Práticas recomendadas de segurança para contas de administrador

Siga estas práticas recomendadas para melhorar a segurança das contas de administrador e da sua empresa.

Proteger contas de administrador

Exija a verificação em duas etapas para contas de administrador

Se alguém descobrir a senha de administrador, a verificação em duas etapas (2SV) ajudará a proteger a conta contra o acesso não autorizado. Os superadministradores precisam usar esse recurso porque as contas deles controlam o acesso a todos os dados empresariais e de funcionários da organização.

Usar chaves de segurança para a verificação em duas etapas

Existem vários métodos de 2SV, como as chaves de segurança, os prompts do Google, o Google Authenticator e os códigos alternativos. As chaves de segurança são dispositivos de hardware pequenos usados para a autenticação de dois fatores. Elas adicionam mais uma barreira de proteção contra as ameaças de phishing e são a forma mais segura de verificação em duas etapas.

Evitar o compartilhamento de uma conta de administrador
Crie uma conta de administrador identificável para cada administrador. Se você não fizer isso e várias pessoas usarem a mesma conta de administrador para fazer login no Admin Console, como admin@example.com, não será possível ver qual superadministrador realizou atividades específicas no registro de auditoria.

Gerenciar contas de superadministrador

Configurar várias contas de superadministrador

Uma empresa deve ter mais de uma conta de superadministrador, cada uma gerenciada por uma pessoa diferente. Evite compartilhar uma conta de administrador. Se uma conta for perdida ou comprometida e precisar ser recuperada, outro superadministrador poderá realizar tarefas essenciais enquanto isso.

Não usar uma conta de superadministrador para as atividades diárias

Crie duas contas para cada superadministrador: uma conta de superadministrador própria e uma conta separada para as atividades diárias.

Após fazer login como superadministrador, você poderá controlar tudo que está relacionado à conta da sua empresa. Isso inclui atividades essenciais, como o faturamento, as licenças dos usuários e o gerenciamento de outros administradores. Para restringir o acesso a esses controles, cada superadministrador deve usar uma conta separada sem privilégios de superadministrador para as atividades diárias. Além disso, como explicado anteriormente, eles não devem compartilhar a mesma conta de superadministrador. Cada superadministrador deve uma conta própria identificável.

Por exemplo, caso Maria e João sejam superadministradores, cada um deverá ter uma conta de administrador identificável e uma conta de usuário:

  • admin-maria@example.com, maria@example.com
  • admin-joao@example.com, joao@example.com

Eles só farão login em uma conta de superadministrador para fazer as tarefas específicas de superadministrador, como configurar a verificação em duas etapas ou ajudar outro administrador a recuperar a conta.

Importante: se você não fizer login com frequência na sua conta de administrador principal (configurada no Google Admin Console em Configurações da conta > Perfil > Informações de contato), perderá avisos obrigatórios de serviço importantes do Google. Garanta o recebimento desses avisos definindo a conta que você usa para as atividades diárias como um e-mail de contato secundário. Veja as instruções em Enviar notificações de faturamento e da conta para outro administrador.

Não manter uma conta de superadministrador conectada

Manter uma conta de superadministrador conectada quando você não está realizando tarefas administrativas específicas aumenta a exposição a ataques de phishing. Os superadministradores devem fazer login conforme necessário para realizar tarefas específicas e depois sair da conta.

Delegar tarefas de administrador de rotina a usuários que não são superadministradores

Você pode permitir que um administrador faça tarefas de rotina sem conceder privilégios de superadministrador. É só atribuir uma ou mais funções de administrador à conta dessa pessoa. Por exemplo, você pode conceder a um administrador permissões para criar contas de usuário e redefinir senhas, mas não para excluir uma conta.

Você pode atribuir funções de administrador predefinidas ou criar funções personalizadas com conjuntos de permissões específicos. Conceda a cada administrador acesso apenas aos recursos e às ferramentas necessários para a função.

Para começar, acesse: Sobre as funções de administrador

Monitorar a atividade nas contas de administrador

Configurar alertas por e-mail do administrador

Monitore a atividade do administrador e acompanhe os possíveis riscos à segurança configurando alertas por e-mail do administrador para determinados eventos, como tentativas de login suspeitas, dispositivos móveis comprometidos ou alterações feitas por outro administrador.

Quando você ativa um alerta para uma atividade, recebe um e-mail toda vez que essa atividade acontece.

Analisar o registro de auditoria do administrador

O registro de auditoria do administrador é outra ferramenta que monitora a atividade do administrador. Ele mostra um histórico de todas as tarefas realizadas no Google Admin Console, o administrador que realizou a tarefa, a data e o endereço IP com que o administrador fez login.

A atividade do superadministrador aparece na coluna "Descrição do evento" como _SEED_ADMIN_ROLE, seguida do nome de usuário.

Preparar-se para a recuperação da conta de administrador

Adicionar opções de recuperação às contas de administrador

Os administradores devem adicionar opções de recuperação à conta de administrador.

Se um administrador esquecer a senha da conta, ele poderá clicar no link Precisa de ajuda? na página de login para receber um código de verificação por telefone, mensagem de texto ou e-mail. Para fazer isso, o Google precisa do número de telefone e do endereço de e-mail de recuperação da conta.

Reunir informações para a redefinição de senhas

Se um superadministrador não puder redefinir a senha usando as opções de recuperação por e-mail ou telefone e nenhum outro superadministrador estiver disponível para fazer isso, ele deverá entrar em contato com o Suporte do Google.

Para verificar a identidade, o Google pede estas informações sobre a conta da organização:

  • A data em que a conta foi criada
  • O endereço de e-mail secundário original associado à conta (e-mail usado na inscrição)
  • O número de pedido do Google associado à sua conta (se aplicável)
  • O número de contas de usuário criadas
  • O endereço de cobrança vinculado à conta
  • O tipo de cartão de crédito utilizado e os últimos quatro dígitos dele

O Google também pede para o administrador verificar a propriedade de DNS do domínio. Portanto, o administrador precisa ter as credenciais para editar as configurações de DNS do domínio no registrador.

Inscrever uma chave de segurança adicional

Os administradores devem inscrever mais de uma chave de segurança para a conta de administrador e armazená-las em um local seguro. Se a chave de segurança principal for perdida ou roubada, ele ainda poderá fazer login na conta.

Salvar códigos alternativos com antecedência

Se um administrador perder a chave de segurança ou o smartphone (onde recebe um código de verificação da 2SV ou o prompt do Google), ele poderá usar um código alternativo para fazer login.

Os administradores devem gerar e imprimir os códigos alternativos, caso eles sejam necessários. Mantenha esses códigos em um local seguro.

Configurar um administrador adicional

Se um administrador não conseguir fazer login com a conta de administrador, outro administrador poderá gerar um código alternativo para ele fazer login usando a verificação em duas etapas.

Temas relacionados

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
Pesquisar na Central de Ajuda
true
73010
false