Notificação

A Duet AI agora se chama Gemini para Google Workspace. Saiba mais

Controlar o acesso a apps com base no contexto do usuário e do dispositivo

Usar o acesso baseado no contexto com grupos de configuração

Com os grupos de configuração, você pode aplicar níveis de acesso com base no contexto a grupos de usuários em vez de a unidades organizacionais. Os grupos de configuração podem incluir usuários de qualquer unidade organizacional na sua empresa. Por exemplo, você pode permitir que uma equipe de prestadores de serviço acesse o Gmail apenas na sua rede corporativa.

Como os grupos de configuração funcionam

  • Os grupos de configuração podem conter qualquer usuário da organização. Além disso, você pode criar um grupo de configuração que sirva como contêiner para os níveis de acesso, depois adicionar seus grupos de usuários (aninhados).

  • Um usuário pode pertencer a vários grupos de configuração, mas as unidades organizacionais não. Você define a prioridade dos grupos de configuração, e o usuário recebe a configuração do grupo com a prioridade mais alta a que ele pertence.

  • Em um app, o nível de acesso de um usuário ao grupo sempre modifica o nível de acesso da unidade organizacional.

  • Se um grupo de configuração não especificar um nível de acesso para um app, o app usará o nível de acesso definido pela unidade organizacional do usuário.

Criar grupos de configuração para acesso com base no contexto

Abrir tudo | Fechar tudo

Os grupos de configuração funcionam de forma um pouco diferente no acesso baseado no contexto em comparação com outras configurações do Google Workspace. Informações e dicas para você criar grupos e políticas:

Opções para grupos de configuração

Geralmente, você define os níveis de acesso para as unidades organizacionais e depois determina os níveis de acesso personalizados para os grupos de configuração. Por exemplo, você pode ter grupos de configuração com "Acesso aberto" ou "Acesso bloqueado". Assim é possível conceder ou limitar rapidamente o acesso de usuários específicos. 

Geralmente, você usa uma combinação de grupos de configuração:  

Usar os grupos de usuários já existentes 

Você define o nível de acesso para cada app (Gmail ou Drive, por exemplo) no grupo de usuários. Se um usuário pertencer a vários grupos, defina qual deles determinará as configurações desse usuário (descritas na seção Prioridade).

A aplicação de níveis de acesso diretamente aos grupos de usuários é uma boa opção para:

  • teste de acesso com base no contexto;
  • gerenciamento de acesso de grupos específicos de usuários, como a equipe de TI ou a equipe de um projeto a distância.
  • Organizações com menos de 50 usuários ou com poucos níveis de acesso. Você não precisa criar mais grupos e pode ajustar as configurações para cada um deles.

Criar grupos de configuração com base nos níveis de acesso

Também é possível atribuir níveis de acesso a grupos. Você cria um grupo de configuração e atribui níveis de acesso a um ou mais apps. Em seguida, você adiciona grupos de usuários como membros do grupo de configuração.

Organizações maiores podem considerar essa abordagem útil para gerenciar políticas e prioridades de grupos de acesso (descritas abaixo).

Como funciona a prioridade com níveis de acesso

Quando um usuário pertence a vários grupos de configuração, você define qual deles tem prioridade para determinar o acesso do app.

No Admin Console, os grupos são listados da prioridade mais alta para a mais baixa. Um novo grupo de configuração sempre tem a prioridade mais baixa e é adicionado ao fim de uma lista de grupos de configuração.

 

Prioridade para acesso com base no contexto

Um usuário recebe as configurações do app do grupo de maior prioridade a que ele pertence. Se o grupo não tiver um nível de acesso para um app específico, será usado o nível de acesso do próximo grupo de prioridade mais alta do usuário e assim por diante.

No Admin Console, você pode verificar qual grupo ou unidade organizacional determinou o nível de acesso de um usuário ao app. No exemplo abaixo, o grupo Segurança do Drive definiu o acesso ao Drive do usuário.

