Lista de verificação de segurança para médias e grandes empresas (mais de cem usuários)

Os administradores de TI em empresas de médio e grande porte precisam seguir estas práticas recomendadas de segurança para aumentar a proteção e a privacidade dos dados da organização. Para implementar as práticas nesta lista de verificação, você usará uma ou mais configurações do Google Admin Console.

Se sua empresa não tem um administrador de TI, veja se as recomendações da lista de verificação de segurança para pequenas empresas (de um a cem usuários) são mais adequadas.

Observação: nem todas estas configurações estão disponíveis em todas as edições do G Suite ou do Cloud Identity.

Práticas recomendadas de segurança

Por padrão, o Google ativa muitas das configurações recomendadas nesta lista de verificação para proteger sua empresa.

Administrador   |   Contas   |   Apps   |   Agenda   |   Navegador Chrome e Chrome OS   |   Hangouts clássico   
Contatos   |   Drive   |   Gmail   |   Google+   |   Grupos   |   Dispositivos móveis   |   Sites   |   Vault
Administrador 

Proteger contas de administrador

Exigir a verificação em duas etapas para as contas de administrador
Como os superadministradores controlam o acesso a todos os dados da empresa e dos funcionários, é importante proteger as contas deles com um fator de autenticação adicional.

Proteger sua empresa com a verificação em duas etapas | Implantar a verificação em duas etapas

Usar chaves de segurança para a verificação em duas etapas
As chaves de segurança são a forma de verificação em duas etapas com maior resistência a phishing.

Proteger sua empresa com a verificação em duas etapas

Não usar contas de superadministrador para atividades diárias
Os superadministradores devem usar uma conta de usuário à parte para atividades diárias. Eles devem fazer login com a conta de superadministrador apenas para realizar as tarefas específicas da função.

Definições de privilégios de administrador | Práticas recomendadas de segurança para contas de administrador

Não manter as contas de superadministrador conectadas sem atividade
Os superadministradores devem fazer login para realizar tarefas específicas e depois sair.

Práticas recomendadas de segurança para contas de administrador 

Gerenciar contas de superadministrador

Configurar várias contas de superadministrador
A empresa deve ter mais de uma conta de superadministrador, cada uma gerenciada por uma pessoa diferente. Se uma conta for perdida ou comprometida e precisar ser recuperada, outro superadministrador poderá realizar as tarefas essenciais enquanto isso.

Atribuir funções de administrador a um usuário 

Criar contas de função de superadministrador por usuário
Cada superadministrador precisa ter uma conta identificável para que fique claro quem é responsável pelas atividades no registro de auditoria.

Práticas recomendadas de segurança para contas de administrador

Delegar tarefas diárias de administrador às contas de usuário
Use a conta de superadministrador somente quando for preciso, delegando tarefas diárias a contas de usuário. Use o modelo do menor privilégio, em que cada usuário tem acesso apenas aos recursos e ferramentas necessários para as tarefas diárias.

Atribuir funções de administrador a um usuário | Práticas recomendadas de segurança para contas de administrador 

Gerenciar atividade em contas de administrador

Configurar alertas por e-mail do administrador
Para monitorar a atividade dos administradores e identificar riscos à segurança, crie alertas de e-mail para determinados eventos como tentativas de login suspeitas, comprometimento de dispositivos móveis ou alterações feitas por outro administrador.

Alertas por e-mail do administrador

Confira o registro de auditoria do administrador
Use o registro de auditoria do administrador para ver todas as tarefas realizadas no Google Admin Console, inclusive o administrador que as realizou, a data e o endereço IP usado.

Registro de auditoria do administrador

Preparar-se para a recuperação da conta de administrador

Adicionar opções de recuperação a contas de administrador
Adicione às contas de administrador um número de telefone e um endereço de e-mail de recuperação para que o Google possa enviar uma nova senha por telefone, mensagem de texto ou e-mail. 

