In den Settings zur 2FA ist es anscheinend nur möglich, alle User komplett auf 2AF umzuschalten. Das ist weder machbar (weil wir noch nicht die Hardware voraussetzen können) noch sinnvoll.
Besser würde es sein, dass ein User selbst das Aktivieren kann.
Wenn jedoch ein User das aktiviert hat, wird nicht mehr der zweite Faktor abgefragt.
Hier würde der Wunsch sein, dass min. alle 24h oder nach Neustart des Endgerätes oder bei einem anderen Endgerät der 2. Faktor abgefragt wird.
Unter https://admin.google.com/ac/security/2sv können pro Organisationseinheit, pro Gruppe, oder für die gesamte Organisation Einstellungen zur Zweifaktorauthentifizierung getroffen werden. Wir empfehlen, auf jeden Fall für so viele Benutzer wie möglich das Häkchen zum Erlauben von zweiten Faktoren aktiviert zu lassen.
Für VIPs und (Super) Admin-Accounts empfehlen wir ganz deutlich, 2FA auch zu erzwingen. Idealerweise würde die gesamte Organisation 2FA verwenden, aber wir verstehen und sehen immer wieder, dass das aus verschiedenen Gründen nicht immer und nicht für alle Organisationen leistbar ist.
Weiter unten, wenn Erzwingen aktiviert ist, kann man auch einstellen, ob Nutzer Geräten vertrauen dürfen. Ist das nicht der Fall, muss der zweite Faktor jedes Mal vorgezeigt werden, wenn die Session abläuft. Ansonsten genügt ein Passwort, um die Session zu erneuern. Die Session-Länge lässt sich unter https://admin.google.com/ac/appsettings/352555445522/sessionmanagementsettings (ebenfalls bei Bedarf eingeschränkt auf bestimmte Organisationseinheiten) bestimmen. Das greift allerdings nur bei Benutzern mit Enterprise-Lizenz - alle anderen haben eine Sessionlänge im Browser von 14 Tagen (mobil kann abweichen). Jede neue Session (bspw auf einem anderen Gerät) erfordert immer, dass der zweite Faktor präsent ist.
Google wirbt immer gerne mit der Aussage, dass mit Security Key als zweitem Faktor noch keine (0%) Account Hijackings bekannt geworden sind.
Insgesamt können wir solche und ähnliche sicherheitsrelevanten Themen gerne auch noch direkt mit unseren Beratern klären - ein kleines Security Assessment wäre aber auf jeden Fall Teil einer Einführung, und zumindest einen Workshop führen wir idR mit Kunden auch durch. Das Thema Security ist allerdings erfahrungsgemäß unerschöpflich, und so lohnt es sich, hier in regelmäßigen Abständen (zumindest interne) Audits durchzuführen - ich vermute aber, dass Sie dafür sowieso schon Prozesse etabliert haben. Hier können wir dabei helfen, diese auf Google Workspace anzupassen.