Вопрос или проблема
Есть странная проблема, для которой я не могу найти решения: в организации, использующей GSuite, администратор не может открыть почтовый ящик для уволенного сотрудника. Я имею в виду, что мы можем сбросить пароль и т. д., но при входе появляется запрос “Подтвердите, что это вы”, который отправит SMS на его личный номер – это означает, что почтовый ящик не может быть открыт. Мы имеем законные основания от руководства организации для открытия почтового ящика, но это кажется практически невозможным.
Это не 2SV – мы отключили его для всего домена в попытках.
Есть ли какие-нибудь обходные решения?
Как администратор, сбросьте их пароль, и используйте один из их резервных кодов подтверждения.
В дополнение к политике 2SV организации, учетные записи Google имеют дополнительную безопасность при подозрительных входах. Например, администратор пытается войти с нового устройства в другом месте. Логично, что незнакомое устройство вызовет “Подтвердите, что это вы”. Администраторы G Suite могут отключить это на короткое время. (См. ответ Марио Р. здесь, на webapps.SE, через этот блог.)
- Войдите в консоль администратора Google.
- На главной странице консоли администратора перейдите в раздел “Пользователи”.
- Нажмите на строку с учетной записью пользователя, чтобы отобразить страницу информации о пользователе.
- Нажмите “Безопасность”.
- Нажмите “Проверка входа”.
- Нажмите “Отключить на 10 минут”.
Или пропустите захват учетной записи. Как администратор, загрузите данные пользователя через Экспорт данных G Suite.
Наконец, я нашел решение этой проблемы. Вы можете следовать этим шагам.
- В консоли администратора Google перейдите в раздел настроек 2FA в организации.
- Включите “Разрешить пользователям включать двухфакторную аутентификацию”.
- В этом разделе выберите Принуждение “Включено”.
- Выберите методы “Любой, кроме кодов подтверждения по смс или телефонному звонку”.
- Сохраните эту страницу. Теперь перейдите в раздел пользователей на странице администратора Google. Перейдите на вкладку пользователей, выберите пользователя, которого хотите. Перейдите в настройки > вкладка безопасности для этого конкретного пользователя.
- Нажмите на настройки 2FA и получите резервные коды подтверждения. Запишите этот код где-то.
- Теперь попробуйте войти с этим конкретным пользователем, и вам будет предложено ввести адрес электронной почты, пароль, а затем этот резервный код. Введите 8-значный любой код.
- Вы сделали это! Но вы должны активировать 2FA для этой учетной записи, как с помощью Google Auth или приложения 1Password, вы можете использовать его. Voilà!
Ответ или решение
К сожалению, функция «Подтвердите, что это вы» в GSuite может стать препятствием для доступа к аккаунту уволенного сотрудника, если ваш администратор не имеет доступа к его номеру телефона. Тем не менее, есть несколько методов, которые могут помочь вам обойти эту ситуацию легальным образом, используя функции администрирования GSuite.
-
Сброс пароля: Прежде всего, администраторы GSuite имеют возможность сбросить пароли пользователей. Перейдите в консоль администратора Google, затем выберите нужного пользователя и сбросьте его пароль. Однако это может не решить проблему с подтверждением входа.
-
Отключение проверки входа: Можно временно отключить функцию проверки входа (login challenge) для конкретного пользователя. Для этого выполните следующие шаги:
- Войдите в консоль администратора Google.
- Перейдите в раздел «Пользователи».
- Выберите пользователя, которому требуется доступ.
- Перейдите в раздел «Безопасность».
- Найдите параметр «Проверка входа» и выберите «Отключить на 10 минут».
Это должно помочь вам войти без необходимости проходить проверку через SMS.
-
Использование резервных кодов: В случае, если 2-факторная аутентификация (2FA) была ранее настроена, можно использовать резервные коды. Эти коды можно получить следующим образом:
- Войдите в консоль администратора Google и включите возможность включения 2FA для пользователей.
- Сохраните резервные коды для доступа в случае необходимости.
- При попытке входа вам будет предложено ввести эти коды в дополнение к паролю.
-
Экспорт данных пользователя: Если доступ к учетной записи невозможен, вы можете воспользоваться функцией экспорта данных GSuite. Это позволяет получить информацию из почтового ящика без непосредственного входа в аккаунт. Для этого перейдите в настройки экспорта данных в консоли администратора.
-
Настройка 2FA: В некоторых случаях, включив 2FA и выбрав другие методы проверки (например, приложения-генераторы кода), можно обойти необходимость подтверждения через SMS. Убедитесь, что для этого аккаунта также есть возможность подключения к мобильному приложению для аутентификации, так как это значительно упростит процесс.
Каждый из вышеперечисленных способов должен использоваться в соответствии с политиками безопасности вашей организации и с учётом юридических аспектов доступа к данным уволенного сотрудника. Всегда рекомендуется вести детальную документацию и получать согласие на выполнение таких действий от соответствующих управляющих или юридических отделов.
В случае трудностей или необходимости дополнительной помощи, всегда можно обратиться в службу поддержки Google для получения более глубокого анализа и поддержки в вашей конкретной ситуации.