Apps do usuário Níveis de acesso Herdado de
Calendar icon Agenda Rede da empresa Unidade organizacional: vendas
Drive icon Drive Rede da empresa, Segurança do dispositivo Grupo: Segurança do Drive
Gmail icon Gmail Segurança do dispositivo Unidade organizacional: vendas
Google Vault icon. Google Vault <nenhum> <nenhum>
 

Para ter um controle preciso, você pode usar grupos e personalizar os níveis de acesso de cada app. Por exemplo:

 
Apps do usuário Níveis de acesso Herdado de
Calendar icon Agenda Rede da empresa Unidade organizacional: vendas
Drive icon Drive Rede da empresa, Segurança do dispositivo Grupo: Segurança do Drive
Gmail icon Gmail Segurança do dispositivo, Geo Canadá Grupo: América do Norte
Google Vault icon. Google Vault Dispositivo restrito, Rede da empresa  Grupo: Investigador do Vault

Como aplicar grupos de configuração 

  • Recomendamos definir os grupos de configuração fundamentais ou restritos com prioridade alta. Por exemplo, seu grupo de prioridade máxima pode ser um grupo de "Acesso urgente" que modifica todos os grupos com acesso limitado. 
     

  • Os níveis de acesso não são adicionados aos grupos de um usuário. Neste exemplo, um usuário pertence a três grupos de usuários, mas apenas o grupo de configuração de maior prioridade "Dispositivo" define o nível de acesso. 
     

 

Como planejar e criar grupos de configuração

O planejamento da estrutura de grupos de configuração provavelmente é a etapa mais demorada. 

Como nomear e pesquisar grupos

Defina um padrão de nomenclatura de grupo para facilitar a pesquisa, a priorização e a auditoria. Por exemplo, adicione um prefixo como caa (context-aware access, em inglês) para indicar o grupo de configuração com base no contexto. Use também uma casa decimal para não alterar os nomes dos grupos ao adicionar um grupo de configuração.

  1. Pesquisar por endereço de grupo
  2. Acessar lista de grupos
     
     
     
  • Pesquisar um grupo: é recomendável definir um padrão de nomenclatura que inclua o nome da configuração e o número da prioridade, por exemplo:

caa_p0.0_acesso_irrestrito@example.com
caa_p1.0_acesso_bloqueado@example.com
caa_p3.0_Dispositivo_Gmail_IP@example.com
caa_p3.1_Gmail_IP@example.com

  • Visualizar os grupos: o painel "Grupos" exibe o nome do grupo (máximo de 37 caracteres) na ordem de prioridade. Passar o cursor sobre um grupo mostra o nome completo. Por exemplo: 

CAA p0.0 - Acesso irrestrito a todos os apps
CAA p1.0 - Acesso bloqueado
CAA p3.0 - Gmail IP corp e segurança do dispositivo
CAA p3.1 - Gmail IP corp

Ordenar grupos

Para acompanhar a prioridade e as configurações:

  • Você pode colocar com a prioridade mais alta os grupos que se aplicam ao menor número de usuários ou definir políticas fundamentais (como "Acesso bloqueado" ou "Acesso total").
  • Considere a prioridade na estrutura de grupo e observe grupos aninhados em muitos níveis, o que pode dificultar o controle das configurações.

Criar grupos

É preciso usar os grupos criados no Admin Console, na API Directory ou no Google Cloud Directory Sync. Os grupos criados no Grupos do Google não podem ser usados como grupos de configuração. O Admin Console não mostra se um grupo foi criado no Grupos do Google.

Você pode gerenciar o grupo de configuração em qualquer ferramenta. É possível definir permissões restritas para adicionar/excluir usuários, desativar postagens no grupo ou impedir que os usuários saiam do grupo (disponível apenas na API Groups).

Definir grupos de configuração

Abrir tudo | Fechar tudo

Antes de começar: defina os níveis de acesso com base no contexto e crie seus grupos de configuração (de preferência com uma ou duas contas de teste).

Etapa 1. Aplicar um grupo de configuração

Você precisa de privilégios de administrador para Grupos, Unidades organizacionais (nível superior) e Gerenciamento do nível de acesso de segurança de dados e Gerenciamento de regras.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisAcesso baseado no contexto.
  3. Clique em Atribuir níveis de acesso para ver a lista de apps.
  4. Na seção Acesso baseado no contexto, clique em Grupos.
  5. Escolha uma opção:
    • Clique em um app. Todos os grupos de configuração com um nível de acesso atribuído ao seu app são listados em ordem de prioridade.
    • Clique em Pesquisar um grupo para ver uma lista com todos os grupos, não apenas os grupos de configuração. É possível inserir texto para filtrar os resultados.
  6. Clique no grupo. A tabela de aplicativos lista todos os aplicativos com as atribuições de nível de acesso deles.
     
    • Se você não encontrar o grupo, é porque talvez ele tenha sido criado no Grupos do Google. Os grupos de configuração precisam ser criados no Admin Console, na API Directory ou no Google Cloud Directory Sync.
       
    • Primeiro, adicione os grupos de configuração da prioridade mais alta para a mais baixa. Quando você adiciona um grupo, ele é colocado na prioridade mais baixa.
  7. Clique em um ou mais apps e em Atribuir. 
  8. Selecione os níveis de acesso do app no grupo e clique em Salvar. Por padrão, um novo grupo não tem níveis de acesso atribuídos.



    Para organizações com vários tipos de licenças do Google Workspace: os níveis de acesso do grupo só se aplicam a usuários atribuídos a uma edição do Google Workspace que inclua o controle de acesso com base no contexto.
Etapa 2. Verificar os níveis de acesso de um usuário

Você precisa de privilégios de administrador para Grupos, Unidades organizacionais (nível superior) e Gerenciamento de nível de acesso de segurança de dados e Gerenciamento de regras.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisAcesso baseado no contexto.
  3. No Admin Console, acesse a página de configurações do app.
  4. No canto superior esquerdo, clique em Usuários.
  5. Clique em Selecionar um usuário e digite o endereço do usuário (não o nome).
  6. Selecione o usuário para ver as configurações do app. A coluna Configuração herdada de mostra o grupo de configuração ou a unidade organizacional que determinou as configurações do usuário.
  7. Passe o cursor sobre um app e clique em Visualizar para ver detalhes sobre os níveis de acesso do usuário.

Observação: quando você visualiza uma unidade organizacional, os níveis herdados são baseados apenas na configuração de uma unidade organizacional, não nos grupos de configuração.

Remover um grupo de configuração

Você precisa de privilégios de administrador para Grupos, Unidades organizacionais (nível superior) e Gerenciamento de nível de acesso de segurança de dados e Gerenciamento de regras.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisAcesso baseado no contexto.
  3. Clique em Atribuir níveis de acesso para ver a lista de apps.
  4. À esquerda, clique em Grupos. Os grupos de configuração são listados em ordem de prioridade.
  5. Clique no grupo a ser removido.
  6. Primeiro, cancele a atribuição de todos os níveis de acesso de todos os aplicativos no grupo. No painel Apps, verifique cada app individualmente para confirmar que todos os níveis de acesso foram atribuídos.


     
  7. Clique em Atribuir.
  8. Clique em Desmarcar todos
  9. Clique em Salvar.
O grupo de configuração não aparece mais na lista Grupos. As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais
Editar um grupo de configuração

Você precisa de privilégios de administrador para Grupos, Unidades organizacionais (nível superior) e Gerenciamento de nível de acesso de segurança de dados e Gerenciamento de regras.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisAcesso baseado no contexto.
  3. Clique em Atribuir níveis de acesso para ver a lista de apps.
  4. À esquerda, clique em Grupos. Os grupos de configuração são listados em ordem de prioridade.
  5. Clique no grupo para editar.
  6. À direita, selecione apps para editar, adicionar ou remover.
  7. Clique em Transferir.
  8. Atualize as atribuições de nível para o grupo. 
  9. Clique em Salvar.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Solução de problemas

O grupo de configuração não aparece na lista "Grupos"

  • O grupo talvez tenha sido criado no Grupos do Google. Tente criar um grupo no Admin Console.
  • Pesquise o endereço de e-mail do grupo em vez do nome.
  • Atualize a página de configuração. As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais
  • Verifique se você tem privilégios de administrador para o Grupos.

Um usuário não tem o nível de acesso correto

  • Verifique a associação do usuário a grupos. As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais
  • Encontre o grupo de configuração que determina as configurações do usuário. Se o usuário pertence a vários grupos de configuração, talvez você precise alterar a prioridade do grupo ou a associação do usuário ao grupo.
  • Talvez o usuário não tenha a licença de produto necessária para o recurso. O acesso baseado no contexto está disponível em algumas edições do Google Workspace.
  • Se o usuário não puder acessar um app, talvez o nível de acesso do app seja "excluído". Marque remover um nível de acesso excluído.
Avaliar alterações no registro de auditoria

Analise estes eventos no Registro de auditoria do administrador para ver as alterações nas configurações do grupo:

EVENTO: alteração das atribuições do nível de acesso com base no contexto de um app específico

Registra quando você aplica ou remove um grupo de configuração. O evento usa o nome do grupo , para que você possa usar um padrão de nomenclatura semelhante para o nome e o endereço do grupo.

Os dados incluídos em um evento de grupo:

As atribuições de nível de acesso foram alteradas de []
para [níveis de acesso]. (application_name: {app}, group_name: {grupo de configuração})

Por exemplo, você aplica o acesso local do grupo de configuração CAA.02  a um aplicativo:

As atribuições de nível de acesso foram alteradas de [] para [IP da empresa, Dispositivo].
(application_name: {GMAIL}, group_name: {CAA.02 acesso local} 

Quando você remove o grupo de configurações de um app:

As atribuições de nível de acesso foram alteradas de [IP da empresa, Dispositivo ] para [].
(application_name: {GMAIL}, group_name: {CAA.02 Acesso local} 

Entender as unidades organizacionais e a herança de grupos e os grupos de configuração

Se você alterar um nível de acesso local em uma unidade organizacional filha, ela vai ter apenas os níveis de acesso aplicados localmente e não vai herdar os da organização mãe.

Se você remover todos os níveis de acesso atribuídos localmente para restaurar os níveis de acesso herdados originalmente, a organização filha vai ter somente os níveis de acesso herdados.

Por exemplo, se houver três níveis de acesso atribuídos a um app na unidade organizacional de nível superior, eles vão ser herdados pelo app em uma organização filha se ela não tiver localização atribuição. Se você adicionar um nível de acesso apenas à organização filha, esse será o único nível de acesso aplicado a essa organização.

Modificar as atribuições de nível de acesso herdado com uma política nula

Digamos que você não queira bloquear o acesso dos usuários em uma organização filha, ou seja, não queira atribuir níveis de acesso. Crie um nível de acesso chamado “Qualquer” com duas condições de sub-rede de IP e una as condições com a lógica "OR":

  • Intervalo de sub-rede IPv4 0.0.0.0/0
    ou
  • Intervalo de sub-rede IPv6 0::/0

Um usuário na organização terá acesso em qualquer endereço IPv4 ou IPv6.

Modificar atribuições de nível de acesso com grupos de configuração

Você pode usar grupos de configuração para atribuir níveis de acesso a grupos de usuários, e não a unidades organizacionais. O nível de acesso do grupo de um usuário sempre substitui o nível de acesso da unidade organizacional do usuário. Os grupos podem incluir usuários de qualquer unidade organizacional na sua conta.

Por exemplo, um usuário pertence a uma unidade organizacional e ao Grupo 1. A unidade organizacional é ParentOU, que tem o nível de acesso X atribuído ao Gmail e ao Google Agenda. Não há atribuição de nível de acesso para o Group1 do Gmail. Há um nível de acesso Y atribuído ao Grupo 1 do Google Agenda. Nesse caso, o usuário tem o nível de acesso X atribuído ao Gmail (herdado) e Y atribuído ao Google Agenda (pela substituição da política local).

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Postar na Comunidade de Ajuda Receber respostas dos membros da comunidade
Fale conosco Conte mais sobre o problema para podermos ajudar você
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
2446270156469384184
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false