Google Workspace 2FA 兩步驟驗證設定指南:管理員與用戶教學
📑 目錄
Google Workspace 2FA 兩步驟驗證設定指南:管理員與用戶教學
「公司帳號被盜怎麼辦?」
最好的預防方式就是啟用兩步驟驗證(2FA)。即使密碼外洩,沒有第二步驗證也登不進去。
這篇文章會教你如何在 Google Workspace 設定 2FA,包含管理員強制啟用和用戶自行設定。
什麼是兩步驟驗證?
基本概念
兩步驟驗證(2FA/MFA)在密碼之外增加第二層保護:
- 第一步:輸入密碼(你知道的)
- 第二步:輸入驗證碼或使用裝置確認(你擁有的)
為什麼很重要?
密碼可能外洩的情況:
- 釣魚網站
- 資料外洩事件
- 密碼太簡單被猜到
- 電腦中毒
有 2FA 的話:
- 即使密碼外洩,帳號還是安全的
- 駭客沒有你的手機,登不進去
驗證方式選項
| 方式 | 安全性 | 便利性 | 建議 |
|---|---|---|---|
| 安全金鑰 | 最高 | 中 | 高風險帳號必用 |
| Authenticator App | 高 | 高 | 推薦一般用戶 |
| 手機提示 | 高 | 最高 | Google 手機 App |
| 簡訊驗證碼 | 中 | 高 | 不推薦(可被攔截) |
管理員:強制啟用 2FA
步驟一:進入安全設定
- 登入 admin.google.com
- 前往「安全性」→「驗證」
- 點選「2 步驟驗證」
步驟二:啟用 2FA 政策
- 選擇要套用的組織單位
- 點選「允許使用者啟用兩步驟驗證」
- 選擇是否強制執行
步驟三:設定強制執行
選項說明:
- 不強制:用戶可選擇是否啟用
- 強制執行:指定日期後必須啟用
- 立即強制:馬上強制所有人啟用
建議設定:
- 選擇「強制執行」
- 設定一個未來日期(給用戶準備時間)
- 通知所有用戶
步驟四:設定新用戶政策
新加入的用戶:
- 可以設定幾天寬限期
- 寬限期後必須啟用 2FA
進階設定
允許的驗證方式:
- 可以限制只允許特定方式
- 例如:只允許安全金鑰(最高安全)
信任的 IP:
- 可以設定公司 IP 為信任
- 在公司網路內可能不需要 2FA
用戶:設定個人 2FA
步驟一:進入帳號設定
- 前往 myaccount.google.com
- 點選「安全性」
- 找到「兩步驟驗證」
步驟二:開始設定
- 點選「開始設定」
- 輸入密碼確認身份
- 選擇驗證方式
步驟三:設定驗證方式
推薦:Google Authenticator App
- 下載 Google Authenticator(iOS/Android)
- 在設定頁面選擇「Authenticator 應用程式」
- 掃描 QR Code
- 輸入 App 顯示的 6 位數驗證碼
- 完成設定
或者:手機提示
- 在設定頁面選擇「Google 提示」
- 確認手機已登入 Google 帳號
- 測試是否能收到提示
步驟四:設定備用方式
重要:一定要設定備用方式,以防主要方式無法使用。
備用選項:
- 備用電話號碼
- 備用驗證碼(列印保存)
- 另一個 Authenticator
備用驗證碼:
- 在 2FA 設定頁面找到「備用驗證碼」
- 點選「產生」
- 列印或安全保存
- 每組驗證碼只能用一次
推薦的驗證方式
對一般用戶
推薦:Google Authenticator + 備用驗證碼
理由:
- Authenticator 快速方便
- 備用驗證碼防止手機遺失
- 不需要額外花錢
對高風險帳號
推薦:安全金鑰
適用對象:
- 管理員帳號
- 財務人員
- 有權限存取敏感資料的人
安全金鑰選項:
- YubiKey
- Google Titan Security Key
- 支援 FIDO2 的金鑰
不推薦:簡訊驗證
雖然比沒有好,但:
- 可能被 SIM 卡劫持攻擊
- 在國外可能收不到
- 安全性較低
常見問題處理
用戶手機遺失怎麼辦?
用戶自己處理:
- 使用備用驗證碼登入
- 重新設定新的驗證方式
管理員協助:
- 在 Admin Console 找到該用戶
- 點選「安全性」
- 關閉該用戶的 2FA
- 用戶重新登入後再設定
用戶忘記設定怎麼辦?
如果已經強制執行:
- 用戶無法登入
- 管理員需要暫時關閉該用戶的 2FA
- 或延長寬限期
換手機怎麼辦?
建議做法:
- 在舊手機還能用時,先在新手機設定
- 或使用備用驗證碼登入,重新設定
如果舊手機已經不能用:
- 使用備用驗證碼
- 或請管理員重設
出差時怎麼辦?
準備工作:
- 確保 Authenticator App 可用
- 攜帶備用驗證碼
- 確認手機能正常使用
進階安全建議
進階保護計畫
Google 的最高安全等級:
功能:
- 強制使用安全金鑰
- 限制第三方應用存取
- 額外的帳號恢復驗證
適合:
- 高風險人員(高階主管、記者)
- 處理極敏感資料的帳號
定期審查
管理員應該定期:
- 檢查哪些用戶沒有啟用 2FA
- 審查可疑的登入活動
- 更新安全政策
常見問題
每次登入都要驗證嗎?
不一定:
- 同一裝置可以「信任」
- 但新裝置、新位置會需要驗證
可以關閉 2FA 嗎?
- 用戶:如果公司沒有強制,可以關閉
- 管理員:可以在政策中設定
安全金鑰要買嗎?
- 一般用戶:Authenticator App 就夠
- 高風險帳號:建議購買(約 NT$1,000-2,000)
需要資安評估?
2FA 只是帳號安全的一部分。完整的企業資安還包括其他面向。
預約資安評估,讓專家幫你檢視 Google Workspace 的安全設定,找出潛在風險。
延伸閱讀
- 完整介紹,請見 Google Workspace 完整指南
- 管理員教學,請見 Google Workspace 管理員完整教學
- 帳號問題,請見 Google Workspace 帳戶被停用解決指南