Verificação em duas etapas

Implantar a verificação em duas etapas

Você e seus usuários desempenham papéis importantes na configuração da verificação em duas etapas (2SV, na sigla em inglês). 

Etapa 1: notificar os usuários sobre a implantação da 2SV (obrigatória)

Antes de implantar a 2SV, comunique os planos da sua empresa aos usuários:

  • Descreva a 2SV e por que sua empresa está adotando esse recurso.
  • Indique se a 2SV é opcional ou obrigatória.
  • Se necessário, informe a data em que os usuários precisam ativar a 2SV.
  • Indique o método de 2SV exigido ou recomendado.

Etapa 2: configurar a 2SV (obrigatória)

Você seleciona uma configuração no Google Admin Console que permite aos usuários ativar a 2SV. Essa configuração é usada em toda a organização de nível superior, que pode ter vários domínios.

Nas organizações de nível superior criadas depois de dezembro de 2016, a configuração da 2SV no Admin Console fica ativada por padrão. Isso também vale para as contas criadas em organizações de nível superior mais recentes. Quando esse recurso está ativado, os usuários podem definir um método de 2SV.

Permitir que os usuários na sua organização de nível superior ativem a 2SV

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin console, acesse Segurança e Configurações básicas.

    Para ver "Segurança" na página inicial, talvez seja preciso clicar em Mais controles na parte inferior.

  3. Em Verificação em duas etapas, marque Permitir que os usuários ativem a verificação em duas etapas.
    Qualquer usuário na sua organização de nível superior poderá ativar a 2SV e definir um método de 2SV.
  4. No canto inferior direito, clique em Salvar.

Orientar seus usuários a se inscrever na 2SV

  1. Oriente seus usuários a se inscrever na 2SV seguindo as instruções em Ativar a verificação em duas etapas.
  2. Forneça instruções para eles se inscreverem nos métodos de 2SV:

Etapa 3: aplicar a 2SV (opcional)


A aplicação da 2SV torna esse recurso obrigatório para seus usuários. Se eles não se inscreverem na 2SV, não poderão fazer login nas contas.

Selecionar configurações avançadas de 2SV

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin console, acesse Segurança e Configurações básicas.

    Para ver "Segurança" na página inicial, talvez seja preciso clicar em Mais controles na parte inferior.

  3. Em Verificação em duas etapas, confirme que a opção Permitir que os usuários ativem a verificação em duas etapas está marcada. Se não estiver, marque essa opção e clique em Salvar.
  4. Clique em Acessar as configurações avançadas para aplicar a verificação em duas etapas.

Verificar a inscrição dos usuários na 2SV

Confirme que seus usuários estão inscritos na 2SV antes de aplicá-la. Os usuários que não estiverem inscritos não poderão fazer login nas contas.
  1. Na página "Configurações avançadas de segurança", em Aplicação, clique no relatório de inscrição.
  2. Analise o relatório para ver os usuários que não estão inscritos.
    Esses dados podem levar até 48 horas para serem exibidos. Veja o status da 2SV em tempo real para cada usuário em Gerenciar as configurações de segurança de um usuário.
  3. Informe os usuários que não estão inscritos que eles precisam se inscrever para não perder o acesso às contas.

Ativar a aplicação

Aplique a 2SV para os administradores e usuários específicos. Veja mais informações em Práticas recomendadas para a 2SV.

A configuração no Admin Console que permite que seus usuários ativem a 2SV é usada em toda a organização de nível superior. No entanto, você pode escolher aplicar a 2SV aos usuários em toda a organização de nível superior ou apenas àqueles em unidades organizacionais específicas.

  1. À esquerda da página "Configurações avançadas de segurança", selecione uma unidade organizacional onde você quer aplicar a 2SV.
    • Se você não selecionar uma unidade organizacional, suas configurações serão usadas em toda a organização de nível superior.
    • Se você quiser que uma unidade organizacional use as mesmas configurações da organização mãe, clique em Usar herdadas no canto superior direito.
  2. Selecione quando a 2SV começará a ser aplicada:
    • Ativar a aplicação a partir da data: começa na data que você especificar.
    • Ativar a aplicação agora: começa imediatamente.
  3. Se você escolheu aplicar a 2SV em uma data específica, clique na data de início no calendário. Os usuários verão lembretes de inscrição na 2SV quando fizerem login.
  4. Clique em Salvar.

