Uma implantação bem-sucedida do acesso baseado no contexto protege os dados do Workspace contra usuários perigosos e garante que usuários legítimos não sejam bloqueados. Considere estas recomendações de lançamento para reduzir o risco de ter muitos usuários bloqueados:
Usar o modo de monitoramento para testar os níveis de acesso
Comece atribuindo um nível de acesso no modo de monitoramento, não no modo ativo. O modo de monitoramento serve para simular os efeitos da aplicação de um nível de acesso sem realmente bloquear o acesso do usuário.
Ao aplicar um novo nível de acesso, é recomendado usar o modo de monitoramento por pelo menos uma semana. Durante esse período, os eventos no registro do acesso baseado no contexto mostram quais usuários seriam bloqueados se o nível de acesso estivesse no modo ativo. Depois de verificar se um nível de acesso está funcionando como desejado, mude o nível de acesso para o modo ativo.
Confira instruções detalhadas para usar o modo de monitoramento em Atribuir níveis de acesso baseado no contexto a apps.
Outras recomendações de lançamento
- Faça o lançamento em fases. Comece com uma unidade organizacional ou grupo piloto e confira como a política funciona para eles. Se eles conseguirem acessar os apps, passe para o próximo grupo de usuários. Se forem satisfatórias, implemente as políticas de acesso para todos os usuários.
- Atribuir políticas de acesso a apps selecionados. Implante políticas em apps que não são muito usados no seu ambiente. Acompanhe o que acontece e, com o tempo, implemente as políticas nos apps mais usados.
- Evite bloquear usuários ou parceiros. Não bloqueie o acesso aos serviços do Google Workspace, como o Gmail, que você usa para enviar mensagens aos usuários (e que eles também utilizam para se comunicar com você). Identifique os intervalos de IP que usuários e parceiros precisam usar.
- Não use o Google Cloud Platform (GCP) para adicionar ou mudar níveis de acesso se você for cliente apenas do Workspace. Se você adicionar ou mudar os níveis de acesso usando um método que não seja a interface de acesso baseado no contexto, a seguinte mensagem de erro pode aparecer: Atributos não compatíveis estão sendo usados no Google Workspace e os usuários podem ter o acesso bloqueado.
- Planeje o suporte da central de informações para usuários que possam precisar de ajuda durante o lançamento.
Monitorar o lançamento
Seja qual for o método de implementação que você vai usar, monitore os resultados da implementação buscando o feedback do usuário e consultando os eventos de registro do Acesso baseado no contexto para registro dos usuários negados.
Preparar para a implantação
Para uma implantação tranquila, siga estas etapas antes de criar ou implementar novas políticas de acesso.
1. Informe os usuários
Fale com seus usuários para saber o que eles precisam proteger no ambiente de trabalho. Como você vai implementar o acesso baseado no contexto por unidade organizacional ou grupo, cada usuários na organização pode ter uma demanda diferente. Informe as possíveis consequências das políticas que você criou e atribuiu. Por exemplo, avise que eles podem ser bloqueados em momentos diferentes por motivos distintos. A comunicação avançada ajuda a promover a aceitação do usuário.
2. Distribua os usuários em unidades organizacionais ou grupos apropriados
Também é possível atribuir níveis de acesso por unidade organizacional. Se você já tiver unidades organizacionais configuradas para outras finalidades, é possível criar e atribuir níveis a grupos de configuração. Nos dois casos, verifique se os usuários a quem você quer conceder acesso estão nas unidades organizacionais ou nos grupos certos.
3. Analise os dispositivos da empresa
Antes de implementar políticas baseadas em dispositivos, verifique se a TI está gerenciando os dispositivos da empresa de maneira adequada e em conformidade com os padrões corporativos. Verifique se os dispositivos estão criptografados, se o sistema operacional foi atualizado e se eles são da empresa ou pessoais.
4. Registre dispositivos móveis com o gerenciamento de endpoints
Os dispositivos móveis precisam ser gerenciados com o gerenciamento de endpoints do Google (básico ou avançado).
