Verificação em duas etapas

Implantar a verificação em duas etapas

Você e seus usuários desempenham papéis importantes na configuração da verificação em duas etapas.

Etapa 1: notificar os usuários sobre a implantação da verificação em duas etapas (obrigatória)

Antes de implantar a verificação em duas etapas, comunique os planos da sua empresa aos usuários:

  • Descreva a verificação em duas etapas e por que sua empresa está adotando esse recurso.
  • Indique se ela é opcional ou obrigatória.
  • Se necessário, informe a data em que os usuários precisam ativar a verificação em duas etapas.
  • Indique qual método de verificação em duas etapas é obrigatório ou recomendado.

Veja mais detalhes em Práticas recomendadas para a verificação em duas etapas.

Etapa 2: configurar a verificação em duas etapas básica (obrigatória)

Em seguida, permita que os usuários ativem a verificação em duas etapas. Por padrão, os usuários podem ativar a verificação em duas etapas e usar qualquer método de verificação. A verificação em duas etapas fica desativada por padrão nas contas do G Suite criadas antes de dezembro de 2016.

Como aplicar as configurações da verificação em duas etapas

Você pode personalizar as configurações da verificação em duas etapas para unidades organizacionais e grupos de exceção (um grupo de usuários dentro da unidade organizacional). Por exemplo, você pode exigir chaves de segurança para uma equipe pequena na unidade organizacional "Vendas".

Como os grupos de exceção funcionam

  • Você pode atribuir um grupo de exceção a uma unidade organizacional.
  • Os usuários no grupo de exceção precisam pertencer à unidade organizacional.
  • As configurações da verificação em duas etapas se aplicam aos usuários do grupo de exceção (e não a endereços de grupos ou grupos aninhados).
  • Crie os grupos no Admin Console, na API Groups ou no Directory Sync (não no Grupos do Google).

Para facilitar a identificação, inclua a unidade organizacional no nome dos grupos de exceção (por exemplo, exgrp_ nome_da_UO).

 

Permitir que os usuários ativem a verificação em duas etapas
  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse SegurançaeVerificação em duas etapas.

  3. À direita, selecione uma unidade organizacional ou um grupo de exceção.
  4. Para permitir que os usuários ativem a verificação em duas etapas e utilizem qualquer método de verificação, mas ainda não exigir esse recurso:
    • Marque Permitir que os usuários ativem a verificação em duas etapas.
    • Selecione Aplicação > Desativado.
  5. Clique em Salvar.
Orientar seus usuários a se inscrever na verificação em duas etapas
  1. Peça para os usuários seguirem as instruções em Ativar a verificação em duas etapas para se inscreverem na verificação em duas etapas.
  2. Informe como eles podem se inscrever nos métodos de verificação em duas etapas:
Acompanhar a inscrição dos usuários

Use relatórios para avaliar e acompanhar a inscrição dos seus usuários na verificação em duas etapas.

  • Verifique a inscrição, o status de aplicação e o número de chaves de segurança dos usuários. Acesse Relatórios > Relatórios de usuário > Segurança (clique em Configurações "" e Configurações para selecionar "Chaves de segurança"). Saiba mais
  • Verifique as configurações e o status (em tempo real) de um usuário. Saiba mais
  • Veja um resumo das tendências de inscrição.   Acesse Relatórios > Relatórios de apps > Contas. Saiba mais

  • Identifique as unidades organizacionais e os grupos que não usam a verificação em duas etapas. Saiba mais
     

Etapa 3: aplicar a verificação em duas etapas (opcional)

Verifique se os usuários estão inscritos na verificação em duas etapas antes de ativar a aplicação. Os usuários que não estiverem inscritos não poderão fazer login nas contas.

Facilitar a transição para uma política de aplicação

Quando você exige a verificação em duas etapas, os usuários sem métodos compatíveis são bloqueados nas contas quando as sessões ativas expiram. Por exemplo, isso acontece quando você muda de qualquer método de verificação em duas etapas para chaves de segurança.Você precisará ajudar o usuário a recuperar a conta para que ele possa fazer login.

Informar seus planos de aplicação da verificação em duas etapas

Informe seus planos e a data da aplicação antes de definir uma política. Permita que os usuários tenham um tempo para adicionar um método de verificação em duas etapas. Para novos funcionários, defina um período de inscrição de novo usuário.

Se os usuários não respeitarem a data de aplicação

É possível que alguns usuários não definam um método de verificação em duas etapas até a data de aplicação.

Você pode permitir que esses usuários tenham um tempo extra para se inscrever, colocando-os em um grupo de exceção em que a verificação em duas etapas não é exigida. Embora essa alternativa permita que seus usuários façam login, ela não é recomendada como prática padrão. Saiba como evitar bloqueios de conta quando a verificação em duas etapas é aplicada.

Escolher um método de verificação em duas etapas para aplicar

Quando você aplica a verificação em duas etapas, o método padrão é "Indiferente". Considere o uso de chaves de segurança, que são o método mais seguro. Saiba mais sobre as Práticas recomendadas para a verificação em duas etapas

Métodos de aplicação

  • Indiferente: os usuários podem definir qualquer método de verificação em duas etapas.
  • Tudo, exceto códigos de verificação por SMS ou chamada telefônica: os usuários podem configurar qualquer método de verificação em duas etapas, exceto usar o smartphone para receber códigos de verificação da verificação em duas etapas.
  • Apenas a chave de segurança: os usuários precisam configurar uma chave de segurança.