Adicionar opções de recuperação à sua conta de administrador

Mantenha as informações à mão para redefinir a senha de superadministrador

Se um superadministrador não puder redefinir a senha usando as opções de recuperação por e-mail ou telefone e nenhum outro superadministrador estiver disponível para fazer isso, ele deverá entrar em contato com o Suporte do Google.

Para verificar a identidade do usuário, o Google pede algumas informações sobre a conta da organização. O administrador também precisa confirmar que é proprietário do DNS do domínio. Você deve manter as informações da conta e as credenciais do DNS em um local seguro para quando precisar delas.

Práticas recomendadas de segurança para contas de administrador

Inscrever uma chave de segurança extra
Os administradores devem inscrever mais de uma chave de segurança nas contas deles e armazená-las em um local seguro. Se a chave de segurança principal for perdida ou roubada, ele ainda poderá fazer login na conta.

Adicionar uma chave de segurança à sua conta

Guardar os códigos alternativos com antecedência
Se um administrador perder a chave de segurança ou o smartphone (usado para receber um código de verificação em duas etapas ou uma solicitação do Google), ele poderá usar um código alternativo para fazer login.

Gerar e imprimir códigos alternativos

Contas 

Aplicar autenticação multifator

Exigir a verificação em duas etapas (2SV, na sigla em inglês) para os usuários
A verificação em duas etapas protege as contas de usuário contra o acesso não autorizado caso alguém consiga obter a senha.

Proteger sua empresa com a verificação em duas etapas | Implantar a verificação em duas etapas

Aplicar chaves de segurança pelo menos para administradores e outras contas importantes
As chaves de segurança, pequenos dispositivos de hardware usados durante o login, fazem a autenticação de dois fatores para proteger as contas contra phishing.

Implantar a verificação em duas etapas

Proteger senhas

Evitar a reutilização de senhas com o Alerta de senha
Use o recurso Alerta de senha para impedir que os usuários usem as credenciais corporativas em outros sites.

Impedir a reutilização da senha

Usar senhas exclusivas
Uma boa senha é a primeira linha de defesa para proteger as contas de usuário e de administrador. Não é fácil adivinhar senhas exclusivas. Não reutilize senhas em contas diferentes, por exemplo, contas de e-mail e internet banking.

Criar uma senha forte e uma conta mais segura

Evitar e corrigir a violação de contas

Conferir regularmente os relatórios e alertas de atividades
Nos relatórios de atividade, você vê o status da conta, o status do administrador e os detalhes da inscrição na verificação em duas etapas.

Relatórios de atividades da conta

Configurar alertas por e-mail do administrador
Configure alertas por e-mail para eventos perigosos como tentativas de login suspeitas, comprometimento de dispositivos móveis ou alterações feitas por outro administrador.

Alertas por e-mail do administrador

Adicionar desafios de login do usuário
Configure desafios para tentativas de login suspeitas. Os usuários devem digitar um código de verificação que o Google envia para o número de telefone ou o endereço de e-mail de recuperação ou responder a um desafio que apenas o proprietário da conta sabe resolver.

Verificar a identidade de um usuário com um desafio de login |  Adicionar o código de funcionário como desafio de login

Identificar e proteger contas violadas
Se você suspeita que uma conta foi violada, suspenda a conta, verifique se houve atividades mal-intencionadas e tome as medidas necessárias.

  • Analise os dispositivos móveis associados à conta.
  • Use a pesquisa de registro de e-mail para analisar os registros de entrega dos seus domínios.
  • Use o relatório de segurança para avaliar a exposição do domínio a riscos de segurança de dados.
  • Verifique se alguma configuração nociva foi criada.

Identificar e proteger contas violadas

Desativar o download de dados caso seja necessário
Evite o download dos dados da conta caso ela seja violada ou o usuário saia da empresa.

Ativar ou desativar o Takeout para o usuário

Apps (somente para o G Suite) 

Analisar o acesso de terceiros aos serviços principais
Saiba e aprove quais apps de terceiros acessam os serviços principais do G Suite, como o Gmail e o Drive. 

Autorizar apps conectados

Criar uma lista de apps confiáveis
Crie uma lista de permissões para especificar quais apps de terceiros podem acessar os serviços principais do G Suite.

Autorizar apps conectados

Agenda (somente para o G Suite) 

Limitar o compartilhamento externo de agendas
Restrinja o compartilhamento externo de agendas ao status disponível/ocupado. Essa medida reduz o risco de vazamento de dados.

Configurar a visibilidade da agenda e as opções de compartilhamento

Navegador Chrome e Chrome OS 

Definir uma política de navegador para computador
Se sua organização quer usar o navegador Chrome, mas os usuários ainda precisam acessar sites e apps antigos que exigem o Internet Explorer, use a extensão Suporte a navegadores legados do Chrome. Com ela, os usuários alternam automaticamente entre o Chrome e outro navegador. Use a extensão para permitir a utilização de apps que exigem um navegador legado.

Suporte a navegadores legados para Windows

Definir políticas básicas do Chrome OS e do navegador Chrome
Use o Admin Console para definir as políticas básicas do Chrome OS e do navegador Chrome:

  • Permita configurações de atualização automática.
  • Permita a política do gerenciador de senhas.
  • Ative a Navegação segura.
  • Impeça que os usuários acessem sites mal-intencionados.
  • Permita que os usuários vejam senhas no Gerenciador de senhas.

Definir políticas de usuários do Chrome

Configurar políticas avançadas do Chrome OS e do navegador Chrome
Use o Editor de Política de Grupo do Windows para configurar políticas avançadas do Chrome OS e do navegador Chrome:

  • AbusiveExperienceInterventionEnforce
  • AdsSettingForIntrusiveAdsSites
  • AllowedDomainsForApps
  • DownloadRestrictions
  • SitePerProcess

Configurar políticas do Chrome em PCs gerenciados

Ativar a atualização automática do Chrome
Ative a atualização automática para que o Chrome receba as atualizações de segurança mais recentes.

Gerenciar atualizações do Chrome

Hangouts clássico (somente para o G Suite) 

Avisar aos usuários sobre chats fora do domínio
Mostre um aviso aos usuários quando eles conversarem com pessoas fora do domínio. Quando essa opção está ativada, as conversas de bate-papo em grupo são divididas assim que a primeira pessoa de fora do domínio é adicionada à discussão. Assim os usuários externos não veem a conversa anterior dos usuários internos, reduzindo o risco de vazamentos de dados.

Configurações do Hangouts clássico

Definir uma política de convite para chat
Use esta configuração para definir uma política de convite para chat com base na política de colaboração da sua organização.

Configurações do Hangouts clássico

Contatos (somente para o G Suite) 

Não compartilhar informações de contato automaticamente
Desative a opção de compartilhar informações de contato automaticamente.

Ativar ou desativar o diretório global

Drive  

Limitar o compartilhamento e a colaboração fora do seu domínio

Definir opções de compartilhamento no seu domínio
Desative as opções de compartilhamento para limitar o compartilhamento de arquivos aos seus domínios. Essa medida reduz o risco de vazamento de dados e de exfiltração de dados. Se o compartilhamento fora do domínio for necessário para os negócios, defina o compartilhamento nas unidades organizacionais ou defina domínios na lista de permissões.

Definir as permissões de compartilhamento dos usuários do Drive

Definir o padrão do compartilhamento de links
Desative o compartilhamento de links para arquivos recém-criados. Somente o proprietário do arquivo deve poder ter acesso até decidir compartilhá-lo.

Definir as permissões de compartilhamento dos usuários do Drive

Avisar aos usuários quando eles compartilham arquivos fora do domínio
Se você permitir o compartilhamento de arquivos fora do domínio, mostre um aviso aos usuários quando eles fizerem isso. Assim eles podem confirmar a ação e reduzir o risco de vazamento de dados.

Definir as permissões de compartilhamento dos usuários do Drive

Limitar o acesso a arquivos aos destinatários
Quando um usuário compartilha um arquivo com um produto do Google que não seja o Documentos ou o Drive (por exemplo, colando um link no Gmail), o Verificador de acesso pode verificar se os destinatários conseguem acessar o arquivo. Configurar o Verificador de acesso como Somente destinatários Assim você controla a acessibilidade dos links compartilhados pelos usuários e reduz o risco de vazamento de dados.

Definir as permissões de compartilhamento dos usuários do Drive

Impedir que os usuários publiquem na Web
Desative a publicação de arquivos na Web. Essa medida reduz o risco de vazamento de dados.

Definir as permissões de compartilhamento dos usuários do Drive

Exigir login do Google para colaboradores externos
Exija que colaboradores externos façam login com uma Conta do Google. Se eles não tiverem uma, poderão criá-la sem custo algum. Essa medida reduz o risco de vazamento de dados.

Definir as permissões de compartilhamento dos usuários do Drive

Controlar os arquivos armazenados em drives compartilhados
Permita que apenas os usuários da organização movam arquivos dos drives compartilhados para um local do Drive em outra organização.

Definir as permissões de compartilhamento dos usuários do Drive

Controlar o compartilhamento de conteúdo em novos drives compartilhados
Use as configurações de criação de drives compartilhados para restringir o compartilhamento neles.

Controlar o compartilhamento nos drives compartilhados

Limitar cópias locais de dados do Drive

Desativar o acesso a documentos off-line
Para reduzir o risco de vazamentos de dados, desative o acesso a documentos off-line. Nesse tipo de acesso, uma cópia dos documentos é armazenada localmente. Se você precisar ativar o acesso a documentos off-line por motivos comerciais, faça isso por unidade organizacional para reduzir os riscos.

Configurar o acesso off-line aos Editores de Documentos Google

Desativar o acesso da área de trabalho ao Drive
Para ativar o acesso ao Drive na área de trabalho, implante o cliente de Backup e sincronização ou o Drive File Stream. Com o cliente de Backup e sincronização, os usuários sincronizam arquivos entre os computadores e o Google Drive. O Drive File Stream sincroniza arquivos na nuvem com o computador local do usuário.

Para reduzir o risco de vazamento de dados, desative o acesso do computador ao Drive. Se você quiser ativar essa opção, faça isso apenas para os usuários que precisam desse tipo de acesso.

Implantar o Backup e sincronizaçãoAtivar a sincronização para sua organização |
Comparar o Backup e sincronização e o Drive File Stream

Controlar o acesso aos dados por apps de terceiros

Não permitir complementos do Drive
Para reduzir o risco de vazamentos de dados, impeça que os usuários instalem complementos do Documentos Google da loja. Para suprir necessidades empresariais específicas, é possível implantar complementos do Documentos Google que estejam de acordo com sua política organizacional.

Ativar complementos nos Editores de Documentos Google

Gmail (somente para o G Suite) 

Configurar autenticação e infraestrutura

Validar e-mails com SPF, DKIM e DMARC

SPF, DKIM e DMARC estabelecem um sistema de validação de e-mails que usa as configurações de DNS para autenticar e assinar digitalmente seu domínio, além de evitar o spoofing dele.

Às vezes, os invasores falsificam o endereço do remetente das mensagens de e-mail para que elas pareçam ter sido enviadas por um usuário do seu domínio. Para evitar que isso aconteça, configure o SPF e o DKIM em todos os fluxos de e-mail de saída. 
Com esses protocolos ativados, você pode configurar um registro DMARC para definir como o Google e outros destinatários devem lidar com e-mails não autenticados que finjam ser do seu domínio.

Reforçar a segurança de e-mails enviados (DKIM) | Autorizar remetentes de e-mail com o SPF | 
Aprimorar a segurança contra spam forjado (DMARC)

Configurar gateways de e-mails recebidos para funcionar com o SPF
Se você usa um gateway para encaminhar os e-mails recebidos, configure-o corretamente para o Sender Policy Framework (SPF). Essa medida evita o impacto negativo no processamento de spam.

Configurar um gateway de e-mails recebidos

Aplicar o TLS aos domínios parceiros
Exija o uso de TLS na transmissão de e-mails para garantir a segurança da conexão. Defina a configuração do TLS para exigir uma conexão segura de e-mails enviados (ou recebidos) de domínios de parceiros.

Exigir que o e-mail seja transmitido por uma conexão segura (TLS)

Exigir autenticação de todos os remetentes aprovados
Ative a configuração Exigir autenticação do remetente para políticas de spam. Se você não exigir a autenticação, os e-mails de remetentes que não ativaram a autenticação (como SPF ou DKIM) não seguirão para a pasta de spam. Desative essa configuração para reduzir o risco de spoofing e de phishing ou whaling. Saiba mais sobre a autenticação do remetente

Personalizar configurações do filtro de spam

Configurar registros MX para o fluxo correto de e-mails
Configure os registros MX para apontar aos servidores do Google como o registro de prioridade mais alta, garantindo o fluxo correto de e-mails para os usuários do seu domínio do G Suite. Essa medida reduz o risco de exclusão de dados (devido à perda de e-mails) e ameaças de malware.

Configurar registros MX para o Gmail do G Suite | Valores dos registros MX do G Suite

Proteger usuários e organizações

Desativar o acesso IMAP/POP
Os usuários podem acessar o Gmail por meio de clientes IMAP e POP para computador criados por outras empresas. Desative o acesso POP e IMAP para todos os usuários que não precisem dele. Essa medida reduz os riscos de vazamento, exclusão e exfiltração de dados. Também pode reduzir a ameaça de ataques porque os clientes IMAP talvez não tenham proteções semelhantes aos clientes próprios.

Ativar ou desativar IMAP e POP para os usuários

Desativar o encaminhamento automático
Impeça que os usuários encaminhem automaticamente os e-mails recebidos para outro endereço. Essa medida reduz o risco de exfiltração de dados por encaminhamento de e-mail, uma técnica comum usada por invasores.

Desativar o encaminhamento automático

Ativar o armazenamento de e-mails abrangente
Com o armazenamento de e-mails abrangente, uma cópia de cada mensagem enviada ou recebida no domínio (mesmo fora do Gmail) é armazenada na caixa de e-mails dos usuários associados no Gmail. Ative essa configuração para armazenar no Google Vault os e-mails de todos os usuários que ativaram o redirecionamento SMTP.

Essa medida reduz os riscos de exclusão de dados porque uma cópia de todas as mensagens enviadas ou recebidas no domínio (mesmo fora do Gmail) será armazenada na caixa de e-mail dos usuários associados no Gmail.

Configurar o armazenamento de e-mails abrangente

Não ignorar filtros de spam para remetentes internos
Desative a opção Ignorar filtros de spam para mensagens recebidas de remetentes internos porque os endereços externos adicionados a grupos são tratados como internos. Ao desativar essa configuração, você garante que todos os e-mails do usuário sejam filtrados contra spam, inclusive os de remetentes internos. Essa medida reduz o risco de spoofing e de phishing/whaling.

Personalizar configurações do filtro de spam

Adicionar configuração de cabeçalhos de spam a todas as regras de roteamento padrão
Adicione a configuração de cabeçalhos de spam a todas as regras de roteamento padrão para maximizar a capacidade de filtragem dos servidores de e-mail downstream e reduzir o risco de spoofing e de phishing/whaling. O Gmail filtra automaticamente mensagens de spam e phishing, mas se você marcar a caixa Adicionar os cabeçalhos X-Gm-Spam e X-Gm-Phishy, esses cabeçalhos serão incluídos para indicar o status de spam e phishing da mensagem.

Por exemplo, um administrador em outro servidor pode usar essas informações para configurar regras para lidar com o spam e o phishing de maneira diferente do e-mail válido.

Configurar o roteamento padrão

Ativar a verificação de mensagem de pré-entrega aprimorada
Com esta configuração, o Gmail poderá fazer mais verificações nos e-mails que ele identificar como possível phishing.

Usar a verificação de mensagem de pré-entrega aprimorada

Ativar avisos de destinatários externos 
O Gmail detecta quando o destinatário externo de uma resposta de e-mail é alguém com quem o usuário não interage regularmente ou que não está nos Contatos dele. Quando você define essa configuração, os usuários recebem um aviso e podem cancelar a ação.

Configurar um aviso de destinatário externo

Ativar proteção adicional para anexos
O Google verifica as mensagens recebidas para proteger contra malware, mesmo que as configurações adicionais de proteção contra anexos nocivos não estejam ativadas. Quando a proteção adicional contra anexos está ativada, ela detecta e-mails que não foram identificados antes como mal-intencionados.

Mais proteção contra phishing e malware

Ativar a proteção adicional contra links e conteúdo externo
O Google verifica as mensagens recebidas para proteção contra malware, mesmo que as configurações adicionais de proteção contra links e conteúdo mal-intencionado não estejam ativadas. Quando a proteção contra links adicionais e imagens externas está ativada, ela detecta e-mails que não foram identificados antes como phishing.

Mais proteção contra phishing e malware

Ativar proteção adicional contra spoofing
O Google verifica as mensagens recebidas para proteger contra spoofing, mesmo que as configurações adicionais de proteção contra spoofing não estejam ativadas. Quando a proteção adicional contra spoofing e autenticação está ativada, ela reduz o risco de spoofing com base em nomes semelhantes de domínio ou de funcionários.

Mais proteção contra phishing e malware

Considerações de segurança para tarefas diárias do Gmail

Tenha cuidado ao modificar filtros de spam

As configurações avançadas do Gmail permitem o controle detalhado da entrega e da filtragem de mensagens. Para evitar um aumento na quantidade de spam, tenha cuidado ao usar essas configurações para modificar os filtros de spam padrão do Gmail. 

  • Se você adicionar um domínio ou um endereço de e-mail à lista de remetentes aprovados, tome cuidado com a opção "Não necessitam de autenticação do remetente" porque ela pode fazer os filtros de spam do Gmail serem ignorados para remetentes sem autenticação.
  • Para que as mensagens enviadas por endereços IP específicos não passem pelos filtros de spam, adicione os endereços IP à lista de e-mails autorizados. Tome cuidado ao colocar endereços IP na lista de permissões, principalmente se você permitir grandes intervalos de endereços IP usando uma notação CIDR.
  • Se você estiver encaminhando mensagens para seu domínio do G Suite por um gateway de entrada, adicione os endereços IP do gateway de entrada às configurações dele, e não à lista de permissões de e-mails.
  • Monitore e ajuste as regras de compliance para prevenir spam e phishing.

Personalizar as configurações do Gmail para sua organização

Não incluir domínios na lista de remetentes aprovados
Você pode incluir domínios na sua lista de remetentes aprovados. Se você configurar remetentes aprovados e marcar a caixa Ignorar filtros de spam para mensagens recebidas de endereços ou domínios dentro destas listas de remetentes aprovados, remova todos os domínios da lista. A exclusão de domínios da lista de remetentes aprovados reduz o risco de spoofing e de phishing/whaling.  

Personalizar configurações do filtro de spam

Não colocar endereços IP na lista de permissões
Em geral, os e-mails enviados por endereços IP na lista de permissões não são marcados como spam. Para aproveitar ao máximo o serviço de filtragem de spam do Gmail e melhorar a classificação desse tipo de mensagem, adicione os endereços IP dos servidores de e-mail da sua organização e dos parceiros que encaminham e-mails para o Gmail a um gateway de entrada e não a uma lista de permissões de IP.

