私はGoogle Appsドメインの管理者です。新しいユーザーアカウントを作成しました。そのユーザーとして(新しいブラウザーで)サインインしようとしましたが、「組織のポリシーでは2段階認証プロセスに登録する必要があります。詳細については管理者に問い合わせてください。」そして、コードの入力を求められます。
このまったく新しいユーザーは、これまでログインしたことがない場合、どのようにコードを取得しますか?さらに、ドメイン管理パネルからこのユーザーアカウント情報を見ると、2FAがオフになっていると表示されます。
明らかに、このユーザーとしてログインしようとしても、コードの入力を求められているためオフになりません。2FAコードが必要なため、新しいアカウントにアクセスする方法はないようですが、ユーザーアカウントにログインして有効にして設定するまで2FAコードを取得できません!
回答:
一時的に2要素をオフにすることは理想的な状況ではありません。ユーザーの数によっては、ユーザーを追いかけてセットアップを有効にし、再び有効にすることができます。しばらくしたら、そのままにしておきます。
「Pre-2-factor」などのサブ組織を作成し、新しいユーザーをサブ組織に移動することをお勧めします。suborgという2ファクタ要件がオフになっているBUT(ボールトを持っている場合)にもメールとVaultのを除いて他のすべてをオフにします。
ユーザーが登録の完了を通知したら、通常の組織または下位組織に移動できます。
これは、登録して管理者に通知するまでメール以外にはアクセスできないため、ユーザーにそれを実行するインセンティブを与える責任を負います。
管理者の観点からは非常に簡単です。
Googleはこれを修正しました。これで、[ セキュリティ] > [ 基本設定] > [ 詳細設定に移動]に移動して、2段階認証プロセスを実施できます。
次に、[ 新規ユーザー登録期間 ]をクリックして、1日に設定します。これにより、新しいユーザーはロックアウトされる前にいつか2FAを設定できます。
新しいユーザーを作成した直後に、そのユーザーの[セキュリティ]タブに移動し、[新しいコードを生成]をクリックして、使い捨てコードのリストを生成します。
次に、ユーザーにログインできるように、SMS認証用のURL https://accounts.google.com/b/0/SmsAuthSettingsとともにそのリストから最初の1つまたは2つのコードを提供します(これを確認してください。一度、2FAをセットアップします。
また、バックアップ認証コードの新しいリストを生成することをお勧めします。1つまたは2つのコードを使用しているためです。
ドメインに対して2要素認証の強制がオンになっているようです。
すべてのユーザーが2要素認証を強制されることがないように、これをオフにできると考えています。
その設定を有効のままにしたい場合に見つけることができる最良の答えは、例外グループを設定することです。
設定を実施する前に、すべてのユーザーと管理者に2段階認証プロセスを登録するか、例外グループを使用して例外グループに配置してもらいます。これは、アカウントの作成中に新しいユーザーに対して行う必要があります。そうでない場合、それらはGoogle Appsからロックアウトされます。
例外グループの詳細については、http: //support.google.com/a/bin/answer.py?hl = ja&answer = 2548882をご覧ください。
Dito GAM は、2SVがまだオンになっていない場合でも、ユーザーのバックアップコードを生成できるようになりました。あなたはできる: