Google Apps: codice di verifica a 2 fattori per il nuovo utente?

37

Sono l'amministratore di un dominio di Google Apps. Ho creato un nuovo account utente. Ho provato ad accedere come quell'utente (in un nuovo browser) e mi ha detto che "La politica della tua organizzazione richiede che tu ti iscriva alla verifica in due passaggi. Contatta l'amministratore per ulteriori informazioni". E poi mi chiede un codice.

Come mai questo nuovo utente avrebbe un codice se non avesse mai effettuato l'accesso prima? Inoltre, quando guardo le informazioni sull'account di questo utente dal pannello di amministrazione del dominio, si dice che 2FA è disattivato.

Chiaramente quando provo ad accedere come questo utente non è spento poiché richiede un codice. Sembra che non ci sia modo di accedere a nuovi account poiché richiede codici 2FA, ma non è possibile ottenere codici 2FA fino a quando non è possibile accedere all'account degli utenti, accenderlo e configurarlo!

google-apps multi-factor-auth

— znq
fonte

14

La disattivazione temporanea di 2 fattori non è una situazione ideale. A seconda del numero di utenti, è possibile che l'utente lo insegua per configurarlo in modo da poterlo riattivare. Dopo un po ', lo lascerai fuori.

Ti consigliamo di creare un'organizzazione secondaria denominata "Pre-2-factor" e spostare il nuovo utente nel sottoorgano. Quel sottogruppo ha il requisito di 2 fattori disattivato MA disattiva anche tutto il resto tranne Mail e Vault (se si dispone di Vault).

Una volta che l'utente ti ha notificato di aver completato la registrazione, puoi spostarli nell'organizzazione o organizzazione secondaria normale.

Ciò pone la responsabilità sull'utente con l'incentivo a farlo perché non può accedere ad altro che alla posta fino a quando non viene registrato e avvisa un amministratore.

Molto facile da fare dal punto di vista dell'amministratore.

— Weehooey
fonte

Freddo. Grazie per il suggerimento :-)

— znq

14

questo è incredibilmente non banale, mi sarei aspettato che gestissero gli utenti per la prima volta in modo diverso

— Michael

2

WTF! Io questo per davvero? Non esiste una soluzione "normale" per questo in cui non spostiamo gli utenti in un'organizzazione speciale? Un utente non dovrebbe essere in grado di impostare MFA durante l'attivazione dell'account?

— WooYek,

1

La risposta su "generare nuovi codici" da @idean di seguito sembra adattarsi meglio qui; Sathya considereresti di accettarlo invece?

— Glifo

Simon Woodside ha una vera soluzione di seguito. Apparentemente Google ha risolto il problema aggiungendo un'opzione "Periodo di registrazione di nuovi utenti".

— Idris Mokhtarzada,

30

Google ha risolto questo problema ora. Ora puoi andare su Sicurezza > Impostazioni di base > Vai a impostazioni avanzate per applicare la verifica in due passaggi .

Quindi fare clic su Periodo di registrazione di un nuovo utente e impostare su 1 giorno . Ciò consentirà a un nuovo utente un giorno di impostare i propri 2FA prima che vengano bloccati.

— Simon Woodside
fonte

Grazie - ottima risposta

— Steve de Niese il

Ho trovato un 'bug' divertente con questo: ho avuto un account google usando il mio indirizzo e-mail aziendale per circa 2 anni. Oggi sono stato "trasferito" nella suite di Google Business e penso che ci sia stato per gli stessi 2 anni. Non si rende conto che sono stato registrato solo per 1 giorno e quindi non riesco a configurare il 2FA.

— djsmiley2k - CoW

1

Questa dovrebbe essere la nuova risposta accettata.

— MegaMatt il

20

Immediatamente dopo aver creato un nuovo utente, vai alla scheda Sicurezza di quell'utente e fai clic su "Genera nuovi codici" per generare un elenco di codici monouso.

Quindi fornire all'utente il primo uno o due codici da tale elenco insieme all'URL https://accounts.google.com/b/0/SmsAuthSettings per l'autenticazione SMS (verificarlo, potrebbe essere diverso per te) in modo che possano accedere una volta e imposta il loro 2FA.

È buona norma anche generare un nuovo elenco di codici di autenticazione di backup, poiché ora ne hanno utilizzati uno o due.

— idean
fonte

1

È meglio della risposta accettata ...

— fico

Ciò ha degli svantaggi: (a) l'amministratore conosce alcuni dei codici di utilizzo singolo dell'utente, che potrebbero non essere appropriati a seconda del modello di sicurezza, (b) richiede di trasmettere i codici in modo sicuro all'utente (ovvero con fiducia e crittografia), che può essere difficile da automatizzare in modo sicuro.

— Simon Woodside,

4

Sembra che tu abbia attivato l'autenticazione a 2 fattori per il dominio: inserisci qui la descrizione dell'immagine

Sto pensando che potresti disattivarlo in modo che tutti gli utenti non siano costretti ad avere un'autenticazione a 2 fattori.

La migliore risposta che potrei trovare se si desidera lasciare quell'impostazione abilitata sarebbe quella di configurare un gruppo di eccezioni:

Chiedi a tutti gli utenti e gli amministratori di iscriversi alla verifica in due passaggi o di inserirli in un gruppo di eccezioni utilizzando i gruppi di eccezioni prima di applicare l'impostazione. Questo dovrebbe essere fatto per i nuovi utenti durante la creazione dell'account. Altrimenti, verranno bloccati da Google Apps.

Maggiori dettagli sul gruppo di eccezioni sono disponibili qui: http://support.google.com/a/bin/answer.py?hl=it&answer=2548882

— quickcel
fonte

YEPP. Questo è quello che ho finito per fare: disattivare temporaneamente l'autenticazione a 2 fattori. Non è l'ideale, ma sembra essere l'unico modo.

— znq,

I gruppi di eccezioni possono essere una funzionalità così eccezionale, ma sono gestiti in modo così grave da non poter essere realmente utilizzati.

— Saariko,

1

Dito GAM ora può generare codici di backup per gli utenti anche se non hanno ancora attivato 2SV . Puoi:

Crea il nuovo utente.
Genera codici di backup con il comando "gam user newguy@example.com aggiorna backupcodes"
Comunicare un codice di backup all'utente insieme alla password iniziale.
Chiedere all'utente di accedere a: https://accounts.google.com/b/0/SmsAuthSettings e iscriversi a 2SV o rischiare di essere bloccato dopo l'accesso iniziale.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users

— Jay Lee
fonte