5. Aplique a verificação de endpoints antes de criar políticas
Aplique o uso da verificação de endpoints para saber quais dispositivos acessam (ou vão acessar) os dados do Google Workspace. Nas extensões do Chrome, você precisa especificar a opção "Forçar a instalação" para a verificação de endpoints e exigir uma chave de acesso. Acesse Configurar a verificação de endpoints para mais detalhes.
Configurar a verificação de endpoints e ativar o Acesso baseado no contexto
É possível configurar softwares para computadores e dispositivos móveis.
Configurar a verificação de endpoints
Se você aplicar uma política do dispositivo no nível de acesso, você e os usuários precisarão configurar a verificação de endpoints. Ative esse recurso no Admin Console. Confira mais detalhes em Ativar ou desativar a verificação de endpoints.
Observação: se você aplicar uma política de dispositivo baseada no contexto antes do usuário fazer login na verificação de endpoints, ele pode ter o acesso negado, mesmo que o dispositivo atenda a essa política. Isso acontece porque a sincronização dos atributos do dispositivo pela verificação de endpoints pode levar alguns segundos. Para evitar isso, peça para os usuários fazerem login na verificação de endpoints e atualizarem a página do navegador antes de aplicar uma política de dispositivo baseada no contexto.
Conferir quais dispositivos têm a verificação de endpoints
-
-
Acesse Menu DispositivosVisão geral.
- Clique em Endpoints.
- Clique em Adicionar um filtro.
- Selecione Tipo de gerenciamentoVerificação de endpoints.
- Clique em Aplicar.
Configuração para dispositivos móveis (gerenciamento de endpoints do Google)
Para aplicar os níveis de acesso dos dispositivos móveis, o usuário precisa ser gerenciado pelo gerenciamento básico ou avançado de dispositivos móveis.
Etapas adicionais
Fazer upload do inventário de dispositivos da empresaVeja instruções em "Adicionar dispositivos ao seu inventário", em Adicionar dispositivos da empresa ao inventário.
Observação: os dispositivos com Android 12 ou versões mais recentes e um perfil de trabalho sempre são identificados como do usuário, mesmo que você os adicione ao inventário da empresa. Nesses casos, se um nível de acesso exigir que o dispositivo seja da empresa, a ação não será realizada. Se exigir que o dispositivo seja do usuário, a ação ocorrerá. Para mais informações, acesse Ver detalhes sobre dispositivos móveis > Saber mais detalhes do dispositivo > na tabela Informações do dispositivo, role para baixo até a linha Propriedade.
Ativar e desativar o Acesso baseado no contexto
É possível ativar o acesso baseado no contexto em momentos diferentes do processo de lançamento. Você pode ativar esse recurso antes de criar níveis de acesso e atribuí-los a apps. Assim, os níveis de acesso atribuídos aos apps são aplicados imediatamente.
Também é possível fazer a verificação e a configuração (criar e atribuir o nível de acesso, verificar os endpoints) sem ativar o acesso baseado no contexto. Durante esse período, as atribuições de nível de acesso não são aplicadas. Quando a configuração for concluída, você poderá ativar o acesso baseado no contexto.
Você pode desativar o Acesso baseado no contexto em caso de problemas do usuário e quiser pausar o app enquanto investiga quais políticas estão criando os problemas. Após determinar o nível de acesso que está causando os problemas, modifique ou remova a política conforme necessário para unidades organizacionais ou grupos específicos.
Para ativar o Acesso baseado no contexto
-
-
No Admin Console, acesse Menu SegurançaAcesso e controle de dadosAcesso baseado no contexto.
- Verifique se o Acesso baseado no contexto está ATIVADO. Caso contrário, clique em Ativar.
-
-
No Admin Console, acesse Menu SegurançaAcesso e controle de dadosAcesso baseado no contexto.
- Clique em Desativar.
Qual é a próxima etapa?
Criar e atribuir níveis de acesso
Estes artigos ajudam você a criar níveis de acesso e atribuí-los a apps:
Explorar casos de uso
Estes artigos mostram casos de uso comuns para implementar o Acesso baseado no contexto em seu ambiente: