Práticas recomendadas de segurança para contas de administrador

Siga estas práticas recomendadas para melhorar a segurança das contas de administrador e da sua empresa.

Veja mais práticas recomendadas de segurança nas Listas de verificação de segurança.

Proteger contas de administrador

Exigir a verificação em duas etapas para contas de administrador

Se alguém descobrir a senha de administrador, a verificação em duas etapas (2SV) ajudará a proteger a conta contra o acesso não autorizado. Os superadministradores precisam usar esse recurso porque as contas deles controlam o acesso a todos os dados empresariais e de funcionários da organização.

Proteger sua empresa com a verificação em duas etapas

Usar chaves de segurança para a verificação em duas etapas

Existem vários métodos de 2SV, como as chaves de segurança, os prompts do Google, o Google Authenticator e os códigos alternativos. As chaves de segurança são dispositivos de hardware pequenos usados para a autenticação de dois fatores. Elas adicionam mais uma barreira de proteção contra as ameaças de phishing e são a forma mais segura de verificação em duas etapas.

Proteger sua empresa com a verificação em duas etapas/chaves de segurança

Não compartilhar contas de administrador entre usuários

Crie uma conta de administrador identificável para cada administrador. Se você não fizer isso e várias pessoas usarem a mesma conta de administrador para fazer login no Admin Console, como admin@example.com, não será possível ver qual superadministrador realizou atividades específicas no registro de auditoria.

Proteger contra ataques direcionados

Você pode aplicar muitas das recomendações neste artigo de uma só vez inscrevendo contas de superadministrador e outras contas confidenciais no Programa Proteção Avançada.

Proteger os usuários com o Programa Proteção Avançada

Gerenciar contas de superadministrador

Configurar várias contas de superadministrador

Sua organização deve ter mais de uma conta de superadministrador, cada uma gerenciada por uma pessoa diferente. Evite compartilhar uma conta de administrador. Se uma conta for perdida ou comprometida e precisar ser recuperada, outro superadministrador poderá realizar tarefas essenciais enquanto isso.

Não usar uma conta de superadministrador para as atividades diárias

Crie duas contas para cada superadministrador: uma conta de superadministrador própria e uma separada para as atividades diárias. Os usuários só devem fazer login em uma conta de superadministrador para fazer as tarefas específicas de superadministrador, como configurar a verificação em duas etapas (2SV), gerenciar o faturamento e as licenças de usuário ou ajudar outro administrador a recuperar a conta.

Os superadministradores devem usar uma conta separada não administrativa para as atividades do dia a dia.

Por exemplo, caso Maria e João sejam superadministradores, cada um deverá ter uma conta de administrador identificável e uma conta de usuário:

  • admin-maria@example.com, maria@example.com
  • admin-joao@example.com, joao@example.com

Receber avisos importantes sobre o administrador

Se você não faz login com frequência na sua conta de administrador principal, pode perder avisos importantes importantes do Google. Configure um contato de e-mail secundário para enviar esses avisos a uma conta que você usa regularmente.

Enviar notificações de faturamento e da conta para outro administrador

Não manter uma conta de superadministrador conectada

Manter uma conta de superadministrador conectada quando você não está realizando tarefas administrativas específicas aumenta a exposição a ataques de phishing. Os superadministradores devem fazer login conforme necessário para realizar tarefas específicas e depois sair da conta.

Usar contas que não sejam de superadministrador para tarefas administrativas diárias

Use a conta de superadministrador somente quando necessário. Delegue tarefas de administrador a contas de usuário com funções de administrador limitadas. Use a abordagem de privilégio mínimo, em que cada usuário tem acesso às ferramentas e aos recursos necessários para as tarefas diárias. Por exemplo, você pode conceder a um administrador permissões para criar contas de usuário e redefinir senhas, mas não permitir a exclusão de contas de usuário.

Sobre as funções de administrador

Monitorar a atividade nas contas de administrador

Configure alertas de e-mail para o administrador

Monitore a atividade do administrador e acompanhe os possíveis riscos à segurança configurando alertas por e-mail do administrador para determinados eventos, como tentativas de login suspeitas, dispositivos móveis comprometidos ou alterações feitas por outro administrador.

Quando você ativa um alerta para uma atividade, recebe um e-mail toda vez que essa atividade acontece.

Alertas por e-mail do administrador e regras definidas pelo sistema

Analisar o registro de auditoria do administrador

Use o registro de auditoria do administrador para ver o histórico de todas as tarefas realizadas no Google Admin Console, que inclui a data, o administrador responsável e o endereço IP de onde ele fez login.

A atividade do superadministrador aparece na coluna Descrição do evento como _SEED_ADMIN_ROLE, seguida do nome de usuário.

Registro de auditoria do administrador

Preparar-se para a recuperação da conta de administrador

Adicione opções de recuperação às contas de administrador

Os administradores devem adicionar opções de recuperação à conta de administrador.

Se um administrador esquecer a senha da conta, ele poderá clicar no link Precisa de ajuda? na página de login para receber um código de verificação por telefone, mensagem de texto ou e-mail. Para fazer isso, o Google precisa do número de telefone e do endereço de e-mail de recuperação da conta.

Adicionar opções de recuperação à sua conta de administrador

Manter as informações à mão para redefinir a senha

Se um superadministrador não puder redefinir a senha usando as opções de recuperação por e-mail ou telefone e nenhum outro superadministrador estiver disponível para fazer isso, ele poderá usar o assistente de recuperação.

Para verificar a identidade, o Google pede estas informações sobre a conta da organização:

  • A data em que a conta foi criada
  • O endereço de e-mail secundário original associado à conta (e-mail usado na inscrição)
  • O número de pedido do Google associado à sua conta (se aplicável)
  • O número de contas de usuário criadas
  • O endereço de cobrança vinculado à conta
  • O tipo de cartão de crédito utilizado e os últimos quatro dígitos dele

O Google também pede para o administrador verificar a propriedade de DNS do domínio. Portanto, o administrador precisa ter as credenciais para editar as configurações de DNS do domínio no registrador.

Redefinir sua senha de administrador se as opções de e-mail e telefone não estiverem disponíveis

Inscrever uma chave de segurança adicional

Os administradores devem inscrever mais de uma chave de segurança para a conta de administrador e guardá-la em um local seguro. Se a chave de segurança principal for perdida ou roubada, ele ainda poderá fazer login na conta.

Adicionar uma chave de segurança à sua conta

Salvar códigos alternativos com antecedência

Se um administrador perder a chave de segurança ou o telefone (onde recebe um código de verificação da 2SV ou o prompt do Google), ele poderá usar um código alternativo para fazer login.

Os administradores devem gerar e imprimir os códigos alternativos, caso eles sejam necessários. Mantenha esses códigos em um local seguro.

Gerar e imprimir códigos alternativos

Temas relacionados

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
Pesquisar na Central de Ajuda
true
73010
false
false