Google Apps: code de vérification à 2 facteurs pour tout nouvel utilisateur?

37

Je suis l'administrateur d'un domaine Google Apps. J'ai créé un nouveau compte utilisateur. J'ai essayé de me connecter en tant qu'utilisateur (dans un nouveau navigateur) et il m'a indiqué que "la stratégie de votre organisation vous oblige à vous inscrire à la vérification en deux étapes. Veuillez contacter votre administrateur pour plus d'informations." Et puis me demande un code.

En outre, lorsque je regarde les informations de compte de cet utilisateur à partir du panneau d'administration du domaine, il est indiqué que 2FA est désactivé.

Clairement, lorsque j'essaie de me connecter en tant que cet utilisateur, il n'est pas désactivé car il demande un code. Il semble n'y avoir aucun moyen d'accéder à de nouveaux comptes car il nécessite des codes 2FA, mais vous ne pouvez pas obtenir de codes 2FA tant que vous n'êtes pas en mesure de vous connecter au compte utilisateur, de l'activer et de le configurer!

google-apps multi-factor-auth znq
la source

Réponses:

14

Désactiver temporairement le facteur 2 n'est pas une situation idéale. En fonction du nombre d'utilisateurs, vous pouvez le poursuivre pour le configurer afin de le réactiver. Après un moment, vous allez simplement le laisser.

Nous vous recommandons de créer une sous-organisation appelée "Pré-2 facteurs" et de déplacer le nouvel utilisateur dans la sous-organisation. Cette sous-organisation a désactivé l'exigence de 2 facteurs, MAIS elle a également désactivé tout le reste sauf Mail et Vault (si vous avez un coffre).

Une fois que l'utilisateur vous a informé qu'il a terminé l'inscription, vous pouvez le transférer dans l'organisation ou la sous-organisation habituelle.

Cela met la responsabilité sur l'utilisateur avec une incitation à le faire parce qu'ils ne peuvent accéder à autre chose que du courrier jusqu'à ce qu'ils soient inscrits et avertissent un administrateur.

Très facile à faire du point de vue administrateur.

Weehooey
la source
Cool. Merci pour l'allusion :-)
Znq
14
c'est incroyablement pas trivial, je m'attendais à ce qu'ils traitent les utilisateurs pour la première fois différemment
Michael
2
WTF! Je cela pour de vrai? N'y a-t-il pas de solution "normale" pour cela où nous ne déplaçons pas les utilisateurs dans et hors d'une organisation spéciale? Un utilisateur ne devrait-il pas pouvoir configurer MFA lors de l'activation d'un compte?
WooYek
1
La réponse sur "générer de nouveaux codes" à partir de @idean ci-dessous semble être un meilleur ajustement ici; Sathya envisageriez-vous d'accepter celui-là à la place?
Glyph
Simon Woodside a une vraie solution ci-dessous. Apparemment, Google a résolu le problème en ajoutant l'option "Période d'inscription du nouvel utilisateur".
Idris Mokhtarzada le
30

Google a résolu ce problème maintenant. Vous pouvez maintenant accéder à Sécurité > Paramètres de base > Accéder aux paramètres avancés pour appliquer la vérification en deux étapes .

Cliquez ensuite sur Période d'inscription du nouvel utilisateur et définissez-le sur 1 jour . Cela permettra à un nouvel utilisateur de configurer un jour son 2FA avant qu’il ne soit verrouillé.

entrez la description de l'image ici

Simon Woodside
la source
Merci - bonne réponse
Steve de Niese
J'ai trouvé un «bug» amusant avec cela - j'ai un compte Google en utilisant l'adresse de messagerie de mon entreprise depuis environ 2 ans. Aujourd'hui, j'ai été «transféré» dans la suite Google Business et je pense que cela fait deux ans que je l'utilise. Il ne réalise pas que je ne suis inscrit que depuis 1 jour et je ne peux donc pas configurer le 2FA.
djsmiley2k - CoW
1
Cela devrait être la nouvelle réponse acceptée.
MegaMatt
20

Immédiatement après la création d'un nouvel utilisateur, allez à l'onglet Sécurité de cet utilisateur et cliquez sur "Générer de nouveaux codes" pour générer une liste de codes à usage unique.

Donnez ensuite à l'utilisateur le ou les premiers codes de cette liste ainsi que l'URL https://accounts.google.com/b/0/SmsAuthSettings pour l'authentification par SMS (vérifiez-le, cela pourrait être différent pour vous) afin qu'ils puissent se connecter. une fois et configurer leur 2FA.

Il est également recommandé de leur demander de générer une nouvelle liste de codes d’authentification de sauvegarde, puisqu’ils en ont déjà utilisé un ou deux.

idien
la source
1
C'est mieux que la réponse acceptée ...
fig
Cela présente des inconvénients: (a) l’administrateur connaît certains des codes à usage unique de l’utilisateur, qui peuvent ne pas être appropriés en fonction de votre modèle de sécurité, (b) vous oblige à les transmettre de manière sécurisée à l’utilisateur (c'est-à-dire avec confiance). cryptage), qui peut être difficile à automatiser de manière sécurisée.
Simon Woodside
4

Il semble que vous ayez une authentification à 2 facteurs. Application activée pour le domaine:entrez la description de l'image ici

Je pense que vous pourriez désactiver cette option pour que tous les utilisateurs ne soient pas obligés de disposer d'une authentification à 2 facteurs.

La meilleure réponse que je pourrais trouver si vous souhaitez laisser ce paramètre activé serait de configurer un groupe d'exceptions:

Demandez à tous les utilisateurs et administrateurs de s'inscrire à la vérification en deux étapes ou placez-les dans un groupe d'exceptions à l'aide de groupes d'exceptions avant d'appliquer le paramètre. Cela devrait être fait pour les nouveaux utilisateurs lors de la création du compte. Sinon, ils seront verrouillés dans Google Apps.

Vous trouverez plus de détails sur les groupes d’exceptions à l’ adresse suivante : http://support.google.com/a/bin/answer.py?hl=fr&answer=2548882.

quickcel
la source
Yepp. C'est ce que j'ai fini par faire: désactiver temporairement l'authentification à 2 facteurs. Ce n'est pas idéal, mais cela semble être le seul moyen.
Znq
Les groupes d'exception peuvent être une telle fonctionnalité, mais ils sont tellement mal gérés qu'ils ne peuvent pas vraiment être utilisés.
Saariko
1

Dito GAM peut désormais générer des codes de sauvegarde pour les utilisateurs même s'ils n'ont pas encore activé 2SV . Vous pouvez:

  1. Créez le nouvel utilisateur.
  2. Générez des codes de sauvegarde avec la commande "gam user [email protected] update backupcodes"
  3. Communiquez un code de sauvegarde à l'utilisateur avec le mot de passe initial.
  4. Demandez à l'utilisateur de se connecter à l' adresse : https://accounts.google.com/b/0/SmsAuthSettings et de s'inscrire à 2SV sous peine d'être bloqué après la première connexion.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users

Jay Lee
la source