多重驗證 (又稱兩步驟驗證) 是重要的安全措施。除了密碼,多重驗證還需要另一項身分證明 (稱為「驗證因素」),才能成功登入帳戶。要求提供額外驗證因素,可大幅降低帳戶遭駭客入侵的風險。即使密碼遭竊,駭客仍須完成額外驗證才能存取您的帳戶。
如果您使用 Google 帳戶,且已啟用多重驗證, 就不必採取進一步行動。如要確認帳戶是否已啟用多重驗證,請開啟Google 帳戶設定頁面的「安全性」分頁。「登入 Google 的方式」部分會顯示「兩步驟驗證」設定。
如果您使用第三方身分識別提供者 (IdP) 管理 Google Cloud的單一登入 (SSO),可以透過該識別資訊提供者提供的多重驗證功能,符合 Google Cloud的多重驗證規定。
如果本文無法解答您的問題,請與 Cloud Customer Care 聯絡。
強制執行 MFA 的時程
Google Cloud 強制執行多重驗證的時間表取決於帳戶類型,如下表所示。
| 帳戶類型 | 說明 | 違規處置開始日期 |
|---|---|---|
| 個人 Google 帳戶 | 您為自己建立的使用者帳戶,包括做為 Google Cloud中主體的 Gmail 帳戶。 | 2025 年 5 月 12 日 (含) 以後 |
| 企業 Cloud Identity 帳戶 (未使用 SSO) | 使用者帳戶的帳號和密碼是由 Google Workspace 管理員在 Cloud Identity 中建立及管理。 | 2026 年第 2 季或之後 |
| 使用聯合驗證的企業帳戶 | 由 Google Workspace 管理員建立及管理的使用者帳戶,使用 Google Workspace 單一登入、Cloud Identity 單一登入或 員工身分聯盟。 | 2026 年 9 月 1 日起 |
| 經銷商帳戶 | 在 Google Cloud 經銷商網域中建立及管理的使用者帳戶。經銷商的終端使用者不受影響。 | 2025 年 4 月 28 日起 |
如果未啟用 MFA,控制台會在 MFA 強制執行前至少 90 天,以及強制執行前,顯示啟用 MFA 的提醒訊息。 Google Cloud 此外,系統會在強制執行 MFA 前至少 90 天,傳送電子郵件提醒您啟用 MFA。
對於經銷商和使用者,控制台會在強制執行 MFA 前至少 60 天,以及在強制執行 MFA 前,顯示啟用 MFA 的提醒訊息。 Google Cloud 同樣地,系統會在強制執行 MFA 前至少 60 天,傳送電子郵件提醒。
帳戶強制啟用 MFA 後,您必須啟用這項機制,才能登入 Google Cloud 控制台或 Firebase 控制台。
MFA 強制執行範圍
如果帳戶強制執行 Google Cloud 多重驗證規定,您必須啟用多重驗證,才能使用下列 Google Cloud介面:
Google Cloud 強制執行多重驗證不會影響服務帳戶。只有使用者帳戶會受到影響。不過,如果您使用 Google 帳戶模擬服務帳戶,且帳戶強制啟用多重驗證,您必須啟用多重驗證,才能登入 Google Cloud 控制台。
Google Cloud 強制執行多重驗證不會影響下列介面和服務的存取權:
Google Workspace,包括 Gmail、Google 雲端硬碟、Google 試算表和 Google 簡報。不過,Google Workspace 有另外的 MFA 規定。詳情請洽詢Google Workspace 管理員。
YouTube。
在 Google Cloud上執行的應用程式和工作負載 (包括受 Identity-Aware Proxy (IAP) 保護的應用程式),不會受到強制執行 MFA 的影響。不過,開發人員無法使用Google Cloud 控制台管理這些應用程式。換句話說,您的控制層會受到強制執行 MFA 的影響,但資料層不會。
