Práticas recomendadas de segurança para contas de administrador

Siga estas práticas recomendadas para melhorar a segurança das contas de administrador e da sua empresa.

Proteger contas de administrador

Exigir um segundo fator de autenticação para contas de administrador

Se alguém descobrir a senha de administrador, a verificação em duas etapas (2SV) ajudará a proteger a conta contra o acesso não autorizado. Os superadministradores precisam usar esse recurso porque as contas deles controlam o acesso a todos os dados empresariais e de funcionários da organização.

Usar chaves de segurança para a verificação em duas etapas

Existem vários métodos de 2SV, como as chaves de segurança, os prompts do Google, o Google Authenticator e os códigos alternativos. As chaves de segurança são dispositivos de hardware pequenos usados para a autenticação de dois fatores. Elas adicionam mais uma barreira de proteção contra as ameaças de phishing e são a forma mais segura de 2SV.

Não usar uma conta de superadministrador para as atividades diárias

Os superadministradores gerenciam todos os aspectos da conta da sua empresa e redefinem as senhas de outras pessoas.

Eles devem utilizar uma conta de usuário separada para as atividades do dia a dia e só fazer login na conta de superadministrador para realizar tarefas específicas de superadministrador, como configurar a 2SV ou ajudar outro administrador a recuperar a conta.

Não manter uma conta de superadministrador conectada

Manter uma conta de superadministrador conectada quando você não está realizando tarefas administrativas específicas aumenta a exposição a ataques de phishing. Os superadministradores devem fazer login conforme necessário para realizar tarefas específicas e depois sair da conta.

Gerenciar contas de superadministrador

Configurar várias contas de superadministrador

Uma empresa deve ter mais de uma conta de superadministrador, e cada conta deve ser gerenciada por uma pessoa diferente. Se uma conta for perdida ou comprometida, outro superadministrador poderá realizar tarefas essenciais enquanto a outra conta é recuperada.

Criar contas de superadministrador por usuário

Se houver vários superadministradores e cada um usar admin@example.com para fazer login, você não poderá ver no registro de auditoria qual superadministrador realizou as atividades. Cada superadministrador deve ter uma conta de administrador identificável.

Por exemplo, se Maria e João forem superadministradores, eles devem ter contas de usuário e contas de superadministrador separadas:

  • admin-maria@example.com, maria@example.com
  • admin-joao@example.com, joao@example.com
Definir privilégios de administrador para proteger a privacidade do usuário

Por padrão, as contas de administrador na sua organização têm acesso ao conteúdo do usuário e aos registros de atividades dos serviços do Google Workspace. Por exemplo, registros do Gmail e do Chat nos registros de auditoria. Como superadministrador, você pode ajudar a proteger a segurança e a privacidade dos usuários limitando os administradores apenas aos privilégios necessários.

Por exemplo, você pode limitar o número de administradores da sua organização que têm acesso aos relatórios e registros de auditoria, à ferramenta de investigação, ao painel de segurança e à ferramenta de qualidade do Meet. Veja instruções sobre como ativar ou desativar privilégios para esses serviços em Definir privilégios de administrador para proteger a privacidade do usuário.

Delegar tarefas administrativas diárias a contas de usuário

Para incentivar o uso de uma conta de superadministrador somente quando necessário, delegue as operações administrativas normais diárias às contas de usuário. Por exemplo, você pode delegar uma atividade frequente, como a redefinição das senhas das contas de usuário, mas permitir que apenas superadministradores excluam uma conta.

Ao delegar privilégios de administrador, use o modelo de privilégio mínimo. Nesse modelo, cada administrador tem acesso apenas aos recursos e às ferramentas necessários para as tarefas diárias.

Monitorar a atividade nas contas de administrador

Configurar alertas por e-mail do administrador

Monitore a atividade do administrador e acompanhe os possíveis riscos à segurança configurando alertas por e-mail do administrador para determinados eventos, como tentativas de login suspeitas, dispositivos móveis comprometidos ou alterações feitas por outro administrador.

Quando você ativa um alerta para uma atividade, recebe um e-mail toda vez que essa atividade acontece.

Analisar o registro de auditoria do administrador

O registro de auditoria do administrador é outra ferramenta que monitora a atividade do administrador. Ele mostra um histórico de todas as tarefas realizadas no Google Admin Console, o administrador que realizou a tarefa, a data e o endereço IP com que o administrador fez login.

A atividade do superadministrador aparece na coluna "Descrição do evento" como _SEED_ADMIN_ROLE, seguida do nome de usuário.

Preparar-se para a recuperação da conta de administrador

Adicionar opções de recuperação às contas de administrador

Os administradores devem adicionar opções de recuperação à conta de administrador.

Se um administrador esquecer a senha da conta, ele poderá clicar no link Esqueceu a senha? na página de login para receber um código de verificação por telefone, mensagem de texto ou e-mail. Para fazer isso, o Google precisa do número de telefone e do endereço de e-mail de recuperação da conta.

Reunir informações para a redefinição de senhas

Se um superadministrador não puder redefinir a senha usando as opções de recuperação por e-mail ou telefone e nenhum outro superadministrador estiver disponível para fazer isso, ele deverá entrar em contato com o Suporte do Google.

Para verificar a identidade, o Google pede estas informações sobre a conta da organização:

  • A data em que a conta foi criada
  • O endereço de e-mail secundário original associado à conta (e-mail usado na inscrição)
  • O número de pedido do Google associado à sua conta (se aplicável)
  • O número de contas de usuário criadas
  • O endereço de cobrança vinculado à conta
  • O tipo de cartão de crédito utilizado e os últimos quatro dígitos dele

O Google também pede para o administrador verificar a propriedade de DNS do domínio. Portanto, o administrador precisa ter as credenciais para editar as configurações de DNS do domínio no registrador.

Inscrever uma chave de segurança adicional

Os administradores devem inscrever mais de uma chave de segurança para a conta de administrador e armazená-las em um local seguro. Se a chave de segurança principal for perdida ou roubada, ele ainda poderá fazer login na conta.

Salvar códigos alternativos com antecedência

Se um administrador perder a chave de segurança ou o smartphone (onde recebe um código de verificação da 2SV ou o prompt do Google), ele poderá usar um código alternativo para fazer login.

Os administradores devem gerar e imprimir os códigos alternativos, caso eles sejam necessários. Mantenha esses códigos em um local seguro.

Configurar um administrador adicional

Se um administrador não conseguir fazer login com a conta de administrador, outro administrador poderá gerar um código alternativo para ele poder fazer login usando a verificação em duas etapas.

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.