Google Apps: 2-czynnikowy kod weryfikacyjny dla nowego użytkownika?

37

Jestem administratorem domeny Google Apps. Utworzyłem zupełnie nowe konto użytkownika. Próbowałem zalogować się jako ten użytkownik (w nowej przeglądarce) i powiedział mi, że „Zasady Twojej organizacji wymagają rejestracji dwuetapowej. Skontaktuj się z administratorem, aby uzyskać więcej informacji”. A następnie monituje mnie o kod.

Jak, u licha, ten nowy użytkownik miałby kod, gdyby nigdy się wcześniej nie logował? Co więcej, kiedy patrzę na informacje o koncie tego użytkownika z panelu administracyjnego domeny, mówi, że 2FA jest WYŁĄCZONY.

Oczywiście, kiedy próbuję zalogować się jako ten użytkownik, nie jest on wyłączony, ponieważ monituje o kod. Wydaje się, że nie ma sposobu na uzyskanie dostępu do zupełnie nowych kont, ponieważ wymaga to kodów 2FA, ale nie można uzyskać kodów 2FA, dopóki nie można zalogować się do konta użytkowników, włączyć go i skonfigurować!

google-apps multi-factor-auth znq
źródło

Odpowiedzi:

14

Tymczasowe wyłączenie 2-czynnik nie jest idealną sytuacją. W zależności od liczby użytkowników możesz ścigać użytkownika, aby go skonfigurować, abyś mógł go ponownie włączyć. Po chwili to po prostu przestaniesz.

Zalecamy utworzenie podorganizacji zwanej „Pre-2-Factor” i przeniesienie nowego użytkownika do suborg. Ten suborg ma wyłączony wymóg 2-czynnikowy, ALE również wyłącza wszystko inne oprócz Mail i Vault (jeśli masz Vault).

Gdy użytkownik powiadomi Cię o zakończeniu rejestracji, możesz przenieść je do zwykłej organizacji lub podorganizacji.

Powoduje to, że użytkownik jest zachęcany do zrobienia tego, ponieważ nie ma dostępu do poczty elektronicznej, dopóki nie zostanie zarejestrowany i nie powiadomi administratora.

Bardzo łatwe do zrobienia z perspektywy administratora.

Weehooey
źródło
Fajne. Dzięki za podpowiedź :-)
znq
13
to nie jest niezwykle trywialne, spodziewałbym się, że będą traktować użytkowników po raz pierwszy inaczej
Michael
2
WTF! Czy to naprawdę? Czy nie ma „normalnego” rozwiązania w tym przypadku, w którym nie przenosimy użytkowników do specjalnych organizacji? Czy użytkownik nie powinien mieć możliwości skonfigurowania MFA podczas aktywacji konta?
WooYek,
1
Odpowiedź na temat „generowania nowych kodów” z @idean poniżej wydaje się być lepszym rozwiązaniem; Sathya, czy zamiast tego rozważysz przyjęcie tego?
Glyph
Simon Woodside ma prawdziwe rozwiązanie poniżej. Najwyraźniej Google rozwiązało ten problem, dodając opcję „Okres rejestracji nowego użytkownika”.
Idris Mokhtarzada
30

Google naprawiło to teraz. Możesz teraz przejść do Bezpieczeństwo > Ustawienia podstawowe > Przejdź do ustawień zaawansowanych, aby wymusić weryfikację dwuetapową .

Następnie kliknij Okres rejestracji nowego użytkownika i ustaw na 1 dzień . Umożliwi to nowemu użytkownikowi ustawienie swojego 2FA przed zablokowaniem.

wprowadź opis zdjęcia tutaj

Simon Woodside
źródło
Dzięki - świetna odpowiedź
Steve de Niese
Znalazłem zabawny „błąd” - mam konto Google korzystające z mojego firmowego adresu e-mail od około 2 lat. Dzisiaj zostałem „przeniesiony” do pakietu Google Business i wydaje mi się, że jestem z tym przez te same 2 lata. Nie zdaje sobie sprawy, że jestem zarejestrowany tylko na 1 dzień, więc nie mogę skonfigurować 2FA.
djsmiley2k - CoW
1
To powinna być nowa zaakceptowana odpowiedź.
MegaMatt
20

Natychmiast po utworzeniu nowego użytkownika przejdź do zakładki Bezpieczeństwo tego użytkownika i kliknij „Generuj nowe kody”, aby wygenerować listę kodów jednorazowego użytku.

Następnie podaj użytkownikowi pierwszy lub dwa kody z tej listy wraz z adresem URL https://accounts.google.com/b/0/SmsAuthSettings do uwierzytelnienia SMS (sprawdź, czy może być inny), aby mógł się zalogować raz i ustaw ich 2FA.

Dobrą praktyką jest również generowanie przez nich nowej listy zapasowych kodów uwierzytelniających, ponieważ używają teraz jednego lub dwóch.

idean
źródło
1
To jest lepsze niż zaakceptowana odpowiedź ...
rys.
Ma to wady: (a) administrator zna niektóre kody jednorazowe użytkownika, które mogą nie być odpowiednie w zależności od modelu bezpieczeństwa, (b) wymaga bezpiecznego przesyłania kodów do użytkownika (tj. Z zaufaniem i szyfrowanie), co może być trudne do zautomatyzowania w bezpieczny sposób.
Simon Woodside,
4

Wygląda na to, że w domenie włączono wymuszanie uwierzytelniania dwuskładnikowego:wprowadź opis zdjęcia tutaj

Myślę, że możesz to wyłączyć, aby wszyscy użytkownicy nie byli zmuszeni do uwierzytelniania dwuskładnikowego.

Najlepszą odpowiedzią, jaką mogę znaleźć, jeśli chcesz pozostawić to ustawienie włączone, byłoby skonfigurowanie grupy wyjątków:

Poproś wszystkich użytkowników i administratorów o zarejestrowanie się w weryfikacji dwuetapowej lub umieszczenie ich w grupie wyjątków za pomocą grup wyjątków przed wymuszeniem ustawienia. Należy to zrobić dla nowych użytkowników podczas tworzenia konta. W przeciwnym razie zostaną zablokowane w Google Apps.

Więcej informacji na temat grupy wyjątków można znaleźć tutaj: http://support.google.com/a/bin/answer.py?hl=pl&answer=2548882

quickcel
źródło
Tak. Tak właśnie skończyłem: tymczasowe wyłączenie uwierzytelniania dwuskładnikowego. Nie jest idealny, ale wydaje się, że jest to jedyny sposób.
znq
Grupy wyjątków mogą być świetną funkcją, ale są tak źle zarządzane, że tak naprawdę nie można ich używać.
Saariko
1

Dito GAM może teraz generować kody zapasowe dla użytkowników, nawet jeśli nie mają jeszcze włączonej weryfikacji dwuetapowej . Możesz:

  1. Utwórz nowego użytkownika.
  2. Wygeneruj kody zapasowe za pomocą polecenia „użytkownik gry [email protected] aktualizuj kody zapasowe”
  3. Przekaż użytkownikowi jeden kod zapasowy wraz z początkowym hasłem.
  4. Poinstruuj użytkownika, aby zalogował się na stronie : https://accounts.google.com/b/0/SmsAuthSettings i zarejestrował się w 2SV lub grozi zablokowaniem po pierwszym logowaniu.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users

Jay Lee
źródło