Google Apps: código de verificação de dois fatores para um novo usuário?

Eu sou o administrador de um domínio do Google Apps. Criei uma nova conta de usuário. Tentei entrar como usuário (em um novo navegador) e ele me disse que "A política da sua organização exige que você se inscreva na verificação em duas etapas. Entre em contato com o administrador para obter mais informações". E então me pede um código.

Como diabos esse usuário novinho em folha teria um código se nunca fez login antes? Além disso, quando olho para as informações dessa conta de usuário no painel de administração do domínio, ele diz que o 2FA está desativado.

Claramente, quando tento fazer login como esse usuário, ele não está desativado, pois está solicitando um código. Parece não haver maneira de acessar novas contas, pois exige códigos 2FA, mas você não pode obter códigos 2FA até que possa fazer login na conta do usuário, ativá-la e configurá-la!

Desativar temporariamente o fator 2 não é uma situação ideal. Dependendo do número de usuários, você pode estar perseguindo o usuário para configurá-lo e ativá-lo novamente. Depois de um tempo, você o deixará de fora.

Recomendamos que você crie uma suborganização chamada algo como "fator pré-2" e mova o novo usuário para o sub-grupo. Esse sub-grupo tem o requisito de dois fatores desativado, mas também desativa todo o resto, exceto o Mail e o Vault (se você tiver o Vault).

Depois que o usuário notificar que concluiu a inscrição, você poderá movê-lo para a organização ou suborganização regular.

Isso coloca a responsabilidade do usuário com incentivo para fazê-lo, porque ele não pode acessar nada além de e-mail até que seja inscrito e notifique um administrador.

Muito fácil de fazer da perspectiva do administrador.

O Google corrigiu isso agora. Agora você pode acessar Segurança > Configurações básicas > Ir para configurações avançadas para aplicar a verificação em duas etapas .

Em seguida, clique em Período de inscrição de novo usuário e defina como 1 dia . Isso permitirá que um novo usuário um dia defina seus 2FA antes de serem bloqueados.

Imediatamente após criar um novo usuário, vá para a guia Segurança do usuário e clique em "Gerar novos códigos" para gerar uma lista de códigos de uso único.

Em seguida, forneça ao usuário o primeiro ou dois códigos dessa lista, juntamente com o URL https://accounts.google.com/b/0/SmsAuthSettings para autenticação por SMS (verifique isso, pode ser diferente para você) para que eles possam fazer login uma vez e configure seu 2FA.

É uma boa prática também fazer com que eles gerem uma nova lista de códigos de autenticação de backup, pois agora eles usam um ou dois.

Parece que você tem a aplicação de autenticação de dois fatores ativada para o domínio:

Eu estou pensando que você pode desativar isso para que todos os usuários não sejam obrigados a ter autenticação de dois fatores.

A melhor resposta que eu poderia encontrar se você deseja deixar essa configuração ativada seria configurar um grupo de exceções:

Faça com que todos os usuários e administradores se inscrevam na verificação em duas etapas ou os coloque em um grupo de exceções usando grupos de exceções antes de aplicar a configuração. Isso deve ser feito para novos usuários durante a criação da conta. Caso contrário, eles serão bloqueados no Google Apps.

Mais detalhes sobre o grupo de exceções podem ser encontrados aqui: http://support.google.com/a/bin/answer.py?hl=pt_BR&answer=2548882

O Dito GAM agora pode gerar códigos de backup para os usuários, mesmo que eles ainda não tenham o 2SV ativado . Você pode:

1. Crie o novo usuário.
2. Gere códigos de backup com o comando "gam user newguy@example.com update backupcodes"
3. Comunique um código de backup ao usuário junto com a senha inicial.
4. Instrua o usuário a fazer login em: https://accounts.google.com/b/0/SmsAuthSettings e inscreva-se no 2SV ou corre o risco de ser bloqueado após o login inicial.

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users