Google Apps: code de vérification à 2 facteurs pour tout nouvel utilisateur?
Je suis l'administrateur d'un domaine Google Apps. J'ai créé un nouveau compte utilisateur. J'ai essayé de me connecter en tant qu'utilisateur (dans un nouveau navigateur) et il m'a indiqué que "la stratégie de votre organisation vous oblige à vous inscrire à la vérification en deux étapes. Veuillez contacter votre administrateur pour obtenir plus d'informations." Et puis me demande un code.
En outre, lorsque je regarde les informations de compte de cet utilisateur à partir du panneau d'administration du domaine, il est indiqué que 2FA est désactivé.
Clairement, lorsque j'essaie de me connecter en tant que cet utilisateur, il n'est pas désactivé car il demande un code. Il semble n'y avoir aucun moyen d'accéder à de nouveaux comptes car il nécessite des codes 2FA, mais vous ne pouvez pas obtenir de codes 2FA tant que vous ne pouvez pas vous connecter au compte utilisateur, l'activer et le configurer!
Désactiver temporairement le facteur 2 n'est pas une situation idéale. En fonction du nombre d'utilisateurs, vous pouvez le poursuivre pour le configurer afin de le réactiver. Après un moment, vous allez simplement le laisser.
Nous vous recommandons de créer une sous-organisation appelée "Pré-2 facteurs" et de déplacer le nouvel utilisateur dans la sous-organisation. Ce sous-groupe a désactivé l'exigence de 2 facteurs MAIS désactive également tout le reste sauf Mail et Vault (si vous avez un coffre-fort).
Une fois que l'utilisateur vous a informé qu'il a terminé l'inscription, vous pouvez le transférer dans l'organisation ou la sous-organisation habituelle.
Cela met la responsabilité sur l'utilisateur avec une incitation à le faire, car ils ne peuvent accéder à autre chose que du courrier jusqu'à ce qu'ils soient inscrits et avertissent un administrateur.
Très facile à faire du point de vue administrateur.
Google a résolu ce problème maintenant. Vous pouvez maintenant aller à Sécurité > Paramètres de base > Accédez aux paramètres avancés pour appliquer la vérification en deux étapes .
Cliquez ensuite sur Période d'inscription du nouvel utilisateur et définissez-le sur 1 jour . Cela permettra à un nouvel utilisateur de configurer un jour leur 2FA avant qu’ils ne soient verrouillés.
Immédiatement après la création d'un nouvel utilisateur, allez à l'onglet Sécurité de cet utilisateur et cliquez sur "Générer de nouveaux codes" pour générer une liste de codes à usage unique.
Indiquez ensuite à l’utilisateur le ou les premiers codes de cette liste ainsi que l’URL https://accounts.google.com/b/0/SmsAuthSettings pour SMS authentification (vérifiez cela peut être différent pour vous) afin qu'ils puissent se connecter une fois et configurer leur 2FA.
Il est recommandé de leur demander également de générer une nouvelle liste de codes d’authentification de sauvegarde, puisqu’ils en ont déjà utilisé un ou deux.
Il semble que vous ayez une authentification à 2 facteurs. Application activée pour le domaine:
Je pense que vous pourriez désactiver cette option pour que tous les utilisateurs ne soient pas obligés de disposer d'une authentification à 2 facteurs.
La meilleure réponse que je pourrais trouver si vous souhaitez laisser ce paramètre activé serait de configurer un groupe d'exceptions:
Demandez à tous les utilisateurs et administrateurs de s'inscrire à la vérification en deux étapes ou placez-les dans un groupe d'exceptions à l'aide de groupes d'exceptions avant d'appliquer le paramètre. Cela devrait être fait pour les nouveaux utilisateurs lors de la création du compte. Sinon, ils seront verrouillés dans Google Apps.
Vous trouverez plus de détails sur le groupe d'exceptions ici: http://support.google.com/a/bin/answer.py?hl=fr&answer=2548882
Dito GAM peut désormais générer des codes de sauvegarde pour les utilisateurs , même s'ils n'ont pas encore activé le mode 2SV . Vous pouvez:
- Créez le nouvel utilisateur.
- Générez des codes de sauvegarde avec la commande "gam user [email protected] update backupcodes"
- Communiquez un code de sauvegarde à l'utilisateur avec le mot de passe initial.
- Demandez à l'utilisateur de se connecter à l'adresse suivante: https://accounts.google.com/b/0/SmsAuthSettings et de s'inscrire à 2SV ou de ne pas être verrouillé après la première connexion.