Colocar endereços IP na lista de permissões do Gmail | Configurar um gateway de e-mail de entrada

Google+ (somente para o G Suite) 

Criar perfis do Google+ automaticamente
Desative a criação automática de perfis públicos do Google+ para os usuários da organização.

Gerenciar perfis do Google+
Consulte Criar perfis do Google+ para todos os usuários de uma unidade organizacional.

Controlar como os usuários compartilham e veem o conteúdo do Google+
Controle como os usuários da organização veem e compartilham o conteúdo do Google+. Por exemplo, você pode impedir que os usuários criem ou interajam com conteúdo externo.

Gerenciar o compartilhamento de conteúdo no Google+

Grupos 

Configurar o acesso particular aos grupos
Selecione a configuração "Particular" para limitar o acesso aos membros do seu domínio. Os membros do grupo ainda podem receber e-mails de fora do domínio. Essa medida reduz o risco de vazamento de dados.

Definir as opções de compartilhamento do Grupos para empresas

Limitar a criação de grupos a administradores
Restrinja a criação de grupos aos administradores. Essa medida reduz o risco de vazamento de dados.

Definir as opções de compartilhamento do Grupos para empresas

Personalizar as configurações de acesso do grupo
Recomendações:

  • Permita ou desative membros e mensagens de fora do seu domínio.
  • Configure a moderação de mensagens.
  • Defina a visibilidade dos grupos.
  • Realize outras ações de acordo com as políticas da empresa.

Definir quem pode ver, postar e moderar

Desative algumas configurações de acesso para os grupos internos
As configurações a seguir permitem que qualquer pessoa na Internet participe do grupo, envie mensagens e veja os arquivos de discussão. Desative estas configurações para grupos internos:

  • Acesso público
  • Também concede esse acesso a qualquer pessoa na Internet
  • Também permite que qualquer pessoa na Internet poste mensagens 

Atribuir níveis de acesso a um grupo

Ativar a moderação de spam nos grupos
Você pode enviar as mensagens para a fila de moderação com ou sem aviso aos moderadores, rejeitar as mensagens de spam imediatamente ou permitir a postagem sem moderação.

Aprovar ou bloquear novas postagens

Dispositivos móveis 

Ativar o gerenciamento básico de dispositivos móveis

Ativar o gerenciamento de dispositivos móveis para controlar os dados corporativos
Pense em como implementar os requisitos e as políticas de gerenciamento de dispositivos móveis da sua organização.

Ative pelo menos o Gerenciamento básico de dispositivos móveis para ter visibilidade e controlar os dados corporativos no iOS e no Android. Essa medida reduz os riscos de vazamento de dados, malware e pessoas mal-intencionadas com informações privilegiadas.

Primeiros passos no Gerenciamento de dispositivos móveis do Google

Controlar o acesso a apps

Criar listas de apps empresariais aprovados
Para proteger os recursos corporativos contra apps potencialmente nocivos, autorize os apps que você conferiu e aprovou para uso comercial.

Gerenciar apps em dispositivos iOS | Gerenciar apps em dispositivos Android

Bloquear apps de fontes desconhecidas
Mantenha a configuração padrão de bloqueio de apps desconhecidos da Play Store em dispositivos móveis Android. Essa medida reduz os riscos de vazamento de dados, violação de conta, exfiltração de dados, exclusão de dados e malware.

Aplicar configurações a dispositivos móveis Android

Aplicar a verificação de apps
Mantenha a configuração padrão que permite que os usuários instalem aplicativos em dispositivos móveis Android somente de fontes conhecidas. Essa medida reduz o risco de malware e de vazamentos de dados.

Aplicar configurações a dispositivos móveis Android

Exigir apps gerenciados em dispositivos iOS
Quando adiciona um app a uma lista de permissões do iOS, você pode torná-lo um app gerenciado. Assim você tem mais controle sobre o app e os dados dele em dispositivos iOS pessoais. Não é permitido compartilhar arquivos entre apps gerenciados e não gerenciados.

