Google Apps: 2-czynnikowy kod weryfikacyjny dla nowego użytkownika?

Jestem administratorem domeny Google Apps. Utworzyłem zupełnie nowe konto użytkownika. Próbowałem zalogować się jako ten użytkownik (w nowej przeglądarce) i powiedział mi, że „Zasady Twojej organizacji wymagają rejestracji dwuetapowej. Skontaktuj się z administratorem, aby uzyskać więcej informacji”. A następnie monituje mnie o kod.

Jak, u licha, ten nowy użytkownik miałby kod, gdyby nigdy się wcześniej nie logował? Co więcej, kiedy patrzę na informacje o koncie tego użytkownika z panelu administracyjnego domeny, mówi, że 2FA jest WYŁĄCZONY.

Oczywiście, kiedy próbuję zalogować się jako ten użytkownik, nie jest on wyłączony, ponieważ monituje o kod. Wydaje się, że nie ma sposobu na uzyskanie dostępu do zupełnie nowych kont, ponieważ wymaga to kodów 2FA, ale nie można uzyskać kodów 2FA, dopóki nie można zalogować się do konta użytkowników, włączyć go i skonfigurować!

Tymczasowe wyłączenie 2-czynnik nie jest idealną sytuacją. W zależności od liczby użytkowników możesz ścigać użytkownika, aby go skonfigurować, abyś mógł go ponownie włączyć. Po chwili to po prostu przestaniesz.

Zalecamy utworzenie podorganizacji zwanej „Pre-2-Factor” i przeniesienie nowego użytkownika do suborg. Ten suborg ma wyłączony wymóg 2-czynnikowy, ALE również wyłącza wszystko inne oprócz Mail i Vault (jeśli masz Vault).

Gdy użytkownik powiadomi Cię o zakończeniu rejestracji, możesz przenieść je do zwykłej organizacji lub podorganizacji.

Powoduje to, że użytkownik jest zachęcany do zrobienia tego, ponieważ nie ma dostępu do poczty elektronicznej, dopóki nie zostanie zarejestrowany i nie powiadomi administratora.

Bardzo łatwe do zrobienia z perspektywy administratora.

Google naprawiło to teraz. Możesz teraz przejść do Bezpieczeństwo > Ustawienia podstawowe > Przejdź do ustawień zaawansowanych, aby wymusić weryfikację dwuetapową .

Następnie kliknij Okres rejestracji nowego użytkownika i ustaw na 1 dzień . Umożliwi to nowemu użytkownikowi ustawienie swojego 2FA przed zablokowaniem.

Natychmiast po utworzeniu nowego użytkownika przejdź do zakładki Bezpieczeństwo tego użytkownika i kliknij „Generuj nowe kody”, aby wygenerować listę kodów jednorazowego użytku.

Następnie podaj użytkownikowi pierwszy lub dwa kody z tej listy wraz z adresem URL https://accounts.google.com/b/0/SmsAuthSettings do uwierzytelnienia SMS (sprawdź, czy może być inny), aby mógł się zalogować raz i ustaw ich 2FA.

Dobrą praktyką jest również generowanie przez nich nowej listy zapasowych kodów uwierzytelniających, ponieważ używają teraz jednego lub dwóch.

Wygląda na to, że w domenie włączono wymuszanie uwierzytelniania dwuskładnikowego:

Myślę, że możesz to wyłączyć, aby wszyscy użytkownicy nie byli zmuszeni do uwierzytelniania dwuskładnikowego.

Najlepszą odpowiedzią, jaką mogę znaleźć, jeśli chcesz pozostawić to ustawienie włączone, byłoby skonfigurowanie grupy wyjątków:

Poproś wszystkich użytkowników i administratorów o zarejestrowanie się w weryfikacji dwuetapowej lub umieszczenie ich w grupie wyjątków za pomocą grup wyjątków przed wymuszeniem ustawienia. Należy to zrobić dla nowych użytkowników podczas tworzenia konta. W przeciwnym razie zostaną zablokowane w Google Apps.

Więcej informacji na temat grupy wyjątków można znaleźć tutaj: http://support.google.com/a/bin/answer.py?hl=pl&answer=2548882

Dito GAM może teraz generować kody zapasowe dla użytkowników, nawet jeśli nie mają jeszcze włączonej weryfikacji dwuetapowej . Możesz:

1. Utwórz nowego użytkownika.
2. Wygeneruj kody zapasowe za pomocą polecenia „użytkownik gry newguy@example.com aktualizuj kody zapasowe”
3. Przekaż użytkownikowi jeden kod zapasowy wraz z początkowym hasłem.
4. Poinstruuj użytkownika, aby zalogował się na stronie : https://accounts.google.com/b/0/SmsAuthSettings i zarejestrował się w 2SV lub grozi zablokowaniem po pierwszym logowaniu.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users