Verificação em duas etapas

Proteger contas do Google Workspace com comprovações de segurança

As comprovações de segurança são medidas adicionais de segurança para verificar a identidade de um usuário. Há dois tipos de comprovações de segurança:

  • Desafio de login: Quando suspeitamos que um usuário não autorizado está tentando fazer login em uma conta do Google Workspace, mostramos um desafio de login. Se o usuário não conseguir inserir as informações solicitadas, ele não pode fazer login na conta.
  • Desafio de confirmação da identidade: se um usuário estiver tentando realizar ações consideradas confidenciais, apresentaremos um desafio de verificação da sua identidade . Se o usuário não conseguir inserir as informações solicitadas, não permitiremos a ação confidencial (ele pode continuar usando a conta normalmente).

Antes de usar comprovações de segurança

Confirme se as contas do Google Workspace têm as informações necessárias:

  • Lembre os funcionários de adicionar um endereço de e-mail e um número de telefone de recuperação à conta. De tempos em tempos, vamos pedir que eles adicionem esses detalhes quando fizerem login na conta.
  • Adicione códigos de funcionário às suas contas de usuário. Consulte Adicionar o código de funcionário como um desafio de login.

Abrir tudo   |   Fechar tudo

Tipos de desafio de login

O usuário confirma a identidade com o dispositivo móvel
 

O usuário escolhe como verificar a identidade


O Google usa um app instalado no smartphone do usuário para confirmar a identidade


O Google envia uma mensagem de texto com um código de verificação 


 O Google liga para o telefone do usuário e informa um código de verificação

O usuário digita o código de funcionário
Se você adicionou o código de funcionário como um desafio de login, os usuários podem usar essa informação para confirmar a identidade.
O usuário digita o e-mail de recuperação
O usuário pode inserir um endereço de e-mail de recuperação como um desafio de login. 

Desafios de confirmação da identidade para ações confidenciais

Se um usuário do Google Workspace tentar realizar uma ação confidencial, ele receberá uma solicitação de verificação da identidade. Se o usuário não conseguir inserir as informações solicitadas, o Google não permitirá a ação confidencial.

"Ação confidencial bloqueada"

Para a maioria dos usuários que enfrentam um desafio "confirmar sua identidade", uma janela de ação é exibida com o título Ação confidencial bloqueada. O usuário é instruído a tentar novamente em um dispositivo que costuma usar (como um smartphone ou laptop) ou no local em que geralmente faz login.

"Não é possível concluir essa ação no momento"

Como alguns usuários têm dispositivos ou chaves de segurança adicionados recentemente à conta, eles não podem verificar a identidade imediatamente em resposta a um desafio de segurança. Para esses usuários, uma janela é exibida com o título Não é possível concluir essa ação no momento. Eles podem verificar a identidade após pelo menos sete dias com um dispositivo, número de telefone ou chave de segurança associados à conta.

Exemplos de ações confidenciais

Veja alguns exemplos de ações confidenciais:

  • Como desativar a verificação em duas etapas
  • Como permitir que um app acesse os dados do Google
  • Como alterar o endereço de e-mail ou o número de telefone de recuperação da conta
  • Como fazer download de dados da conta
  • Como alterar o nome na conta

Ativar desafios de login com SSO

Caso sua organização use provedores de identidade (IdPs) de terceiros para autenticar usuários de Logon único (SSO) com o SAML, você pode apresentar a esses usuários do SSO outros desafios de login com base em riscos e aplicar a verificação em duas etapas. Verificação (se configurada), depois que o IdP autentica um usuário durante o login.

A configuração padrão da verificação pós-SSO depende do tipo de usuário do SSO:

  • Para os usuários que fazem login com o perfil de SSO da sua organização, a configuração padrão é ignorar os desafios de login adicionais e a verificação em duas etapas.
  • Para os usuários que fazem login com outros perfis de SSO, a configuração padrão é aplicar mais desafios de login e a verificação em duas etapas.

