Willkommen im Forum DualSyn.
Ich verstehe deine Anfrage und irgendwie habt ihr beide Recht
Zum Verständnis:
Der Admin der Diskstation kann (aber es ist kein muss) bestimmen, dass JEDER User oder JEDER User der Admingruppe ZWINGEND eine 2 FA verwenden MUSS. Dies stellt der Admin dann im DSM ein und zwar hier:
DSM > Hauptmenü > Systemsteuerung > Benutzer > Register "Erweitert" > runterscrollen zu "2-Stufen Verifizierung" -----> wird hier der Haken gesetzt auf 2-Stufen Verifzizierung durchsetzen, so MUSS die jeweils ausgewählte Gruppe zwingend die 2 FA benutzen.
Lässt der Admin hier den Haken weg, DANN kann jeder User für sich selber frei entscheiden ob er die 2 FA verwenden will oder nicht, aber sie ist nicht zwingend vom Admin der DS "vorgeschrieben" wenn der Haken nicht gesetzt ist.
Der einzelne User wiederum stellt die 2 FA für sich hier im DSM ein:
DSM > Optionen (=der weiße Kopf rechts oben in der Menüzeile) > Persönlich > neues Fenster "Persönlich" > Register "Konto" -----> hat der Admin wie oben beschrieben zwingend die 2 FA vorgeschrieben, dann ist der Haken hier beim Usermenü gesetzt und hellgrau, dh. der User kann selber nicht frei Entscheiden, er MUSS durch Klicken auf die Schaltfläche "2-Stufen Verifizierung" seine 2-FA einrichten.
Hat aber der admin die 2-FA nicht zwingend vorgegeben, dann ist für den User die Option "2-Stufen Verifizierung" aktiv und nicht mehr hellgrau, dh. der User kann selber Entscheiden ob er den Haken weg lässt (= keine 2 FA) oder ob er sie für sich verwenden möchte, dann setzt der User selber in seinen Persönlichen Optionen den Haken auf "2-FA aktivieren" und klickt auf die Schaltfläche 2-Stufen Verifizierung und richtet sich für sich die 2 FA ein. Er entscheidet also frei ob er 2-FA haben möchte oder nicht.
Das was Martin sucht geht m.W. nach nicht. Er möchte vermutlich das seine User zwingend die FA nutzen müssen, kann er aber nicht aktivieren da dann der Scanner sich nicht anmelden kann. Er würde eine "Ausnahme" benötigen und n.m.W. gibt es das nicht.
Wählt er die Option "nur Admins", dann müsste er alle User in die Gruppe Admins heben damit der Scanner ein "normaler" User sein kann und die 2-FA nicht zwingend nutzen muss.
Es müsste also durch Synology eine Auswahl eingeführt werden so in der Art:
"2-FA nur für ausgewählte User durchsetzen" und in dieser Liste definiert der Admin dann welche User zwingend die 2-FA nutzen müssen. Diese Option fehlt aber leider derzeit.
Die 2-FA funktioniert für diverse Pakete, für DSM Anmeldung, für diverse handy APPS und seit einiger Zeit ist auch die 2-FA für das Synology-Account-Konto möglich, die Option wurde im Synology-Konto neu eingeführt.
Aber bitte Vorsicht! Bittet richtet unbedingt die Notfallfunktion ein, damit euch der Notfallcode zugesendet werden kann, bzw. druckt die Backup-Codes aus und verwahrt sie an einem sicheren Ort! Ihr könnt sonst nicht in euer Synology-Account-Konto einloggen wenn der Codegenerator nicht funktioniert oder das jeweilige Gerät ausfällt durch Defekt/Diebstahl usw.
Ihr könnt aber den Codegenerator auf mehreren Geräten installieren, so könnt ihr auf ein Ersatzgerät ausweichen.
2-FA Synology-Account:
Beim Synology Account Konto einloggen > Profil > Sicherheit > Anmeldung in 2 Schritten > 2 FA für Synology Account Konto einrichten.