Verificar a identidade de um usuário com recursos de segurança adicionais

Quando suspeitamos que uma pessoa não autorizada está tentando acessar uma das suas contas de usuário, exibimos uma pergunta de segurança ou um desafio de login adicional. Por exemplo, podemos enviar um código de verificação para o telefone do usuário. Se a pessoa não responder à pergunta de segurança ou ao desafio de login, ela não poderá acessar a conta.

Abrir tudo   |   Fechar tudo

Tipos de desafio de login

O Google decide o desafio que será exibido para um usuário com base em vários fatores relacionados à segurança.

Desafios de login com dispositivos móveis
  • O usuário recebe uma solicitação para tocar em Sim e depois digitar um número no telefone. 
  • O usuário recebe uma mensagem de texto ou uma chamada telefônica com um código de verificação no dispositivo de recuperação com instruções para acessar a conta. 

Caso sua organização use o gerenciamento de endpoints do Google, podemos pedir que os usuários utilizem o dispositivo móvel gerenciado (onde eles acessam a conta corporativa) para verificar a identidade. Veja mais informações em Visão geral: gerenciar dispositivos com o gerenciamento de endpoints do Google.

O usuário vê uma destas telas quando pedimos que ele verifique a identidade utilizando o dispositivo móvel:
Desafio de login com o código de funcionário
Você pode usar códigos de funcionário como um desafio de login. Eles são mais difíceis de adivinhar e fraudar do que muitos tipos de desafios de identidade. Para usar o desafio de login com código de funcionário, você precisa confirmar que os códigos estão associados às contas dos funcionários. Veja mais detalhes em Adicionar o código de funcionário como um desafio de login
O Google exibe esta tela quando solicita que o usuário verifique a identidade utilizando o código de funcionário:
Desafio de login com e-mail de recuperação
O usuário suspeito precisa digitar um endereço de e-mail secundário (de recuperação) como um desafio de login. O Google exibe esta tela quando solicita que o usuário verifique a identidade utilizando o e-mail de recuperação:

Antes de usar desafios de login

Para verificarmos a identidade de um usuário com um número de telefone ou uma conta de e-mail de recuperação, esses detalhes precisam ser registrados. Quando um usuário faz login, ele vê uma mensagem solicitando um número de telefone ou uma conta de e-mail de recuperação. Essa mensagem continuará aparecendo até que o usuário informe esses detalhes. Se você usa o desafio de login com código de funcionário, precisa confirmar que os códigos estão associados às contas dos usuários. Leia o artigo Adicionar o código de funcionário como um desafio de login para saber mais.

Ativar desafios de login com SSO

Muitos clientes usam provedores de identidade de terceiros (IdPs) para autenticar usuários que utilizam o Logon único (SSO) via SAML. O IdP de terceiros autentica usuários, e nenhum desafio adicional com base em riscos é exibido. Qualquer configuração da verificação em duas etapas (2SV) do Google é ignorada. Esse é o comportamento padrão.

Você pode definir uma política para permitir mais desafios de autenticação baseados em riscos e a 2SV (se esse recurso estiver configurado). Se o Google receber uma declaração de SAML válida (informações de autenticação sobre o usuário) do IdP durante o login do usuário, o Google poderá exibir outros desafios para o usuário.

Casos de uso dos desafios de login com SSO
  • Você quer usar chaves de segurança para proteger o acesso a recursos confidenciais hospedados pelo Google para ter uma garantia máxima de segurança, mas seu IdP não permite chaves de segurança.
  • Você quer evitar o custo de um IdP de terceiros porque, na maioria dos casos, os usuários acessam os recursos do Google.
  • Você não quer usar a autenticação do Google (o Google como provedor de identidade), mas quer usar todos os desafios de login com base em riscos do Google.
O que acontece quando você aplica desafios de login adicionais
Para facilitar a implementação, informe aos usuários a nova política e quando você planeja aplicá-la. Veja o que acontece quando você aplica desafios adicionais no login:
  • Se você tiver políticas de 2SV, como a aplicação da 2SV, elas serão aplicadas imediatamente.
  • Os usuários afetados pela nova política e que estão inscritos na 2SV veem um desafio de 2SV no login.
  • Com base na análise de risco do Login do Google, os usuários podem ver desafios com base em riscos no login.
Configurar a "Verificação pós-SSO"
  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurançae depoisDesafios de login.
  3. À esquerda, selecione a unidade organizacional em que você quer definir a política.
    Para incluir todos os usuários, selecione a unidade organizacional de nível mais alto. Inicialmente, as unidades organizacionais herdam as configurações da unidade organizacional mãe.
  4. Clique em Verificação pós-SSO.
  5. Selecione Os logins via SSO estão sujeitos a verificações adicionais (se adequado) e à verificação em duas etapas (se configurado).
    O Google cria uma entrada no registro de auditoria do administrador para indicar a alteração da política. Com a nova política, o Google pode exibir os desafios de login de autenticação baseada em riscos e a verificação em duas etapas (se esse recurso estiver configurado). O padrão é ignorar a verificação adicional.
  6. No canto inferior direito, clique em Salvar.

Perguntas frequentes

Perguntas e desafios de login adicionais  |  Verificação de telefone  |  Desativação de um desafio de login  |  Desafios de login para administradores

Perguntas e desafios de login adicionais

Quando um usuário vê uma pergunta de segurança ou um desafio de login?

Um desafio de login será exibido para um usuário se um login suspeito for detectado. Por exemplo, quando um usuário não seguir os padrões de login. 

Importante: o Google decide o desafio de login que será exibido para um usuário com base em vários fatores relacionados à segurança e à usabilidade. Por exemplo, o desafio de login com código de funcionário nem sempre será exibido para um usuário específico, mesmo que você tenha ativado essa opção.

Como administrador, posso escolher o tipo de desafio de login exibido para meus usuários?

A verificação em duas etapas (2SV) é um tipo de desafio de login. Por ser administrador, você pode aplicar o desafio de login da 2SV aos seus usuários. Se fizer isso, eles não receberão outro tipo de desafio de login baseado em riscos.

Se você não aplicar a 2SV aos seus usuários ou um usuário não tiver ativado esse recurso, o Google decidirá o tipo de desafio de login que será exibido para esse usuário. Isso é decidido com base em vários fatores relacionados à segurança e à usabilidade. Por exemplo, o desafio de login com código de funcionário nem sempre será exibido para um usuário específico, mesmo que você tenha ativado essa opção.

Os usuários podem atualizar as informações de recuperação? Usamos a verificação em duas etapas. Por que precisamos de desafios de login?

A verificação em duas etapas (2SV) é um tipo de desafio de login. Quando seus usuários ativarem esse recurso, eles não receberão outro desafio de login. Pelo mesmo motivo, os relatórios do administrador exibem cada 2SV como um desafio de login​.​

Como os desafios de login funcionam quando o SSO está ativado?

Por padrão, os desafios de login não são ativados para organizações que usam o SSO. Usando a configuração "Verificação pós-SSO" no Admin Console, você pode definir uma política para permitir desafios de autenticação com base em riscos adicionais e a 2SV (se esse recurso estiver configurado).

Este recurso está disponível nas edições Education?

Sim, todas as edições do Google Workspace incluem perguntas de segurança e desafios de login.

Quando o Google considera uma tentativa de login suspeita?

Determinamos que um login é suspeito quando nosso sistema de análise de risco identifica uma tentativa fora do padrão de comportamento do usuário. Por exemplo, um usuário que faz login de um lugar incomum ou de alguma forma relacionada com abuso.

Verificação de telefone

Se meus usuários não tiverem um telefone corporativo, existe outra forma de verificar as contas?

Sim, há diferentes tipos de desafios de login. Dependendo das informações disponíveis para a conta de um usuário, um desafio de login diferente será exibido, por exemplo: digitar o código de funcionário ou o endereço de e-mail de recuperação. Se um usuário não tiver acesso ao telefone, ele poderá usar códigos alternativos para fazer login. Veja mais informações em Fazer login usando códigos alternativos.

Como um usuário pode atualizar o número de telefone ou o e-mail de recuperação associado à conta?

O usuário pode atualizar as informações de recuperação nas configurações da conta.

Um usuário pode escolher outro critério de verificação que não seja o número de telefone de recuperação?

Se o usuário não digitar um número de telefone de recuperação, outros desafios de login serão exibidos, por exemplo: digitar o endereço de e-mail de recuperação ou o código de funcionário.

Desativação de um desafio de login

Se o usuário não conseguir verificar a identidade, posso desativar o desafio de login?

Em algumas situações, um usuário autorizado talvez não consiga verificar a identidade. Por exemplo, talvez ele não tenha sinal de telefone e não possa receber o código de verificação ou não lembre nem encontre o código de funcionário.

Se isso acontecer, como administrador, você poderá desativar temporariamente o desafio de login para permitir que o usuário faça login:

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Usuários.
  3. Clique na linha da conta para mostrar a página de informações do usuário.
  4. Clique em Segurança.
  5. Clique em Desafio de login.
  6. Clique em Desativar por 10 minutos.

Pode levar alguns minutos para que essa alteração entre em vigor na conta de usuário. Nesse momento, o desafio de login é desativado por 10 minutos para permitir que o usuário faça login. 

Dica: também é possível alterar a senha do usuário para conceder acesso a uma sessão bloqueada porque o usuário não conseguiu verificar a identidade.

Posso desativar os desafios de login na minha organização?

Não é possível desativar esse recurso para toda a organização. Só é possível desativá-lo temporariamente para usuários específicos.

O usuário pode desativar este recurso por conta própria nas configurações da conta?

Não, apenas um administrador pode desativar o desafio de login temporariamente.

Desafios de login para administradores

Como um administrador que não consegue verificar a identidade pode acessar a conta novamente?

Como administrador, você pode ignorar o desafio de login e redefinir a senha para recuperar o acesso à sua conta. Na parte inferior da tela Desafio de login, clique no link Clique aqui para restaurar sua senha.

E se um superadministrador não conseguir verificar a identidade?

Se um superadministrador não conseguir verificar a identidade, outro superadministrador (se disponível) poderá desativar o desafio de login temporariamente para ele, conforme descrito nas etapas anteriores.

O superadministrador também poderá redefinir a senha para ignorar o desafio de login. Na parte inferior da tela Desafio de login, clique no link Clique aqui para restaurar sua senha.

Observação: a opção de redefinição automática de senha não está disponível para todos os superadministradores. Veja mais informações sobre a recuperação de uma conta de administrador em Adicionar opções de recuperação à sua conta de administrador.

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.