Para alterar as configurações padrão para qualquer tipo de usuário, siga as etapas abaixo em Configurar a verificação pós-SSO.

Casos de uso dos desafios de login com SSO
  • Você quer usar chaves de segurança para proteger o acesso a recursos confidenciais hospedados pelo Google para ter uma garantia máxima de segurança, mas seu IdP não permite chaves de segurança.
  • Você quer evitar o custo de um IdP de terceiros porque, na maioria dos casos, os usuários acessam os recursos do Google.
  • Você não quer usar a autenticação do Google (o Google como provedor de identidade), mas quer usar todos os desafios de login com base em riscos do Google.
  • Você quer que o Google proteja ações confidenciais no ecossistema do Google.
O que acontece quando você aplica desafios de login adicionais
Para facilitar a implementação, informe aos usuários a nova política e quando você planeja aplicá-la. Veja o que acontece quando você aplica desafios adicionais no login:
  • Se você tiver políticas de 2SV, como a aplicação da 2SV, elas serão aplicadas imediatamente.
  • Os usuários afetados pela nova política e que estão inscritos na 2SV veem um desafio de 2SV no login.
  • Com base na análise de risco do Login do Google, os usuários podem ver desafios com base em riscos no login.
Configurar a verificação pós-SSO
  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAutenticaçãoe depoisDesafios de login.
  3. À esquerda, selecione a unidade organizacional em que você quer definir a política.

    Para incluir todos os usuários, selecione a unidade organizacional de nível superior. Inicialmente, as unidades organizacionais herdam as configurações da unidade organizacional mãe.

  4. Clique em Verificação pós-SSO.
  5. Escolha as configurações de acordo com a forma como você usa os perfis de SSO na sua organização. Você pode aplicar uma configuração aos usuários que usam o perfil de SSO para sua organização e aos que fazem login com outros perfis de SSO.
  6. No canto inferior direito, clique em Salvar.

    O Google cria uma entrada no registro de auditoria do administrador para indicar qualquer alteração da política.

Observação: em casos raros, os dados de eventos de registro podem não estar presentes de todos os eventos. Estamos trabalhando para resolver o problema.

Perguntas frequentes

Perguntas de segurança e desafios de login adicionais  |  Verificação de telefone  |  Desativação de um desafio de login ou segurança  |  Administradores

Perguntas e desafios de login adicionais

Quando um usuário vê uma comprovação de segurança?

Um desafio de login será exibido para um usuário se um login suspeito for detectado. Por exemplo, quando um usuário não seguir os padrões de login dele.Um usuário verá um desafio de verificação de identidade se tiver uma sessão arriscada ao realizar uma ação confidencial.

Importante: o Google decide a comprovação de segurança que será exibida para um usuário com base em vários fatores relacionados à segurança e à usabilidade. Por exemplo, o desafio de login com código de funcionário nem sempre será exibido para um usuário específico, mesmo que você tenha ativado essa opção.

Como administrador, posso escolher o tipo de desafio de login exibido para meus usuários?

A verificação em duas etapas (2SV) é um tipo de desafio de login. Por ser administrador, você pode aplicar o desafio de login da 2SV aos seus usuários. Se fizer isso, eles não receberão outro tipo de desafio de login baseado em riscos.

Se você não aplicar a 2SV aos seus usuários ou um usuário não tiver ativado esse recurso, o Google decidirá o tipo de desafio de login que será exibido para esse usuário. Isso é decidido com base em vários fatores relacionados à segurança e à usabilidade. Por exemplo, o desafio de login com código de funcionário nem sempre será exibido para um usuário específico, mesmo que você tenha ativado essa opção.

Os usuários podem atualizar as informações de recuperação? Usamos a verificação em duas etapas. Por que precisamos de desafios de login?

A verificação em duas etapas (2SV) é um tipo de desafio de login. Quando seus usuários ativarem esse recurso, eles não receberão outro desafio de login. Pelo mesmo motivo, os relatórios do administrador exibem cada 2SV como um desafio de login​.​

Como os desafios de login funcionam quando o SSO está ativado?

