Google Apps：新用户的2要素验证码？

我是Google Apps网域的管理员。我创建了一个全新的用户帐户。我尝试以该用户身份登录（在新的浏览器中），并告诉我“您的组织的政策要求您注册两步验证。请联系管理员以获取更多信息。” 然后提示我输入代码。

如果这个全新的用户以前从未登录过，那么他们将如何获得代码？此外，当我从域管理面板查看该用户的帐户信息时，它说2FA已关闭。

显然，当我尝试以该用户身份登录时，它并没有关闭，因为它提示您输入代码。由于它需要2FA代码，因此似乎无法访问全新的帐户，但是只有登录到用户帐户并将其打开并设置后才能获得2FA代码！

暂时关闭2因子不是理想的情况。根据用户数量的不同，您可能会追逐用户进行设置，以便重新打开它。片刻之后，您将不再使用它。

我们建议您创建一个名为“ Pre-2-factor”的子组织，并将新用户转移到该子组织中。该子组织的2要素要求已关闭，但邮件和保险柜（如果有保险库）以外的其他所有设备也将关闭。

用户通知您他们已经完成注册后，您可以将其移至常规组织或子组织。

这使用户有责任去完成它，因为他们只有在注册并通知管理员后才能访问邮件，而只能访问邮件。

从管理员的角度来看很容易做到。

Google已修复此问题。现在，您可以转到“ 安全性” >“ 基本设置” >“ 转到高级设置”以强制执行两步验证。

然后单击“ 新用户注册期”并将其设置为1天。这将使新用户有一天可以在锁定之前设置其2FA。

创建新用户后，立即转到该用户的“安全性”选项卡，然后单击“生成新代码”以生成一次性使用代码列表。

然后为用户提供该列表中的前一个或两个代码，以及用于SMS身份验证的URL https://accounts.google.com/b/0/SmsAuthSettings（请验证此名称，对于您来说可能有所不同），以便他们登录一次并设置其2FA。

最好让他们也生成备份身份验证代码的新列表，因为它们现在已经使用了一两个。

听起来您已为域打开了2因素身份验证强制实施：

我在想您可以关闭此功能，以免所有用户都被强制进行两因素验证。

如果您想保留该设置，我能找到的最佳答案是设置一个例外组：

在执行设置之前，请所有用户和管理员注册两步验证，或使用异常组将它们放置在异常组中。应该在帐户创建过程中为新用户完成此操作。否则，它们将被锁定在Google Apps之外。

可以在以下位置找到有关例外组的更多详细信息：http : //support.google.com/a/bin/answer.py?hl=zh_CN&answer=2548882

Dito GAM现在可以为用户生成备份代码，即使他们尚未打开2SV。您可以：

1. 创建新用户。
2. 使用命令“ gam user newguy@example.com更新备份代码”生成备份代码。
3. 将一个备用代码与初始密码一起传达给用户。
4. 指导用户登录：https : //accounts.google.com/b/0/SmsAuthSettings并注册2SV，否则在初次登录后可能会被锁定。

https://code.google.com/p/google-apps-manager/wiki/SecurityExamples#Generate_New_Backup_Codes_For_Users