali Pakai.

Kemudian berikan kepada pengguna satu atau dua kode pertama dari daftar itu bersama dengan URL https://accounts.google.com/b/0/SmsAuthSettings untuk otentikasi SMS (verifikasi ini, mungkin berbeda untuk Anda) sehingga mereka dapat login sekali dan atur 2FA mereka.

Adalah praktik yang baik untuk meminta mereka membuat daftar baru kode otentikasi cadangan, karena mereka sekarang menggunakan satu atau dua.

idean
sumber
1
Ini lebih baik daripada jawaban yang diterima ...
gbr
Ini memiliki kelemahan: (a) admin mengetahui beberapa kode sekali pakai pengguna, yang mungkin tidak sesuai tergantung pada model keamanan Anda, (b) mengharuskan Anda untuk mengirimkan kode dengan aman kepada pengguna (yaitu dengan kepercayaan dan enkripsi), yang mungkin sulit untuk diotomatisasi dengan cara yang aman.
Simon Woodside
4

Kedengarannya Anda memiliki 2 faktor autentikasi Penegakan diaktifkan untuk domain:masukkan deskripsi gambar di sini

Saya pikir Anda bisa mematikannya sehingga semua pengguna tidak dipaksa untuk memiliki otentikasi 2 faktor.

Jawaban terbaik yang bisa saya temukan jika Anda ingin membiarkan pengaturan itu diaktifkan adalah menyiapkan grup pengecualian:

Mintalah semua pengguna dan administrator mendaftar dalam verifikasi 2 langkah atau menempatkannya dalam kelompok pengecualian menggunakan kelompok pengecualian sebelum menerapkan pengaturan. Ini harus dilakukan untuk pengguna baru selama pembuatan akun. Jika tidak, mereka akan dikunci dari Google Apps.

Detail lebih lanjut tentang grup pengecualian dapat ditemukan di sini: http://support.google.com/a/bin/answer.py?hl=id&answer=2548882

quickcel
sumber
Yap. Itulah yang akhirnya saya lakukan: untuk sementara mematikan otentikasi 2-faktor. Ini tidak ideal, tetapi tampaknya menjadi satu-satunya cara.
znq
Grup Exception dapat menjadi fitur yang luar biasa, tetapi dikelola dengan sangat buruk, sehingga tidak dapat digunakan.
Saariko
1

Dito GAM sekarang dapat membuat kode cadangan untuk pengguna bahkan jika mereka belum mengaktifkan 2SV . Kamu bisa:

  1. Buat pengguna baru.
  2. Hasilkan kode cadangan dengan perintah "gam pengguna [email protected] perbarui kode cadangan"
  3. Komunikasikan satu kode cadangan kepada pengguna bersama dengan kata sandi awal.
  4. Instruksikan pengguna untuk masuk di: https://accounts.google.com/b/0/SmsAuthSettings dan mendaftar di 2SV atau berisiko dikunci setelah login awal.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users

Jay Lee
sumber