Как настроить принудительный вход в аккаунт с использованием двухфакторной и многофакторной аутентификации

Для администраторов, управляющих правилами для Chrome с помощью консоли администратора Google.

Администратор Chrome Enterprise может включить в организации двухфакторную или многофакторную аутентификацию и указать, как часто пользователям нужно входить на устройства ChromeOS.

Это обеспечит дополнительный уровень безопасности, поскольку пользователи должны будут периодически входить в аккаунты в два и более этапов.

Что такое факторы аутентификации

Фактор аутентификации – это часть информации и процесс, используемый для подтверждения личности пользователя в целях обеспечения безопасности.

Факторы аутентификации можно разделить на три группы:

• информация, которую вы знаете, например пароль и PIN-код;
• устройства, которые у вас есть, например электронный ключ и смартфон;
• биометрические данные, например отпечатки пальцев и черты лица.

Если пользователь входит в систему с использованием двухфакторной или многофакторной аутентификации, он должен пройти все необходимые проверки, иначе в доступе будет отказано.

Ниже приведены примеры применения аутентификации.

• Пользователь должен пройти двухфакторную аутентификацию при добавлении нового аккаунта на устройство с ChromeOS.
• Пользователь должен пройти двухфакторную аутентификацию при входе в свой аккаунт.
• Пользователь должен пройти двухфакторную аутентификацию при разблокировке устройства с ChromeOS.
• Пользователь может разблокировать экран устройства с ChromeOS с помощью отпечатка пальца или PIN-кода, и вводить пароль не требуется.

Подробнее о том, как защитить компанию с помощью двухфакторной аутентификации…

Подготовка

• Если Chrome уже развернут, попросите пользователей войти в управляемый аккаунт Google в определенный день.

Шаг 1. Выберите правила

Для пользователей, которые не используют систему единого входа (SSO) на базе SAML при входе на устройства с ChromeOS, можно выбрать указанные ниже правила.

• Периодичность запроса учетных данных при входе в аккаунт Google
• Периодичность онлайн-входа при разблокировке устройства

Для пользователей, которые используют систему единого входа на базе SAML при входе на устройства с ChromeOS, можно выбрать указанные ниже правила.

• Периодичность запроса учетных данных при использовании системы единого входа на базе SAML
• Периодичность запроса учетных данных для разблокировки устройства при использовании SSO на базе SAML

Шаг 2. Проверьте настройки правил

Вы можете задать одно или несколько из перечисленных ниже правил.

Шаг 3. Задайте правила

Выберите подходящий вариант ниже, чтобы открыть инструкции.

Правила могут применяться при входе пользователей в аккаунт на любом устройстве. Подробнее о том, как применяются правила…

1. Войдите в консоль администратора Google.

   Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню УстройстваChromeНастройки. По умолчанию откроется страница Настройки пользователей и браузеров.

   Если вы зарегистрировались в Chrome Enterprise Core, нажмите на значок меню Браузер ChromeНастройки.

3. Чтобы применить параметр только к некоторым пользователям и зарегистрированным браузерам, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (более сложный вариант). Инструкции

   Настройки группы переопределяют значения для организационных подразделений. Подробнее…

4. Откройте раздел Безопасность.
5. Если система единого входа на базе SAML не используется, выполните следующие действия:
   1. Выберите Периодичность принудительного входа через онлайн-интерфейс, укажите значение в днях и нажмите Сохранить.
      • 0 – пользователи всегда должны входить в аккаунт онлайн.
      • От 1 до 365 – после указанного периода пользователи, начинающие сеанс работы с устройством, должны будут выполнить вход в аккаунт онлайн.
   2. Выберите Периодичность принудительного входа через онлайн-интерфейс для разблокировки устройства, укажите значение в днях и нажмите Сохранить.
      • 0 – пользователи всегда должны входить в аккаунт онлайн, если устройство заблокировано.
      • От 1 до 365 – после указанного периода пользователи, которые хотят разблокировать устройство, должны будут выполнить вход в аккаунт онлайн.
6. При использовании системы единого входа на базе SAML выполните следующие действия:
   1. Выберите Периодичность принудительного входа через онлайн-интерфейс для пользователей SAML, укажите период для принудительного входа в аккаунт онлайн и нажмите Сохранить.
   2. Выберите Периодичность принудительного входа через онлайн-интерфейс при разблокировке устройства для пользователей SAML, укажите значение в днях и нажмите Сохранить.
      • 0 – пользователи всегда должны входить в аккаунт онлайн, если устройство заблокировано.
      • От 1 до 365 – после указанного периода пользователи, которые хотят разблокировать устройство, должны будут выполнить вход в аккаунт онлайн.
7. Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

   Чтобы восстановить унаследованное значение, нажмите Наследовать (или Сбросить настройки для группы).

Шаг 4. Убедитесь, что правила применены

Чтобы правила Chrome вступили в силу, пользователям потребуется перезапустить браузер Chrome на своих устройствах. Вы также можете проверить, правильно ли применяются правила на пользовательских устройствах.

1. На управляемом устройстве Chrome откройте страницу chrome://policy.
2. Нажмите Повторно загрузить правила.
3. Установите флажок Показывать правила, значения которых не заданы.
4. Убедитесь, что в правилах GaiaOfflineSigninTimeLimitDays, GaiaLockScreenOfflineSigninTimeLimitDays, SAMLOfflineSigninTimeLimit и SamlLockScreenOfflineSigninTimeLimitDays для параметра Состояние указано значение ОК.
5. Нажмите Показать значение в строке каждого правила и убедитесь, что их значения совпадают с заданными вами настройками.

Статья по теме

• Быстрая разблокировка