Google Apps: двухфакторный код подтверждения для нового пользователя?

Я являюсь администратором домена Служб Google. Я создал новую учетную запись пользователя. Я попытался войти в систему как этот пользователь (в новом браузере), и он сказал мне, что «политика вашей организации требует, чтобы вы зарегистрировались в двухэтапной проверке. Пожалуйста, свяжитесь с вашим администратором для получения дополнительной информации». А потом запрашивает у меня код.

Как, черт возьми, этот новый пользователь получил бы код, если он никогда не входил в систему раньше? Кроме того, когда я смотрю информацию об учетной записи этого пользователя из панели администрирования домена, он говорит, что 2FA выключен.

Ясно, что когда я пытаюсь войти в систему под этим пользователем, он не отключается, поскольку запрашивает код. Кажется, нет никакого способа получить доступ к новым учетным записям, так как для этого требуются коды 2FA, но вы не можете получить коды 2FA, пока не войдете в учетную запись пользователя и не включите ее и не настройте!

Временное отключение 2-фактора - не идеальная ситуация. В зависимости от количества пользователей, вы можете преследовать пользователя, чтобы настроить его, чтобы вы могли включить его снова. Через некоторое время вы просто оставите это.

Мы рекомендуем вам создать суборганизацию, которая называется что-то вроде «Pre-2-factor», и переместить нового пользователя в суборг. В этом подорге отключено требование 2-фактора, НО также отключите все остальное, кроме Mail и Vault (если у вас есть хранилище).

Как только пользователь уведомит вас о завершении регистрации, вы можете переместить его в обычную организацию или суборганизацию.

Это возлагает на пользователя ответственность за его выполнение, поскольку он не может получить доступ ни к чему, кроме почты, пока не будет зарегистрирован и не уведомит администратора.

Очень легко сделать с точки зрения администратора.

Google исправил это сейчас. Теперь вы можете перейти в раздел «Безопасность» > « Основные настройки» > « Перейти к дополнительным настройкам», чтобы выполнить двухэтапную проверку .

Затем нажмите период регистрации нового пользователя и установите 1 день . Это позволит новому пользователю однажды установить свои 2FA, прежде чем они будут заблокированы.

Сразу после создания нового пользователя перейдите на вкладку «Безопасность» этого пользователя и нажмите «Создать новые коды», чтобы создать список кодов одноразового использования.

Затем предоставьте пользователю первые один или два кода из этого списка вместе с URL-адресом https://accounts.google.com/b/0/SmsAuthSettings для проверки подлинности SMS (убедитесь, что он может отличаться для вас), чтобы они могли войти в систему. один раз и настрой их 2FA.

Рекомендуется также, чтобы они генерировали новый список резервных кодов аутентификации, поскольку теперь они используют один или два.

Похоже, у вас включено двухфакторное подтверждение подлинности для домена:

Я думаю, вы могли бы отключить это, чтобы все пользователи не были вынуждены иметь двухфакторную аутентификацию.

Лучший ответ, который я мог бы найти, если вы хотите оставить этот параметр включенным, это настроить группу исключений:

Пусть все пользователи и администраторы зарегистрируются в двухэтапной проверке или поместят их в группу исключений, используя группы исключений, перед применением этого параметра. Это должно быть сделано для новых пользователей во время создания учетной записи. В противном случае они будут заблокированы в Службах Google.

Более подробную информацию о группе исключений можно найти здесь: http://support.google.com/a/bin/answer.py?hl=ru&answer=2548882.

Dito GAM теперь может генерировать резервные коды для пользователей, даже если у них еще не включен 2SV . Вы можете:

1. Создайте нового пользователя.
2. Сгенерируйте резервные коды с помощью команды «gam user newguy@example.com update backupcodes»
3. Сообщите пользователю один резервный код вместе с исходным паролем.
4. Попросите пользователя войти в систему по адресу: https://accounts.google.com/b/0/SmsAuthSettings и зарегистрироваться в 2SV, иначе вы рискуете быть заблокированным после первоначального входа.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users