Siga estas práticas recomendadas para melhorar a segurança das contas de administrador e da sua empresa.
Proteger contas de administrador
Se alguém descobrir a senha de administrador, a verificação em duas etapas (2SV) ajudará a proteger a conta contra o acesso não autorizado. Os superadministradores precisam usar esse recurso porque as contas deles controlam o acesso a todos os dados empresariais e de funcionários da organização.
Existem vários métodos de 2SV, como as chaves de segurança, os prompts do Google, o Google Authenticator e os códigos alternativos. As chaves de segurança são dispositivos de hardware pequenos usados para a autenticação de dois fatores. Elas adicionam mais uma barreira de proteção contra as ameaças de phishing e são a forma mais segura de 2SV.
Os superadministradores gerenciam todos os aspectos da conta da sua empresa e redefinem as senhas de outras pessoas.
Eles devem utilizar uma conta de usuário separada para as atividades do dia a dia e só fazer login na conta de superadministrador para realizar tarefas específicas de superadministrador, como configurar a 2SV ou ajudar outro administrador a recuperar a conta.
Manter uma conta de superadministrador conectada quando você não está realizando tarefas administrativas específicas aumenta a exposição a ataques de phishing. Os superadministradores devem fazer login conforme necessário para realizar tarefas específicas e depois sair da conta.
Gerenciar contas de superadministrador
Configurar várias contas de superadministradorUma empresa deve ter mais de uma conta de superadministrador, e cada conta deve ser gerenciada por uma pessoa diferente. Se uma conta for perdida ou comprometida, outro superadministrador poderá realizar tarefas essenciais enquanto a outra conta é recuperada.
Se houver vários superadministradores e cada um usar admin@example.com para fazer login, você não poderá ver no registro de auditoria qual superadministrador realizou as atividades. Cada superadministrador deve ter uma conta de administrador identificável.
Por exemplo, se Maria e João forem superadministradores, eles devem ter contas de usuário e contas de superadministrador separadas:
- admin-maria@example.com, maria@example.com
- admin-joao@example.com, joao@example.com
Por padrão, as contas de administrador na sua organização têm acesso ao conteúdo do usuário e aos registros de atividades dos serviços do Google Workspace. Por exemplo, registros do Gmail e do Chat nos registros de auditoria. Como superadministrador, você pode ajudar a proteger a segurança e a privacidade dos usuários limitando os administradores apenas aos privilégios necessários.
Por exemplo, você pode limitar o número de administradores da sua organização que têm acesso aos relatórios e registros de auditoria, à ferramenta de investigação, ao painel de segurança e à ferramenta de qualidade do Meet. Veja instruções sobre como ativar ou desativar privilégios para esses serviços em Definir privilégios de administrador para proteger a privacidade do usuário.
Para incentivar o uso de uma conta de superadministrador somente quando necessário, delegue as operações administrativas normais diárias às contas de usuário. Por exemplo, você pode delegar uma atividade frequente, como a redefinição das senhas das contas de usuário, mas permitir que apenas superadministradores excluam uma conta.
Ao delegar privilégios de administrador, use o modelo de privilégio mínimo. Nesse modelo, cada administrador tem acesso apenas aos recursos e às ferramentas necessários para as tarefas diárias.
Monitorar a atividade nas contas de administrador
Configurar alertas por e-mail do administradorMonitore a atividade do administrador e acompanhe os possíveis riscos à segurança configurando alertas por e-mail do administrador para determinados eventos, como tentativas de login suspeitas, dispositivos móveis comprometidos ou alterações feitas por outro administrador.
Quando você ativa um alerta para uma atividade, recebe um e-mail toda vez que essa atividade acontece.
O registro de auditoria do administrador é outra ferramenta que monitora a atividade do administrador. Ele mostra um histórico de todas as tarefas realizadas no Google Admin Console, o administrador que realizou a tarefa, a data e o endereço IP com que o administrador fez login.
A atividade do superadministrador aparece na coluna "Descrição do evento" como _SEED_ADMIN_ROLE, seguida do nome de usuário.
Preparar-se para a recuperação da conta de administrador
Adicionar opções de recuperação às contas de administradorOs administradores devem adicionar opções de recuperação à conta de administrador.
Se um administrador esquecer a senha da conta, ele poderá clicar no link Esqueceu a senha? na página de login para receber um código de verificação por telefone, mensagem de texto ou e-mail. Para fazer isso, o Google precisa do número de telefone e do endereço de e-mail de recuperação da conta.
Se um superadministrador não puder redefinir a senha usando as opções de recuperação por e-mail ou telefone e nenhum outro superadministrador estiver disponível para fazer isso, ele deverá entrar em contato com o Suporte do Google.
Para verificar a identidade, o Google pede estas informações sobre a conta da organização:
- A data em que a conta foi criada
- O endereço de e-mail secundário original associado à conta (e-mail usado na inscrição)
- O número de pedido do Google associado à sua conta (se aplicável)
- O número de contas de usuário criadas
- O endereço de cobrança vinculado à conta
- O tipo de cartão de crédito utilizado e os últimos quatro dígitos dele
O Google também pede para o administrador verificar a propriedade de DNS do domínio. Portanto, o administrador precisa ter as credenciais para editar as configurações de DNS do domínio no registrador.
Os administradores devem inscrever mais de uma chave de segurança para a conta de administrador e armazená-las em um local seguro. Se a chave de segurança principal for perdida ou roubada, ele ainda poderá fazer login na conta.
Se um administrador perder a chave de segurança ou o smartphone (onde recebe um código de verificação da 2SV ou o prompt do Google), ele poderá usar um código alternativo para fazer login.
Os administradores devem gerar e imprimir os códigos alternativos, caso eles sejam necessários. Mantenha esses códigos em um local seguro.
Se um administrador não conseguir fazer login com a conta de administrador, outro administrador poderá gerar um código alternativo para ele poder fazer login usando a verificação em duas etapas.