以Google Apps超级管理员身份通过API关闭用户的两步验证

Question

作为员工离开公司的“下机”流程的一部分，作为超级管理员，我们使用Google Apps Admin SDK Directory API来更改用户的密码，这样他们就不能再访问自己的帐户。然后我们登录谷歌外卖，为他们的其他账户重置密码，等等。

然而，我们最近决定对我们所有的用户执行两步验证。所以现在当我们登录到他们的账户时，它会向他们的手机发送一个代码。

由于他们的SubOrg是强制执行2步的，我们甚至不能通过管理控制台将其关闭。因此，我现在所能做的就是让应用程序接口将用户移动到另一个关闭了2步强制设置的SubOrg，然后手动关闭2步。

有没有办法以编程方式关闭帐户的两步验证？

我查看了Google Apps Admin SDK Directory API Users:update文档，但它似乎与2-Step没有任何关系。

Reports API可以找出用户的注册状态，但出于报告目的，它是只读的。

Answer 1

您所做的是删除两步验证的正确方法。正如您提到的，如果它在组织单位下强制执行，则删除它将违反该规则，这就是为什么您无法执行此操作，除非您将用户移动到另一个未强制执行此操作的OU。

我找不到一些编程的方法来做到这一点。但是，您可以暂停用户。在此之后，用户将无法访问该帐户。该帐户仍将在您的管理控制台中可见，并且不同Google服务中的所有信息将一直附加到该帐户，直到您最终删除该帐户。

当用户处于挂起状态时，作为管理员，您可以使用服务帐户来impersonate该用户。通过这样做，您可以充当该用户并编辑权限，或者将Drive中包含的文件的所有权转移到其他帐户，以便这些文件不会丢失。

我希望这能帮到你。

Answer 2

要做到这一点，最简单的方法是创建一个免除2FA的组(请参阅此处：https://support.google.com/a/answer/2370108)。然后将用户添加到该组中，然后您可以在管理控制台的用户页面上单击“禁用2FA”。我假设您可以通过API来做同样的事情。

唯一的缺点是，这意味着您将有一个组，通过它可以免除用户的2FA强制选项。因此，这是一个你必须接受的风险，也是一个你必须仔细检查的政策。