Verificação em duas etapas

Implantar a verificação em duas etapas

Você e seus usuários desempenham papéis importantes na configuração da verificação em duas etapas (2SV, na sigla em inglês). 

Etapa 1: notificar os usuários sobre a implantação da 2SV (obrigatória)

Antes de implantar a 2SV, comunique os planos da sua empresa aos usuários:

  • Descreva a 2SV e por que sua empresa está adotando esse recurso.
  • Indique se a 2SV é opcional ou obrigatória.
  • Se necessário, informe a data em que os usuários precisam ativar a 2SV.
  • Indique o método de 2SV exigido ou recomendado.

Etapa 2: configurar a 2SV (obrigatória)

Você seleciona uma configuração no Google Admin Console que permite aos usuários ativar a 2SV. Essa configuração é usada em toda a organização de nível superior, que pode ter vários domínios.

Nas organizações de nível superior criadas depois de dezembro de 2016, a configuração da 2SV no Admin Console fica ativada por padrão. Isso também vale para as contas criadas em organizações de nível superior mais recentes. Quando esse recurso está ativado, os usuários podem definir um método de 2SV.

Permitir que os usuários na sua organização de nível superior ativem a 2SV

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina com @gmail.com).

  2. Na página inicial do Admin console, acesse Segurança e Configurações básicas.

    Para ver "Segurança" na página inicial, talvez seja preciso clicar em Mais controles na parte inferior.

  3. Em Verificação em duas etapas, marque Permitir que os usuários ativem a verificação em duas etapas.
    Qualquer usuário na sua organização de nível superior poderá ativar a 2SV e definir um método de 2SV.
  4. No canto inferior direito, clique em Salvar.

Orientar seus usuários a se inscrever na 2SV

  1. Oriente seus usuários a se inscrever na 2SV seguindo as instruções em Ativar a verificação em duas etapas.
  2. Forneça instruções para eles se inscreverem nos métodos de 2SV:

Etapa 3: aplicar a 2SV (opcional)


A aplicação da 2SV torna esse recurso obrigatório para seus usuários. Se eles não se inscreverem na 2SV, não poderão fazer login nas contas.

Selecionar configurações avançadas de 2SV

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina com @gmail.com).

  2. Na página inicial do Admin console, acesse Segurança e Configurações básicas.

    Para ver "Segurança" na página inicial, talvez seja preciso clicar em Mais controles na parte inferior.

  3. Em Verificação em duas etapas, confirme que a opção Permitir que os usuários ativem a verificação em duas etapas está marcada. Se não estiver, marque essa opção e clique em Salvar.
  4. Clique em Acessar as configurações avançadas para aplicar a verificação em duas etapas.

Verificar a inscrição dos usuários na 2SV

Confirme que seus usuários estão inscritos na 2SV antes de aplicá-la. Os usuários que não estiverem inscritos não poderão fazer login nas contas.
  1. Na página "Configurações avançadas de segurança", em Aplicação, clique no relatório de inscrição.
  2. Analise o relatório para ver os usuários que não estão inscritos.
    Esses dados podem levar até 48 horas para serem exibidos. Veja o status da 2SV em tempo real para cada usuário em Gerenciar as configurações de segurança de um usuário.
  3. Informe os usuários que não estão inscritos que eles precisam se inscrever para não perder o acesso às contas.

Ativar a aplicação

Aplique a 2SV para os administradores e usuários específicos. Veja mais informações em Práticas recomendadas para a 2SV.

A configuração no Admin Console que permite que seus usuários ativem a 2SV é usada em toda a organização de nível superior. No entanto, você pode escolher aplicar a 2SV aos usuários em toda a organização de nível superior ou apenas àqueles em unidades organizacionais específicas.

  1. À esquerda da página "Configurações avançadas de segurança", selecione uma unidade organizacional onde você quer aplicar a 2SV.
    • Se você não selecionar uma unidade organizacional, suas configurações serão usadas em toda a organização de nível superior.
    • Se você quiser que uma unidade organizacional use as mesmas configurações da organização mãe, clique em Usar herdadas no canto superior direito.
  2. Selecione uma opção de aplicação:
    • Ativar a aplicação a partir da data: começa na data que você especificar.
    • Ativar a aplicação agora: começa imediatamente.
  3. Se você escolheu aplicar a 2SV em uma data específica, clique na data de início no calendário. Os usuários verão lembretes de inscrição na 2SV quando fizerem login.
  4. Clique em Salvar.

Impedir que os novos usuários percam o acesso às contas

Quando você aplicar a 2SV, permita que os novos funcionários tenham tempo para se inscrever. Você pode fazer isso definindo um período de inscrição para novos usuários. Durante esse período, os usuários poderão fazer login apenas com as senhas deles.
  1. Na página "Configurações avançadas de segurança", ao lado de Período de inscrição de novos usuários, selecione um período de um dia a seis meses.
    Esse é o tempo que os novos usuários têm após o primeiro login para se inscreverem na 2SV.
  2. Clique em Salvar.

Selecionar um método de 2SV 

Considere o uso de chaves de segurança, que são o método de 2SV mais seguro. Veja mais informações em Práticas recomendadas para a 2SV.

  1. Na página "Configurações avançadas de segurança", selecione uma opção em Métodos de verificação em duas etapas permitidos:
    • Indiferente: os usuários podem definir qualquer método de 2SV.
    • Tudo, exceto códigos de verificação por SMS ou chamada telefônica: os usuários podem configurar qualquer método de 2SV, exceto usar o smartphone para receber códigos de verificação da 2SV.
    • Apenas a chave de segurança: os usuários precisam configurar uma chave de segurança.
  2. Clique em Salvar.
Facilitar a transição para uma política de aplicação 

Quando você exige a 2SV, os usuários sem métodos de 2SV compatíveis perdem o acesso às contas quando as sessões ativas expiram. Você precisará ajudar esses usuários a recuperar as contas para poderem fazer login. Veja alguns exemplos:

  • Você está mudando de uma política de 2SV opcional para a 2SV obrigatória.
  • Você exige a 2SV, mas permite que os usuários escolham qualquer método. Você está mudando para permitir qualquer método, exceto o uso de smartphones para receber códigos de verificação da 2SV por mensagem de texto ou chamada de voz.
  • Você está mudando de uma política de 2SV opcional, que permite qualquer método ou que só não permite mensagens de texto ou chamada de voz e exigirá chaves de segurança como o único método de 2SV.

Informar seus planos de aplicação da 2SV

Informe seus planos e a data da aplicação antes de definir uma política. Assim, os usuários terão tempo para adicionar um método de 2SV. Para os novos funcionários, defina um período de inscrição como descrito em "Impedir que os novos usuários percam o acesso às contas".

Se os usuários não respeitarem a data de aplicação

É possível que alguns usuários não definam um método de 2SV apropriado até a data de aplicação. Você pode permitir que esses usuários tenham um tempo extra para se inscrever, colocando-os em um grupo de exceção em que a 2SV não é exigida até a escolha de um método. Saiba mais em Mover usuários quando a verificação em duas etapas é aplicada.

Embora essa alternativa permita que seus usuários façam login, ela não é recomendada como prática padrão porque as contas não serão protegidas pela 2SV enquanto os usuários estiverem no grupo de exceção.

Aplicar "Tudo, exceto códigos de verificação por SMS ou chamada telefônica"

Se você permite o uso de qualquer método de 2SV, provavelmente há usuários que usam mensagens de texto e chamadas de voz como o único método. Os usuários não poderão fazer login com um número de telefone que já utilizaram para receber códigos de verificação da 2SV por mensagem de texto ou chamada de voz. Eles também não poderão adicionar novos números de telefone.

Para evitar que esses usuários percam o acesso às contas:

  • Antes de definir essa política, informe que os usuários precisam adicionar e começar a usar outro método de 2SV. Informe também que eles não poderão receber códigos de verificação da 2SV em smartphones após uma data de aplicação específica.
  • Use o evento de atividade de auditoria de login login_verification para rastrear os usuários que fazem login com códigos de verificação da 2SV recebidos por mensagem de texto ou chamada de voz. Quando o parâmetro login_challenge_method tem o valor idv_preregistered_phone, é porque o usuário foi autenticado com um código de verificação recebido por mensagem de texto ou chamada de voz.

Exigir "Apenas a chave de segurança"

Antes de aplicar esta política, analise as configurações de segurança para verificar se os usuários configuraram as chaves de segurança:

  • Em Apenas a chave de segurança, clique em os usuários registraram chaves de segurança para gerar uma lista dos usuários.
  • Clique em um usuário na lista e veja as configurações.

Permitir códigos alternativos quando os usuários perderem as chaves de segurança

Se você aplicar chaves de segurança como o único método de 2SV aceito e um usuário perder a chave de segurança, essa pessoa precisará de um método alternativo de login enquanto providencia uma nova chave. Você pode permitir que os usuários utilizem códigos alternativos durante um período de carência especificado.
  1. Na página "Configurações avançadas de segurança", ao lado de Período de carência da suspensão da política de verificação em duas etapas, selecione um período de um dia a uma semana.
    O período de carência começa quando você gera os códigos alternativos.
  2. Clique em Salvar.

Permitir que os usuários evitem a repetição da 2SV em dispositivos confiáveis

Só faça isso se seus usuários utilizarem vários dispositivos frequentemente.

  1. Na página "Configurações avançadas de segurança", selecione uma opção em Frequência da verificação em duas etapas:
    • Permitir que o usuário confie no dispositivo na verificação em duas etapas: na primeira vez que um usuário fizer login em um novo dispositivo, ele poderá marcar uma caixa para confiar nesse dispositivo e ignorar a 2SV. O dispositivo só exibirá a 2SV novamente se o usuário limpar os cookies, você redefinir os cookies de login do usuário ou ele revogar o dispositivo na conta.
    • Não permitir que o usuário confie no dispositivo na verificação em duas etapas: o usuário precisará fazer a 2SV sempre que fizer login.
  2. Clique em Salvar.

Etapa 4: gerenciar as chaves de segurança (opcional)

Adicionar uma chave de segurança para um usuário

Você pode adicionar uma chave de segurança a uma conta de usuário. Se o usuário não estiver inscrito na 2SV, ele será inscrito automaticamente quando você inscrever uma chave de segurança para ele. Veja mais informações em Gerenciar as configurações de segurança de um usuário.

 

Este artigo foi útil para você?
Como podemos melhorá-lo?