Isso depende de como o SSO foi configurado na sua organização:

  • Se você tiver configurado um perfil de SSO para sua organização: por padrão, os desafios de login não são ativados. No entanto, você pode configurar a verificação pós-SSO para permitir desafios de autenticação baseados em riscos adicionais e a verificação em duas etapas (2SV, na sigla em inglês), se esse recurso estiver configurado.
  • Se você estiver usando outro perfil de SSO, todos os desafios de login adicionais (incluindo a 2SV, se configurada) serão aplicados automaticamente.
Este recurso está disponível nas edições Education?

Sim, todas as edições do Google Workspace incluem perguntas de segurança e desafios de login.

Quando o Google considera uma tentativa de login suspeita?

Determinamos que um login é suspeito quando nosso sistema de análise de risco identifica uma tentativa fora do padrão de comportamento do usuário. Por exemplo, um usuário que faz login de um lugar incomum ou de alguma forma relacionada com abuso.

Verificação de telefone

Se meus usuários não tiverem um telefone corporativo, existe outra forma de verificar as contas?

Sim, há diferentes tipos de desafios de login. Dependendo das informações disponíveis para a conta de um usuário, um desafio de login diferente será exibido, por exemplo: digitar o código de funcionário ou o endereço de e-mail de recuperação. Se um usuário não tiver acesso ao telefone, ele poderá usar códigos alternativos para fazer login. Veja mais informações em Fazer login usando códigos alternativos.

Como um usuário pode atualizar o número de telefone ou o e-mail de recuperação associado à conta?

O usuário pode atualizar as informações de recuperação nas configurações da conta.

Um usuário pode escolher outro critério de verificação que não seja o número de telefone de recuperação?

Se o usuário não digitar um número de telefone de recuperação, outros desafios de login serão exibidos, por exemplo: digitar o endereço de e-mail de recuperação ou o código de funcionário.

Como desativar um desafio de login ou de confirmação da identidade

Se o usuário não conseguir verificar a identidade, posso desativar o login ou o desafio de confirmação da identidade?

Sim, um administrador pode desativar um desafio de login ou de confirmação da identidade por 10 minutos. 

Em algumas situações, um usuário autorizado talvez não consiga verificar a identidade. Por exemplo, talvez ele não tenha sinal de telefone e não possa receber o código de verificação ou não lembre nem encontre o código de funcionário. Se isso acontecer, como superadministrador, você poderá desativar o desafio de login ou de confirmação da identidade por 10 minutos para permitir que ele faça login ou conclua a ação confidencial. Tenha cuidado ao desativar o desafio de login ou confirmação da identidade, porque a conta é menos segura contra invasores durante o período de 10 minutos.

Posso desativar os desafios de login ou confirmação da identidade na minha organização?

Não é possível desativar esse recurso para toda a organização. Só é possível desativá-lo temporariamente para usuários específicos.

O usuário pode desativar este recurso por conta própria nas configurações da conta?

Não, apenas um administrador pode desativar o desafio de login ou comprovações de segurança temporariamente.

Desafios de login para administradores

Como um administrador que não consegue verificar a identidade pode acessar a conta novamente?

Como administrador, você pode recuperar o acesso à sua conta seguindo as instruções na página de login para redefinir a senha.

Se você for um administrador do Google Workspace e tiver problemas para fazer login na sua conta de administrador, veja instruções em Como recuperar o acesso de administrador à sua conta.

E se um superadministrador não conseguir verificar a identidade?

Se um superadministrador não conseguir verificar a identidade, outro superadministrador (se disponível) poderá desativar o desafio de login temporariamente para ele, conforme descrito nas etapas anteriores.

O superadministrador também poderá redefinir a senha para ignorar o desafio de login.

Observação: a opção de redefinição automática de senha não está disponível para todos os superadministradores. Veja mais informações sobre a recuperação de uma conta de administrador em Adicionar opções de recuperação à sua conta de administrador.

Isso foi útil?

Como podemos melhorá-lo?
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
17398067042697308967
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false