如果这个新用户以前从未登录过,那么他们将如何获得代码?此外,当我从域管理面板查看该用户的帐户信息时,它说2FA已关闭。
很明显,当我尝试以该用户身份登录时,它并没有关闭,因为它提示输入代码。由于需要2FA代码,因此似乎无法访问全新的帐户,但是只有登录到用户帐户并将其打开并设置后才能获得2FA代码!
#1 楼
暂时关闭2因子不是理想的情况。根据用户数量的不同,您可能会追逐用户进行设置,因此可以重新打开它。片刻之后,您将不再使用它。我们建议您创建一个名为“ Pre-2-factor”的子组织,并将新用户移至该子组织。该子机构的2要素要求已关闭,但邮件和保险柜(如果有保险库)以外的其他所有设备也将关闭。
一旦用户通知您他们已完成注册,则可以将其移至常规组织或子组织。
这使用户有责任完成它,因为他们只有在注册并通知管理员后才能访问邮件,而只能访问邮件。
从管理员的角度来看很容易做到。
#2 楼
Google已修复此问题。现在,您可以转到“安全性”>“基本设置”>“转到高级设置”以强制执行两步验证。然后单击“新用户注册期”并将其设置为1天。这将使新用户有一天可以在锁定前设置2FA。
评论
谢谢-好答案
– Steve de Niese
19年2月4日在22:30
我发现了一个有趣的“ bug”-我有一个使用我的公司电子邮件地址的google帐户大约2年了。今天,我被“感动”到了Google Business Suite,它认为我已经使用了两年。它没有意识到我只注册了1天,所以我无法设置2FA。
–djsmiley2kStaysInside
19年2月27日在14:35
这应该是新接受的答案。
– MegaMatt
19年4月22日在14:40
#3 楼
创建新用户后,立即转到该用户的“安全性”选项卡,然后单击“生成新代码”以生成一次性使用代码列表。然后为用户提供该列表中的前一个或两个代码,以及用于SMS身份验证的URL https://accounts.google.com/b/0/SmsAuthSettings(请验证,可能是对于您而言,情况有所不同),因此他们可以登录一次并设置其2FA。
最好让他们生成一个新的备份身份验证代码列表,因为它们现在已经使用了一两个。 />
评论
这比公认的答案更好...
–图
17年7月18日在15:20
这有缺点:(a)管理员知道某些用户的一次性使用代码,根据您的安全模型,这可能不适合;(b)要求您安全地将代码传输给用户(即,以信任和加密),这可能很难以安全的方式自动化。
–西蒙·伍德赛德
17年9月18日在19:11
#4 楼
听起来您已经为域打开了2因子身份验证强制实施:我想您可以将其关闭,以便不强制所有用户进行2因子身份验证。
如果要保留该设置,我能找到的最佳答案是设置一个例外组:
让所有用户和管理员注册两步验证或
在执行设置之前,使用异常组将它们放在异常组中。应该在创建帐户期间为新用户完成此操作。否则,它们将被锁定在Google Apps之外。
有关异常组的更多详细信息,请参见:http://support.google.com/a/bin/answer.py ?hl = zh-CN&answer = 2548882
评论
是的这就是我最终要做的事情:暂时关闭2要素身份验证。这不是理想的方法,但这似乎是唯一的方法。
–znq
13年5月24日在23:26
异常组可以是一个很棒的功能,但是它的管理非常糟糕,无法真正使用。
–Saariko
2014年9月28日上午11:55
#5 楼
Dito GAM现在可以为用户生成备份代码,即使他们尚未打开2SV。您可以:创建新用户。
使用命令“ gam user newguy@example.com update backupcodes”生成备份代码。
将一个备份代码与用户和初始密码。
指示用户登录:https://accounts.google.com/b/0/SmsAuthSettings并注册2SV,否则在初次登录后有被锁定的风险。
https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users
#6 楼
替代方法是设置和使用备用电话,而不是发送备用代码,从而减轻服务台的负担。设置:
新用户注册期-从不
应用对所有用户的策略
创建新用户
设置辅助电话
生成“备份验证码”(您不必与任何人,但创建它们很重要)
共享帐户和密码,并要求用户正常登录
首次登录时,系统会提示用户推出MFA。
评论
凉。感谢您的提示:-)
–znq
13年5月30日在8:06
这真是微不足道,我希望他们以不同的方式处理初次使用的用户
–迈克尔
16年1月10日在9:42
WTF!我这是真的吗?在不将用户移入特殊组织的情况下,是否没有“正常”解决方案?用户在帐户激活期间是否应该能够设置MFA?
– WooYek
17年4月5日在8:35
下面来自@idean的关于“生成新代码”的答案似乎更合适; Sathya您会考虑接受那个吗?
–字形
17年7月17日在17:27
Simon Woodside在下面有一个真正的解决方案。显然,Google通过添加“新用户注册期限”选项解决了该问题。
–艾德里斯·莫克塔扎达(Idris Mokhtarzada)
18年7月19日在19:56