Google Apps: código de verificação de dois fatores para um novo usuário?

37

Eu sou o administrador de um domínio do Google Apps. Criei uma nova conta de usuário. Tentei entrar como usuário (em um novo navegador) e ele me disse que "A política da sua organização exige que você se inscreva na verificação em duas etapas. Entre em contato com o administrador para obter mais informações". E então me pede um código.

Como diabos esse usuário novinho em folha teria um código se nunca fez login antes? Além disso, quando olho para as informações dessa conta de usuário no painel de administração do domínio, ele diz que o 2FA está desativado.

Claramente, quando tento fazer login como esse usuário, ele não está desativado, pois está solicitando um código. Parece não haver maneira de acessar novas contas, pois exige códigos 2FA, mas você não pode obter códigos 2FA até que possa fazer login na conta do usuário, ativá-la e configurá-la!

google-apps multi-factor-auth znq
fonte

Respostas:

14

Desativar temporariamente o fator 2 não é uma situação ideal. Dependendo do número de usuários, você pode estar perseguindo o usuário para configurá-lo e ativá-lo novamente. Depois de um tempo, você o deixará de fora.

Recomendamos que você crie uma suborganização chamada algo como "fator pré-2" e mova o novo usuário para o sub-grupo. Esse sub-grupo tem o requisito de dois fatores desativado, mas também desativa todo o resto, exceto o Mail e o Vault (se você tiver o Vault).

Depois que o usuário notificar que concluiu a inscrição, você poderá movê-lo para a organização ou suborganização regular.

Isso coloca a responsabilidade do usuário com incentivo para fazê-lo, porque ele não pode acessar nada além de e-mail até que seja inscrito e notifique um administrador.

Muito fácil de fazer da perspectiva do administrador.

Weehooey
fonte
Legal. Obrigado pela dica :-)
znq 30/05
14
este é incrivelmente não trivial, eu teria esperado-los para lidar com usuários de primeira vez de forma diferente
Michael
2
WTF! Eu isso de verdade? Não existe uma solução "normal" para isso em que não movemos os usuários para dentro e para fora da organização especial? Um usuário não deveria poder configurar o MFA durante a ativação da conta?
WooYek
11
A resposta sobre "gerar novos códigos" a partir do @idean abaixo parece um ajuste melhor aqui; Sathya, você consideraria aceitar esse?
Glyph
Simon Woodside tem uma solução real abaixo. Aparentemente, o Google corrigiu o problema adicionando a opção "Período de inscrição para novos usuários".
Idris Mokhtarzada
30

O Google corrigiu isso agora. Agora você pode acessar Segurança > Configurações básicas > Ir para configurações avançadas para aplicar a verificação em duas etapas .

Em seguida, clique em Período de inscrição de novo usuário e defina como 1 dia . Isso permitirá que um novo usuário um dia defina seus 2FA antes de serem bloqueados.

insira a descrição da imagem aqui

Simon Woodside
fonte
Obrigado - ótima resposta
Steve de Niese
Encontrei um 'bug' divertido com isso - tenho uma conta do Google usando meu endereço de e-mail comercial há cerca de 2 anos. Hoje, fui "transferido" para o pacote do Google Business e ele pensa que eu estive com ele pelos mesmos dois anos. Ele não percebe que só me registrei por um dia e, portanto, não consigo configurar o 2FA.
djsmiley2k - COW 27/02
11
Essa deve ser a nova resposta aceita.
MegaMatt 22/04
20

Imediatamente após criar um novo usuário, vá para a guia Segurança do usuário e clique em "Gerar novos códigos" para gerar uma lista de códigos de uso único.

Em seguida, forneça ao usuário o primeiro ou dois códigos dessa lista, juntamente com o URL https://accounts.google.com/b/0/SmsAuthSettings para autenticação por SMS (verifique isso, pode ser diferente para você) para que eles possam fazer login uma vez e configure seu 2FA.

É uma boa prática também fazer com que eles gerem uma nova lista de códigos de autenticação de backup, pois agora eles usam um ou dois.

ideano
fonte
11
Isto é melhor do que a resposta aceita ...
fig
Isso tem desvantagens: (a) o administrador conhece alguns dos códigos de uso único do usuário, que podem não ser apropriados dependendo do seu modelo de segurança, (b) exige que você transmita os códigos com segurança para o usuário (ou seja, com confiança e criptografia), que pode ser difícil de automatizar de maneira segura.
Simon Woodside
4

Parece que você tem a aplicação de autenticação de dois fatores ativada para o domínio:insira a descrição da imagem aqui

Eu estou pensando que você pode desativar isso para que todos os usuários não sejam obrigados a ter autenticação de dois fatores.

A melhor resposta que eu poderia encontrar se você deseja deixar essa configuração ativada seria configurar um grupo de exceções:

Faça com que todos os usuários e administradores se inscrevam na verificação em duas etapas ou os coloque em um grupo de exceções usando grupos de exceções antes de aplicar a configuração. Isso deve ser feito para novos usuários durante a criação da conta. Caso contrário, eles serão bloqueados no Google Apps.

Mais detalhes sobre o grupo de exceções podem ser encontrados aqui: http://support.google.com/a/bin/answer.py?hl=pt_BR&answer=2548882

quickcel
fonte
Sim. Foi o que acabei fazendo: desativar temporariamente a autenticação de dois fatores. Não é o ideal, mas parece ser o único caminho.
Znq 24/05
Os grupos de exceção podem ser um recurso tão bom, mas são gerenciados tão mal que não podem realmente ser usados.
Saariko 28/09
1

O Dito GAM agora pode gerar códigos de backup para os usuários, mesmo que eles ainda não tenham o 2SV ativado . Você pode:

  1. Crie o novo usuário.
  2. Gere códigos de backup com o comando "gam user [email protected] update backupcodes"
  3. Comunique um código de backup ao usuário junto com a senha inicial.
  4. Instrua o usuário a fazer login em: https://accounts.google.com/b/0/SmsAuthSettings e inscreva-se no 2SV ou corre o risco de ser bloqueado após o login inicial.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users

Jay Lee
fonte