為 Google 帳戶啟用多重驗證
您可以在Google 帳戶設定頁面的「安全性」分頁中啟用 MFA,也就是兩步驟驗證 (2SV)。如需逐步操作說明,請參閱「 開啟兩步驟驗證功能」。
如果帳戶沒有「兩步驟驗證」選項,可能是管理員已停用這項功能。請聯絡 系統管理員尋求協助。
Google 帳戶的其他因素
使用 Google 做為身分識別提供者 (IdP) 的個人 Google 帳戶和企業帳戶,可以搭配Google Cloud使用下列任何額外驗證因素:
驗證器應用程式:您可以在行動裝置或電腦上設定驗證器應用程式,例如 Google Authenticator 或 Authy,做為第二個驗證要素。
備用碼:您可以建立備用碼,並將其做為第二個驗證要素。備用碼必須妥善保管,且只能使用一次,因此只有在沒有其他方法時才應使用。詳情請參閱「使用備用碼登入」。
Google 提示:如果您在其他裝置上登入 Google 帳戶,該裝置會顯示提示,詢問您是否正在登入。你可以在瀏覽器、平板電腦或手機上確認身分。詳情請參閱「使用 Google 帳戶登入提示」。
實體安全金鑰:輕觸實體安全金鑰即可提供第二重驗證。詳情請參閱「使用安全金鑰進行兩步驟驗證」。
簡訊驗證碼:你可以使用傳送到手機號碼的驗證碼做為第二個驗證要素。如要使用簡訊做為第二個驗證步驟,請先將電話號碼與 Google 帳戶建立關聯。
為第三方身分識別提供者啟用 MFA
如要瞭解如何啟用 MFA,請參閱第三方 IdP 的說明文件。
如果驗證要素遺失或遭竊,請按照本文說明復原帳戶存取權
如需帳戶復原步驟,請參閱「修正兩步驟驗證機制的常見問題」。
Cloud Identity:延長強制執行 MFA 的期限
如果機構使用 Cloud Identity,且在多重驗證規定生效前就已存在,可以在 Google Cloud 控制台的機構層級,啟用多重驗證規定一次性 90 天的延期。
如要這麼做,具有機構管理員 (roles/resourcemanager.organizationAdmin) 角色的主體必須完成下列步驟:
前往 Google Cloud 控制台的「Organizations」(機構) 頁面。
選取您的機構。
在兩步驟驗證通知中,按一下「延長 90 天」,然後確認延長期限。
展延期限過後,系統就會強制執行 MFA 規定。
為非具備權限的使用者停用強制執行多重驗證
您可以在Google Cloud 控制台中,為機構層級的非具權限使用者停用 MFA。
具有機構管理員 (roles/resourcemanager.organizationAdmin) 角色的主體可以完成下列步驟:
前往 Google Cloud 控制台的「Organizations」(機構) 頁面。
選取您的機構。
停用「需要兩步驟驗證」。
機構停用 MFA 後,大多數帳戶就不再需要其他驗證因素,即可使用 Google Cloud 控制台。但下列帳戶類型仍須在帳戶層級啟用多重驗證:
用於 Google Cloud的 Gmail 帳戶。
執行敏感動作的具備權限使用者。
敏感操作和停用多重驗證
即使機構停用「要求兩步驟驗證」設定,執行敏感操作的帳戶 (又稱具備權限的使用者) 也無法完全停用多重驗證。即使所屬機構停用多重驗證,使用者仍可在控制台中執行大部分工作,但必須為帳戶啟用多重驗證,才能執行敏感操作。 Google Cloud 這有助於防止惡意行為人竊取憑證,進而發起敏感操作。
下列 Google Cloud 動作屬於敏感動作:
帳單指派作業變更
在機構、資料夾或專案層級變更 IAM 允許政策
我們正在逐步為所有帳戶推出敏感操作的多重驗證要求。 Google Cloud 預計於 2026 年完成。
重新啟用多重驗證
如果選擇再次啟用 MFA,系統會先提供至少 30 天的寬限期, 之後才會強制執行 MFA 規定。