Considerações ao aplicar estes métodos:

Tudo, exceto códigos de verificação por SMS ou chamada telefônica

Se você permite o uso de qualquer método de verificação em duas etapas, provavelmente há usuários que usam mensagens de texto e chamadas de voz como o único método. Para evitar que esses usuários percam o acesso às contas:

  • Antes de ativar a aplicação, peça para os usuários começarem a usar outro método de verificação em duas etapas. Informe também que eles não poderão receber códigos de verificação da verificação em duas etapas em smartphones após a data de aplicação.
  • Use o evento de atividade de auditoria de login login_verification para rastrear os usuários que fazem login com códigos de verificação da verificação em duas etapas recebidos por mensagem de texto ou chamada de voz. Quando o parâmetro login_challenge_method tem o valor idv_preregistered_phone, o usuário foi autenticado com um código de verificação recebido por mensagem de texto ou chamada de voz.

Apenas a chave de segurança

Antes de aplicar chaves de segurança, leia os Relatórios da conta para encontrar usuários que configuraram chaves de segurança (os dados do relatório podem ter um atraso de até 48 horas).Para ver em tempo real o status da verificação em duas etapas de cada usuário, consulte Gerenciar configurações de segurança do usuário.

Permitir códigos de segurança: com os códigos de segurança, os usuários podem realizar tarefas quando as chaves de segurança não são compatíveis. Como os códigos não são tão seguros quanto as chaves de segurança na verificação em duas etapas, só permita-os para os usuários que precisam acessar navegadores, dispositivos ou apps não compatíveis com chaves de segurança.

Os códigos de segurança são diferentes dos gerados uma única vez por apps como o Google Authenticator. Para gerar um código de segurança, um usuário precisa de um dispositivo compatível com chaves de segurança. É preciso tocar na chave de segurança para gerar o código. Os códigos de segurança são válidos por cinco minutos.

Por exemplo: Patrícia usa um app de finanças que só funciona em um navegador mais antigo e não é compatível com chaves de segurança.

  1. Patrícia abre o navegador e tenta fazer login no app de finanças.
  2. Ela segue as instruções para receber um código de segurança gerado uma única vez em um dispositivo compatível com chaves de segurança.
  3. Em seguida, ela abre o Chrome no laptop e faz login na Conta do Google. Se esta for a primeira vez que ela faz login na Conta do Google nesse navegador, talvez seja necessário digitar a chave de segurança.
  4. Ela acessa https://g.co/sc.
  5. Patrícia toca na chave de segurança para gerar o código. Ela copia o código de segurança e o utiliza para fazer login no app no navegador.

Adicionar chaves de segurança para um usuário: se o usuário não estiver inscrito na verificação em duas etapas, a inscrição será feita automaticamente quando você inscrever uma chave de segurança para o usuário. Veja mais informações em Gerenciar configurações de segurança do usuário.

Ativar a aplicação

Selecione um método e uma configuração de aplicação.

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse SegurançaeVerificação em duas etapas.

  3. À direita, selecione uma unidade organizacional ou um grupo de exceção.
  4. Clique em Permitir que os usuários ativem a verificação em duas etapas.
  5. Em Aplicação, escolha quando a verificação em duas etapas começará a ser aplicada.
    • Ativado: começa imediatamente.
    • Ativar a aplicação a partir da data: selecione a data de início. Os usuários veem lembretes para se inscrever na verificação em duas etapas ao fazer login.
  6. Defina o "Período de inscrição de novos usuários".

    Isso permite que os novos funcionários tenham tempo para se inscrever antes que a aplicação da verificação em duas etapas entre em vigor.Durante esse período, os usuários poderão fazer login apenas com as senhas.

    Selecione um período de um dia a seis meses. Esse é o tempo que os novos usuários têm após o primeiro login para se inscreverem na verificação em duas etapas.
  7. Na configuração Frequência, clique em Permitir que o usuário confie no dispositivo(opcional).

    Isso permite que os usuários evitem a repetição da verificação em duas etapas em dispositivos confiáveis. Na primeira vez que um usuário fizer login em um novo dispositivo, ele poderá marcar uma caixa para confiar nesse dispositivo. O dispositivo só exibirá a verificação em duas etapas novamente se o usuário limpar os cookies ou revogar o dispositivo ou você redefinir os cookies de login do usuário.

    Só faça isso caso seus usuários utilizem vários dispositivos frequentemente. Se você não permitir dispositivos confiáveis, os usuários precisarão fazer a verificação em duas etapas sempre que fizerem login.

Opções para chaves de segurança

Adicione um método de verificação extra caso os usuários não tenham acesso à chave de segurança ou precisem fazer login em um app que não seja compatível com chaves de segurança.

  1. Defina o Período de carência da suspensão da política de verificação em duas etapas.

    Você pode permitir que os usuários façam login com um código de verificação extra (útil quando um usuário perde a chave de segurança). Selecione a duração desse período de carência, que começa quando você gera o código de verificação.Saiba mais

  2. Em Opções de código de segurança, escolha se o usuário pode fazer login com um código de segurança.
    • Não permitir que os usuários gerem códigos de segurança: os usuários não podem gerar códigos de segurança. Esse é o padrão se você se inscreveu no G Suite em 20 de novembro de 2019.
    • Permitir códigos de segurança sem acesso remoto: os usuários podem gerar códigos de segurança e usá-los no mesmo dispositivo ou na mesma rede local (NAT ou LAN). Esse é o padrão se você se inscreveu no G Suite em 20 de novembro de 2019 ou após essa data.
    • Permitir códigos de segurança com acesso remoto: os usuários podem gerar códigos de segurança e usá-los em outros dispositivos ou outras redes, por exemplo, ao acessar um servidor remoto ou uma máquina virtual.
Isso foi útil?
Como podemos melhorá-lo?