Por exemplo, os usuários não podem fazer backup de dados de um app empresarial gerenciado para uma entidade externa, como o iCloud. Se um usuário criar um PDF em um app empresarial gerenciado, ele não poderá abri-lo em um app pessoal não gerenciado.

Gerenciar apps nos dispositivos iOS

Proteger contas e dados

Aplicar requisitos de senha para dispositivos móveis
Exija que os usuários definam uma senha para os dispositivos móveis e defina as configurações de nível de segurança, expiração e reutilização da senha, além de bloqueio e limpeza de dispositivos. Essa medida reduz o risco de vazamento de dados caso os dispositivos sejam perdidos, roubados ou vendidos.

Aplicar configurações de senha a dispositivos móveis

Criptografar dados em dispositivos móveis
Para reduzir o risco de vazamentos de dados em caso de perda, roubo ou venda, criptografe os dados em dispositivos móveis Android que aceitam criptografia. Todos os dispositivos iOS são criptografados pela Apple.

Aplicar configurações avançadas

Ativar a exclusão permanente automática da conta
Remova automaticamente os dados da conta corporativa de um dispositivo móvel Android quando ele atingir um determinado número de dias de inatividade. Essa medida reduz o risco de vazamento de dados.

Aplicar configurações a dispositivos móveis Android

Aplicar perfis de trabalho do Android
Os perfis de trabalho do Android mantêm os dados pessoais e corporativos separados. Ao usar o gerenciamento de dispositivos integrado para exigir perfis de trabalho, você pode autorizar os apps que acessam dados corporativos e bloquear a instalação de apps de fontes desconhecidas.

Configurar perfis de trabalho do Android

Gerenciar dispositivos

Bloquear dispositivos móveis comprometidos
Bloqueie os dispositivos Android comprometidos. Os indícios de comprometimento são a presença de um carregador de inicialização desbloqueado, o uso de uma memória somente leitura (ROM) personalizada ou a presença de um binário de superusuário no dispositivo.

Aplicar configurações avançadas

Ativar os relatórios de inatividade de dispositivos móveis
Envie aos superadministradores relatórios mensais com os dispositivos da empresa que não sincronizaram dados de trabalho nos últimos 30 dias. A desativação de contas inativas reduz o risco de vazamentos de dados.

Receber um relatório com os dispositivos inativos da empresa

Bloquear o armazenamento de mídia externa
Evite que os usuários movimentem dados e apps entre dispositivos móveis Android e outra mídia. Essa medida reduz o risco de vazamento de dados.

Aplicar configurações a dispositivos móveis Android

Desativar o histórico de localização
Desative o serviço Histórico de localização para impedir que o histórico de localização do usuário seja salvo.

Ativar e desativar serviços adicionais do Google

Sites (somente para o G Suite) 

Bloquear o compartilhamento de sites fora do domínio
Evite que os usuários compartilhem sites fora do domínio para reduzir o risco de vazamentos de dados. Se for importante para os negócios, você poderá ativar o compartilhamento fora do domínio. Lembre-se de configurar a exibição de um aviso quando os usuários compartilharem sites fora do domínio.

Definir opções de compartilhamento do Google Sites | Definir opções de compartilhamento: Sites clássico

Vault (somente para o Vault) 

Controlar, auditar e proteger contas do Vault
Faça o controle e a auditoria das contas com acesso ao Vault.

Como entender auditorias

Tratar as contas com acesso ao Vault como confidenciais
As contas do Vault devem ser tratadas como contas de acesso elevado, semelhantes às de superadministrador. Faça o controle e a auditoria das contas com acesso ao Vault e ative a verificação em duas etapas para elas.

Proteger sua empresa com a verificação em duas etapas | Implantar a verificação em duas etapas

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.