Google Apps: двухфакторный код подтверждения для нового пользователя?


37

Я являюсь администратором домена Служб Google. Я создал новую учетную запись пользователя. Я попытался войти в систему как этот пользователь (в новом браузере), и он сказал мне, что «политика вашей организации требует, чтобы вы зарегистрировались в двухэтапной проверке. Пожалуйста, свяжитесь с вашим администратором для получения дополнительной информации». А потом запрашивает у меня код.

Как, черт возьми, этот новый пользователь получил бы код, если он никогда не входил в систему раньше? Кроме того, когда я смотрю информацию об учетной записи этого пользователя из панели администрирования домена, он говорит, что 2FA выключен.

Ясно, что когда я пытаюсь войти в систему под этим пользователем, он не отключается, поскольку запрашивает код. Кажется, нет никакого способа получить доступ к новым учетным записям, так как для этого требуются коды 2FA, но вы не можете получить коды 2FA, пока не войдете в учетную запись пользователя и не включите ее и не настройте!

Ответы:


14

Временное отключение 2-фактора - не идеальная ситуация. В зависимости от количества пользователей, вы можете преследовать пользователя, чтобы настроить его, чтобы вы могли включить его снова. Через некоторое время вы просто оставите это.

Мы рекомендуем вам создать суборганизацию, которая называется что-то вроде «Pre-2-factor», и переместить нового пользователя в суборг. В этом подорге отключено требование 2-фактора, НО также отключите все остальное, кроме Mail и Vault (если у вас есть хранилище).

Как только пользователь уведомит вас о завершении регистрации, вы можете переместить его в обычную организацию или суборганизацию.

Это возлагает на пользователя ответственность за его выполнение, поскольку он не может получить доступ ни к чему, кроме почты, пока не будет зарегистрирован и не уведомит администратора.

Очень легко сделать с точки зрения администратора.


Круто. Спасибо за подсказку :-)
znq

14
это невероятно не тривиально, я ожидал бы их обрабатывать неопытные пользователи по- разному
Michael

2
WTF! Я это на самом деле? Не существует ли «нормального» решения для этого, когда мы не перемещаем пользователей в специальную организацию и из нее? Разве пользователь не может настроить MFA во время активации учетной записи?
WooYek

1
Ответ о «генерации новых кодов» из @idean ниже выглядит более подходящим; Сатья, не подумаешь ли ты принять это?
Символ

Саймон Вудсайд имеет реальное решение ниже. По всей видимости, Google исправил проблему, добавив опцию «Период регистрации нового пользователя».
Идрис Мохтарзада

30

Google исправил это сейчас. Теперь вы можете перейти в раздел «Безопасность» > « Основные настройки» > « Перейти к дополнительным настройкам», чтобы выполнить двухэтапную проверку .

Затем нажмите период регистрации нового пользователя и установите 1 день . Это позволит новому пользователю однажды установить свои 2FA, прежде чем они будут заблокированы.

введите описание изображения здесь


Спасибо - отличный ответ
Стив де Низ

Я нашел забавную «ошибку» с этим - у меня была учетная запись Google, использующая мой рабочий адрес электронной почты в течение приблизительно 2 лет. Сегодня я был «перемещен» в Google Business Suite, и он думает, что я был с этим в течение тех же 2 лет. Он не понимает, что я был зарегистрирован только на 1 день, и поэтому я не могу настроить 2FA.
djsmiley2k - CoW

1
Это должен быть новый принятый ответ.
MegaMatt

20

Сразу после создания нового пользователя перейдите на вкладку «Безопасность» этого пользователя и нажмите «Создать новые коды», чтобы создать список кодов одноразового использования.

Затем предоставьте пользователю первые один или два кода из этого списка вместе с URL-адресом https://accounts.google.com/b/0/SmsAuthSettings для проверки подлинности SMS (убедитесь, что он может отличаться для вас), чтобы они могли войти в систему. один раз и настрой их 2FA.

Рекомендуется также, чтобы они генерировали новый список резервных кодов аутентификации, поскольку теперь они используют один или два.


1
Это лучше, чем принятый ответ ...
рис

Это имеет недостатки: (а) администратор знает некоторые из одноразовых кодов пользователя, которые могут не подходить в зависимости от вашей модели безопасности, (б) требует от вас безопасной передачи кодов пользователю (т.е. с доверием и шифрование), который может быть трудно автоматизировать безопасным способом.
Саймон Вудсайд,

4

Похоже, у вас включено двухфакторное подтверждение подлинности для домена:введите описание изображения здесь

Я думаю, вы могли бы отключить это, чтобы все пользователи не были вынуждены иметь двухфакторную аутентификацию.

Лучший ответ, который я мог бы найти, если вы хотите оставить этот параметр включенным, это настроить группу исключений:

Пусть все пользователи и администраторы зарегистрируются в двухэтапной проверке или поместят их в группу исключений, используя группы исключений, перед применением этого параметра. Это должно быть сделано для новых пользователей во время создания учетной записи. В противном случае они будут заблокированы в Службах Google.

Более подробную информацию о группе исключений можно найти здесь: http://support.google.com/a/bin/answer.py?hl=ru&answer=2548882.


Yepp. Вот что я и сделал: временно отключил двухфакторную аутентификацию. Это не идеально, но кажется, что это единственный путь.
znq

Группы исключений могут быть такой замечательной функцией, но ими так плохо управляют, что их невозможно использовать.
Саарико

1

Dito GAM теперь может генерировать резервные коды для пользователей, даже если у них еще не включен 2SV . Вы можете:

  1. Создайте нового пользователя.
  2. Сгенерируйте резервные коды с помощью команды «gam user newguy@example.com update backupcodes»
  3. Сообщите пользователю один резервный код вместе с исходным паролем.
  4. Попросите пользователя войти в систему по адресу: https://accounts.google.com/b/0/SmsAuthSettings и зарегистрироваться в 2SV, иначе вы рискуете быть заблокированным после первоначального входа.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.