我是Google Apps网域的管理员。我创建了一个全新的用户帐户。我试图以该用户身份登录(在新的浏览器中),并告诉我“您的组织机构的政策要求您注册两步验证。请联系管理员以获取更多信息。”然后提示我输入代码。

如果这个新用户以前从未登录过,那么他们将如何获得代码?此外,当我从域管理面板查看该用户的帐户信息时,它说2FA已关闭。

很明显,当我尝试以该用户身份登录时,它并没有关闭,因为它提示输入代码。由于需要2FA代码,因此似乎无法访问全新的帐户,但是只有登录到用户帐户并将其打开并设置后才能获得2FA代码!

#1 楼

暂时关闭2因子不是理想的情况。根据用户数量的不同,您可能会追逐用户进行设置,因此可以重新打开它。片刻之后,您将不再使用它。

我们建议您创建一个名为“ Pre-2-factor”的子组织,并将新用户移至该子组织。该子机构的2要素要求已关闭,但邮件和保险柜(如果有保险库)以外的其他所有设备也将关闭。

一旦用户通知您他们已完成注册,则可以将其移至常规组织或子组织。

这使用户有责任完成它,因为他们只有在注册并通知管理员后才能访问邮件,而只能访问邮件。

从管理员的角度来看很容易做到。

评论


凉。感谢您的提示:-)

–znq
13年5月30日在8:06

这真是微不足道,我希望他们以不同的方式处理初次使用的用户

–迈克尔
16年1月10日在9:42

WTF!我这是真的吗?在不将用户移入特殊组织的情况下,是否没有“正常”解决方案?用户在帐户激活期间是否应该能够设置MFA?

– WooYek
17年4月5日在8:35

下面来自@idean的关于“生成新代码”的答案似乎更合适; Sathya您会考虑接受那个吗?

–字形
17年7月17日在17:27

Simon Woodside在下面有一个真正的解决方案。显然,Google通过添加“新用户注册期限”选项解决了该问题。

–艾德里斯·莫克塔扎达(Idris Mokhtarzada)
18年7月19日在19:56

#2 楼

Google已修复此问题。现在,您可以转到“安全性”>“基本设置”>“转到高级设置”以强制执行两步验证。

然后单击“新用户注册期”并将其设置为1天。这将使新用户有一天可以在锁定前设置2FA。



评论


谢谢-好答案

– Steve de Niese
19年2月4日在22:30

我发现了一个有趣的“ bug”-我有一个使用我的公司电子邮件地址的google帐户大约2年了。今天,我被“感动”到了Google Business Suite,它认为我已经使用了两年。它没有意识到我只注册了1天,所以我无法设置2FA。

–djsmiley2kStaysInside
19年2月27日在14:35

这应该是新接受的答案。

– MegaMatt
19年4月22日在14:40

#3 楼

创建新用户后,立即转到该用户的“安全性”选项卡,然后单击“生成新代码”以生成一次性使用代码列表。

然后为用户提供该列表中的前一个或两个代码,以及用于SMS身份验证的URL https://accounts.google.com/b/0/SmsAuthSettings(请验证,可能是对于您而言,情况有所不同),因此他们可以登录一次并设置其2FA。

最好让他们生成一个新的备份身份验证代码列表,因为它们现在已经使用了一两个。 />

评论


这比公认的答案更好...

–图
17年7月18日在15:20

这有缺点:(a)管理员知道某些用户的一次性使用代码,根据您的安全模型,这可能不适合;(b)要求您安全地将代码传输给用户(即,以信任和加密),这可能很难以安全的方式自动化。

–西蒙·伍德赛德
17年9月18日在19:11

#4 楼

听起来您已经为域打开了2因子身份验证强制实施:

我想您可以将其关闭,以便不强制所有用户进行2因子身份验证。

如果要保留该设置,我能找到的最佳答案是设置一个例外组:


让所有用户和管理员注册两步验证或
在执行设置之前,使用异常组将它们放在异常组中。应该在创建帐户期间为新用户完成此操作。否则,它们将被锁定在Google Apps之外。


有关异常组的更多详细信息,请参见:http://support.google.com/a/bin/answer.py ?hl = zh-CN&answer = 2548882

评论


是的这就是我最终要做的事情:暂时关闭2要素身份验证。这不是理想的方法,但这似乎是唯一的方法。

–znq
13年5月24日在23:26

异常组可以是一个很棒的功能,但是它的管理非常糟糕,无法真正使用。

–Saariko
2014年9月28日上午11:55

#5 楼

Dito GAM现在可以为用户生成备份代码,即使他们尚未打开2SV。您可以:


创建新用户。
使用命令“ gam user newguy@example.com update backupcodes”生成备份代码。
将一个备份代码与用户和初始密码。
指示用户登录:https://accounts.google.com/b/0/SmsAuthSettings并注册2SV,否则在初次登录后有被锁定的风险。

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users

#6 楼

替代方法是设置和使用备用电话,而不是发送备用代码,从而减轻服务台的负担。
设置:

新用户注册期-从不
应用对所有用户的策略

创建新用户

设置辅助电话
生成“备份验证码”(您不必与任何人,但创建它们很重要)
共享帐户和密码,并要求用户正常登录

首次登录时,系统会提示用户推出MFA。