Impedir que os novos usuários percam o acesso às contas

Quando você aplicar a 2SV, permita que os novos funcionários tenham tempo para se inscrever. Você pode fazer isso definindo um período de inscrição para novos usuários. Durante esse período, os usuários poderão fazer login apenas com as senhas deles.
  1. Na página "Configurações avançadas de segurança", ao lado de Período de inscrição de novos usuários, selecione um período de um dia a seis meses.
    Esse é o tempo que os novos usuários têm após o primeiro login para se inscreverem na 2SV.
  2. Clique em Salvar.

Etapa 4: selecionar as opções de aplicação (opcional)

Selecionar um método de 2SV 

Quando você aplica a 2SV, o método padrão é "Indiferente". Considere o uso de chaves de segurança, que são o método mais seguro. Veja mais informações em Práticas recomendadas para a 2SV.

  1. Na página "Configurações avançadas de segurança", selecione uma opção em Métodos de verificação em duas etapas permitidos:
    • Indiferente: os usuários podem definir qualquer método de 2SV.
    • Tudo, exceto códigos de verificação por SMS ou chamada telefônica: os usuários podem configurar qualquer método de 2SV, exceto usar o smartphone para receber códigos de verificação da 2SV.
    • Apenas a chave de segurança: os usuários precisam configurar uma chave de segurança.
  2. Clique em Salvar.
Facilitar a transição para uma política de aplicação 

Quando você exige a 2SV, os usuários sem métodos de 2SV compatíveis perdem o acesso às contas quando as sessões ativas expiram. Você precisará ajudar esses usuários a recuperar as contas para poderem fazer login. Veja alguns exemplos:

  • Você está mudando de uma política de 2SV opcional para a 2SV obrigatória.
  • Você exige a 2SV, mas permite que os usuários escolham qualquer método. Você está mudando para permitir qualquer método, exceto o uso de smartphones para receber códigos de verificação da 2SV por mensagem de texto ou chamada de voz.
  • Você está mudando de uma política de 2SV opcional, que permite qualquer método ou que só não permite mensagens de texto ou chamada de voz e exigirá chaves de segurança como o único método de 2SV.

Informar seus planos de aplicação da 2SV

Informe seus planos e a data da aplicação antes de definir uma política. Assim, os usuários terão tempo para adicionar um método de 2SV. Para os novos funcionários, defina um período de inscrição como descrito em "Impedir que os novos usuários percam o acesso às contas".

Se os usuários não respeitarem a data de aplicação

É possível que alguns usuários não definam um método de 2SV apropriado até a data de aplicação. Você pode permitir que esses usuários tenham um tempo extra para se inscrever, colocando-os em um grupo de exceção em que a 2SV não é exigida até a escolha de um método. Saiba mais em Mover usuários quando a verificação em duas etapas é aplicada.

Embora essa alternativa permita que seus usuários façam login, ela não é recomendada como prática padrão porque as contas não serão protegidas pela 2SV enquanto os usuários estiverem no grupo de exceção.

Aplicar "Tudo, exceto códigos de verificação por SMS ou chamada telefônica"

Se você permite o uso de qualquer método de 2SV, provavelmente há usuários que usam mensagens de texto e chamadas de voz como o único método. Os usuários não poderão fazer login com um número de telefone que já utilizaram para receber códigos de verificação da 2SV por mensagem de texto ou chamada de voz. Eles também não poderão adicionar novos números de telefone.

Para evitar que esses usuários percam o acesso às contas:

  • Antes de definir essa política, informe que os usuários precisam adicionar e começar a usar outro método de 2SV. Informe também que eles não poderão receber códigos de verificação da 2SV em smartphones após uma data de aplicação específica.
  • Use o evento de atividade de auditoria de login login_verification para rastrear os usuários que fazem login com códigos de verificação da 2SV recebidos por mensagem de texto ou chamada de voz. Quando o parâmetro login_challenge_method tem o valor idv_preregistered_phone, é porque o usuário foi autenticado com um código de verificação recebido por mensagem de texto ou chamada de voz.

Exigir "Apenas a chave de segurança"

Antes de aplicar esta política, analise as configurações de segurança para verificar se os usuários configuraram as chaves de segurança:

