Google Apps: kode verifikasi 2 faktor untuk pengguna baru?

Saya adalah admin dari domain Google Apps. Saya membuat akun pengguna baru. Saya mencoba masuk sebagai pengguna itu (di browser baru) dan dikatakan bahwa "Kebijakan organisasi Anda mengharuskan Anda mendaftar dalam verifikasi 2 langkah. Silakan hubungi administrator Anda untuk informasi lebih lanjut." Dan kemudian meminta saya untuk kode.

Bagaimana mungkin pengguna baru ini memiliki kode jika mereka belum pernah login sebelumnya? Selanjutnya, ketika saya melihat info akun pengguna ini dari panel admin domain, dikatakan bahwa 2FA dimatikan.

Jelas ketika saya mencoba masuk karena pengguna ini tidak aktif karena meminta kode. Tampaknya tidak ada cara untuk mengakses akun baru karena memerlukan kode 2FA, tetapi Anda tidak bisa mendapatkan kode 2FA sampai Anda dapat masuk ke akun pengguna dan menyalakannya & mengaturnya!

Mematikan sementara 2 faktor bukanlah situasi yang ideal. Bergantung pada jumlah pengguna, Anda bisa mengejar pengguna untuk mengaturnya sehingga Anda dapat menyalakannya kembali. Setelah beberapa saat, Anda akan membiarkannya begitu saja.

Kami menyarankan Anda membuat suborganisasi yang disebut "Pre-2-factor" dan memindahkan pengguna baru ke dalam suborg. Suborg yang memiliki persyaratan 2 faktor dimatikan TETAPI juga matikan semua yang lain kecuali untuk Mail dan Vault (jika Anda memiliki vault).

Setelah pengguna memberi tahu Anda bahwa mereka telah menyelesaikan pendaftaran, Anda dapat memindahkan mereka ke organisasi atau suborganisasi reguler.

Ini menempatkan tanggung jawab pada pengguna dengan insentif untuk menyelesaikannya karena mereka tidak dapat mengakses apa pun kecuali surat sampai mereka didaftarkan dan memberi tahu admin.

Sangat mudah dilakukan dari perspektif admin.

Google telah memperbaikinya sekarang. Anda sekarang dapat pergi ke Keamanan > Pengaturan Dasar > Pergi ke pengaturan lanjutan untuk menegakkan verifikasi 2 langkah .

Kemudian klik Periode pendaftaran Pengguna Baru dan atur ke 1 hari . Ini akan memungkinkan pengguna baru suatu hari untuk mengatur 2FA mereka sebelum mereka dikunci.

Segera setelah membuat pengguna baru, buka tab Keamanan pengguna itu dan klik "Hasilkan Kode Baru" untuk menghasilkan daftar kode Sekali Pakai.

Kemudian berikan kepada pengguna satu atau dua kode pertama dari daftar itu bersama dengan URL https://accounts.google.com/b/0/SmsAuthSettings untuk otentikasi SMS (verifikasi ini, mungkin berbeda untuk Anda) sehingga mereka dapat login sekali dan atur 2FA mereka.

Adalah praktik yang baik untuk meminta mereka membuat daftar baru kode otentikasi cadangan, karena mereka sekarang menggunakan satu atau dua.

Kedengarannya Anda memiliki 2 faktor autentikasi Penegakan diaktifkan untuk domain:

Saya pikir Anda bisa mematikannya sehingga semua pengguna tidak dipaksa untuk memiliki otentikasi 2 faktor.

Jawaban terbaik yang bisa saya temukan jika Anda ingin membiarkan pengaturan itu diaktifkan adalah menyiapkan grup pengecualian:

Mintalah semua pengguna dan administrator mendaftar dalam verifikasi 2 langkah atau menempatkannya dalam kelompok pengecualian menggunakan kelompok pengecualian sebelum menerapkan pengaturan. Ini harus dilakukan untuk pengguna baru selama pembuatan akun. Jika tidak, mereka akan dikunci dari Google Apps.

Detail lebih lanjut tentang grup pengecualian dapat ditemukan di sini: http://support.google.com/a/bin/answer.py?hl=id&answer=2548882

Dito GAM sekarang dapat membuat kode cadangan untuk pengguna bahkan jika mereka belum mengaktifkan 2SV . Kamu bisa:

1. Buat pengguna baru.
2. Hasilkan kode cadangan dengan perintah "gam pengguna newguy@example.com perbarui kode cadangan"
3. Komunikasikan satu kode cadangan kepada pengguna bersama dengan kata sandi awal.
4. Instruksikan pengguna untuk masuk di: https://accounts.google.com/b/0/SmsAuthSettings dan mendaftar di 2SV atau berisiko dikunci setelah login awal.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users