Google Apps: ¿código de verificación de 2 factores para el nuevo usuario?

37

Soy el administrador de un dominio de Google Apps. Creé una nueva cuenta de usuario. Traté de iniciar sesión como ese usuario (en un nuevo navegador) y me dijo que "la política de su organización requiere que se inscriba en la verificación en dos pasos. Póngase en contacto con su administrador para obtener más información". Y luego me pide un código.

¿Cómo podría este nuevo usuario tener un código si nunca antes se ha conectado? Además, cuando miro la información de la cuenta de este usuario desde el panel de administración del dominio, dice que 2FA está APAGADO.

Claramente, cuando intento iniciar sesión como este usuario, no está desactivado ya que está solicitando un código. Parece que no hay forma de acceder a cuentas nuevas, ya que requiere códigos 2FA, pero no puede obtener códigos 2FA hasta que pueda iniciar sesión en la cuenta de los usuarios, activarla y configurarla.

google-apps multi-factor-auth znq
fuente

Respuestas:

14

Desactivar temporalmente el factor 2 no es una situación ideal. Dependiendo de la cantidad de usuarios, podría estar persiguiendo al usuario para configurarlo y volver a encenderlo. Después de un tiempo, simplemente lo dejarás.

Le recomendamos que cree una suborganización llamada algo así como "Factor Pre-2" y mueva al nuevo usuario al suborg. Ese suborg tiene el requisito de 2 factores desactivado, PERO también apaga todo lo demás excepto Mail and Vault (si tienes bóveda).

Una vez que el usuario le notifica que ha completado la inscripción, puede pasarlos a la organización o suborganización regular.

Esto pone la responsabilidad en el usuario con un incentivo para hacerlo porque no pueden acceder a nada más que correo hasta que se inscriban y notifiquen a un administrador.

Muy fácil de hacer desde la perspectiva del administrador.

Weehooey
fuente
Guay. Gracias por la pista :-)
znq
14
Esto no es increíblemente trivial, hubiera esperado que manejaran a los usuarios nuevos por primera vez de manera diferente
Michael
2
WTF! Yo esto de verdad? ¿No hay una solución "normal" para esto donde no movemos a los usuarios dentro y fuera de una organización especial? ¿No debería un usuario poder configurar MFA durante la activación de la cuenta?
WooYek
1
La respuesta sobre "generar nuevos códigos" de @idean a continuación parece encajar mejor aquí; Sathya, ¿considerarías aceptar esa?
Glifo
Simon Woodside tiene una solución real a continuación. Aparentemente, Google solucionó el problema agregando una opción de "Período de inscripción de nuevos usuarios".
Idris Mokhtarzada
30

Google ha solucionado esto ahora. Ahora puede ir a Seguridad > Configuración básica > Ir a configuración avanzada para aplicar la verificación en dos pasos .

Luego, haga clic en Período de inscripción de nuevo usuario y establezca en 1 día . Esto permitirá que un nuevo usuario un día establezca su 2FA antes de que se bloquee.

ingrese la descripción de la imagen aquí

Simon Woodside
fuente
Gracias - gran respuesta
Steve de Niese
He encontrado un 'error' divertido con esto: he tenido una cuenta de Google utilizando la dirección de correo electrónico de mi empresa durante aproximadamente 2 años. Hoy me 'trasladaron' a la suite de Google Business y creo que he estado con eso durante los mismos 2 años. No se da cuenta de que solo he estado registrado durante 1 día, por lo que no puedo configurar el 2FA.
djsmiley2k - Vaca
1
Esta debería ser la nueva respuesta aceptada.
MegaMatt
20

Inmediatamente después de crear un nuevo usuario, vaya a la pestaña Seguridad de ese usuario y haga clic en "Generar nuevos códigos" para generar una lista de códigos de un solo uso.

Luego, proporcione al usuario los primeros uno o dos códigos de esa lista junto con la URL https://accounts.google.com/b/0/SmsAuthSettings para la autenticación por SMS (verifique esto, puede ser diferente para usted) para que pueda iniciar sesión una vez y configurar su 2FA.

Es una buena práctica también hacer que generen una nueva lista de códigos de autenticación de respaldo, ya que ahora han usado uno o dos.

idean
fuente
1
Esto es mejor que la respuesta aceptada ...
fig
Esto tiene inconvenientes: (a) el administrador conoce algunos de los códigos de uso único del usuario, que pueden no ser apropiados según su modelo de seguridad, (b) requiere que transmita los códigos de forma segura al usuario (es decir, con confianza y cifrado), que puede ser difícil de automatizar de manera segura.
Simon Woodside
4

Parece que tiene la aplicación de autenticación de 2 factores activada para el dominio:ingrese la descripción de la imagen aquí

Creo que podría desactivarlo para que todos los usuarios no estén obligados a tener autenticación de 2 factores.

La mejor respuesta que podría encontrar si desea dejar esa configuración habilitada sería configurar un grupo de excepción:

Haga que todos los usuarios y administradores se inscriban en la verificación en dos pasos o colóquelos en un grupo de excepción usando grupos de excepción antes de aplicar la configuración. Esto debe hacerse para los nuevos usuarios durante la creación de la cuenta. De lo contrario, quedarán bloqueados de Google Apps.

Puede encontrar más detalles sobre el grupo de excepción aquí: http://support.google.com/a/bin/answer.py?hl=es&answer=2548882

quickcel
fuente
Sipp. Eso es lo que terminé haciendo: desactivar temporalmente la autenticación de 2 factores. No es ideal, pero parece ser la única forma.
znq
Los grupos de excepción pueden ser una característica tan excelente, pero se maneja tan mal que realmente no se puede usar.
Saariko
1

Dito GAM ahora puede generar códigos de respaldo para los usuarios, incluso si aún no tienen 2SV activado . Usted puede:

  1. Crea el nuevo usuario.
  2. Genere códigos de respaldo con el comando "gam user [email protected] actualizar backupcodes"
  3. Comunique un código de respaldo al usuario junto con la contraseña inicial.
  4. Indique al usuario que inicie sesión en: https://accounts.google.com/b/0/SmsAuthSettings e inscríbase en 2SV o corra el riesgo de quedar bloqueado después del inicio de sesión inicial.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users

Jay Lee
fuente