  • Em Apenas a chave de segurança, clique em os usuários registraram chaves de segurança para gerar uma lista dos usuários.
  • Clique em um usuário na lista e veja as configurações.
Permitir códigos alternativos quando os usuários perderem as chaves de segurança
Se você aplicar chaves de segurança como o único método de 2SV aceito e um usuário perder a chave de segurança, essa pessoa precisará de um método alternativo de login enquanto providencia uma nova chave. Você pode permitir que os usuários utilizem códigos alternativos durante um período de carência especificado.
  1. Na página "Configurações avançadas de segurança", ao lado de Período de carência da suspensão da política de verificação em duas etapas, selecione um período de um dia a uma semana.
    O período de carência começa quando você gera os códigos alternativos.
  2. Clique em Salvar.
Permitir códigos de segurança quando as chaves de segurança não forem compatíveis 
Se você aplicar chaves de segurança, alguns dos seus usuários talvez tenham problemas para usar determinados apps. Não é possível usar as credenciais do Google para fazer login em apps da Web executados em plataformas não compatíveis com chaves de segurança. Essas plataformas incluem o iOS, o Safari e o Internet Explorer para dispositivos móveis. Veja alguns exemplos:
  • Um app da Web corporativo só funciona em um navegador não compatível com chaves de segurança
    Patrícia trabalha no departamento financeiro e usa um app da Web que só funciona no Internet Explorer 8.0. Com a aplicação das chaves de segurança, não é possível fazer login nesse app com a Conta do Google.
  • Configuração inicial do iPhone
    Natan trabalha no departamento de vendas e comprou um iPhone. Para configurá-lo, ele precisa fazer login na Conta do Google.  No entanto, como o Safari e o iOS para dispositivos móveis não são compatíveis com chaves de segurança, ele não pode fazer login para configurar o iPhone.

Ativar códigos de segurança

Quando uma plataforma não é compatível com chaves de segurança, você pode permitir que os usuários façam o login e a autenticação com um código de segurança gerado uma única vez. Os usuários só podem gerar esse código em um dispositivo compatível com chaves de segurança.

  1. Na página "Configurações avançadas de segurança", em Métodos de verificação em duas etapas permitidos > Apenas a chave de segurança, selecione Os usuários podem utilizar o código de segurança de https://g.co/sc em vez das chaves de segurança como verificação em duas etapas.
  2. Clique em Salvar.

Como funcionam os códigos de segurança

Os códigos de segurança são diferentes dos gerados uma única vez por apps como o Google Authenticator. Para gerar um código de segurança, um usuário precisa de um dispositivo compatível com chaves de segurança. É preciso tocar na chave de segurança para gerar o código.

Quando permitir códigos de segurança

Se você aplicar chaves de segurança, a permissão de códigos de segurança viabilizará a realização de tarefas quando as chaves de segurança não forem compatíveis. Como os códigos não são tão seguros quanto as chaves de segurança na 2SV, só permita-os para os usuários que precisam acessar plataformas ou apps não compatíveis com chaves de segurança.

Experiência do usuário

Veja como Patrícia, que trabalha no departamento financeiro, pode usar o app da Web que só funciona no Internet Explorer 8.0.

  1. Patrícia faz login no laptop com as credenciais do Google.
  2. Para autenticar a identidade, ela insere uma chave de segurança em uma porta USB ou toca em uma chave de segurança já inserida.
  3. Patrícia abre o Internet Explorer 8.0 e tenta fazer login no app de finanças.
  4. Ela segue as instruções para receber um código de segurança gerado uma única vez em um dispositivo compatível com chaves de segurança.
  5. Em seguida, Patrícia abre o Chrome no laptop e acessa https://g.co/sc.
  6. Ela toca na chave de segurança e gera um código de segurança.
  7. Depois disso, ela copia o código de segurança e o utiliza para fazer login no app da Web no Internet Explorer.

Atualmente, apenas o Chrome e o Firefox são compatíveis com chaves de segurança. Os códigos de segurança gerados uma única vez são válidos por cinco minutos.

Permitir que os usuários evitem a repetição da 2SV em dispositivos confiáveis

Só faça isso se seus usuários utilizarem vários dispositivos frequentemente.

  1. Na página "Configurações avançadas de segurança", selecione uma opção em Frequência da verificação em duas etapas:
    • Permitir que o usuário confie no dispositivo na verificação em duas etapas: na primeira vez que um usuário fizer login em um novo dispositivo, ele poderá marcar uma caixa para confiar nesse dispositivo e ignorar a 2SV. O dispositivo só exibirá a 2SV novamente se o usuário limpar os cookies, você redefinir os cookies de login do usuário ou ele revogar o dispositivo na conta.
    • Não permitir que o usuário confie no dispositivo na verificação em duas etapas: o usuário precisará fazer a 2SV sempre que fizer login.
  2. Clique em Salvar.

Etapa 4: gerenciar as chaves de segurança (opcional)

Adicionar uma chave de segurança para um usuário

Você pode adicionar uma chave de segurança a uma conta de usuário. Se o usuário não estiver inscrito na 2SV, ele será inscrito automaticamente quando você inscrever uma chave de segurança para ele. Veja mais informações em Gerenciar as configurações de segurança de um usuário.

 

Isso foi útil?
Como podemos melhorá-lo?