Atribuir funções administrativas específicas

Se você não quiser dar a um usuário acesso total ao Google Admin Console, poderá permitir que ele execute apenas um subconjunto de tarefas administrativas. Para isso, atribua a ele uma função de administrador. É possível atribuir mais de uma função de administrador a um usuário.

Você também pode atribuir uma função de administrador a uma conta de serviço. Por exemplo, você pode usar um administrador de conta de serviço para criar e atualizar grupos e participantes com apps não incluídos no Admin Console. A API Cloud Identity Groups é útil para isso.

Saiba mais sobre as funções de administrador

No Admin Console, os administradores só podem ver informações e realizar tarefas permitidas pelos privilégios da função. Por exemplo, se você atribuir a função predefinida "Administrador de gerenciamento de usuários", essa pessoa só vai poder ver e modificar configurações específicas de usuários que não são administradores.

Como funcionam os limites de atribuição de funções

Qualquer função pode ser aplicada a todas as unidades organizacionais. Você pode fazer até 500 atribuições de qualquer número de funções. Por exemplo, é possível atribuir uma função a 300 usuários ou contas de serviço e outra a 200 usuários ou contas de serviço.

Também é possível aplicar algumas funções a unidades organizacionais. Você pode fazer até 500 atribuições de qualquer número de funções a cada unidade organizacional. Para ver se uma função pode ser aplicada a unidades organizacionais, acesse a página de atribuição de funções do usuário e procure Editar ao lado de "Todas as unidades organizacionais". Os exemplos incluem a função predefinida "Administrador de gerenciamento de usuários" ou uma função personalizada com pelo menos um privilégio de usuário.

Se você tiver atribuído mais de 500 funções em qualquer nível antes da aplicação dos limites, recomendamos ajustar as atribuições para elas ficarem abaixo do limite.

Antes de começar

Etapa 1: revisar as funções personalizadas ou predefinidas já em uso

Para realizar essa tarefa, você precisa fazer login como um superadministrador.

Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
No Admin Console, acesse Menu ContaFunções do administrador.
Aponte para a função e escolha Ver privilégios ou Ver administradores para saber a quem ela foi atribuída.

Etapa 2: decidir o tipo de função

Você tem as seguintes opções:

Atribua uma função predefinida do sistema para realizar tarefas comuns. Analise as Funções de administrador predefinidas.
Crie e atribua uma função personalizada com vários níveis de acesso. Nesse caso, primeiro você precisa criar a função. Acesse Criar uma função personalizada.

Atribuir funções

Abrir seção | Recolher tudo e voltar ao início

Para realizar essa tarefa, você precisa fazer login como um superadministrador.

Atribuir funções a um usuário

Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
No Admin Console, acesse Menu DiretórioUsuários.
Encontre o usuário na lista.
Veja dicas em Encontrar uma conta de usuário.
Clique no nome do usuário para abrir a página da conta.
Role para baixo e clique em Funções e privilégios do administrador.
Ao lado da função predefinida ou personalizada, clique em Ativar .
Se você não vir Ativar , clique em qualquer lugar em "Funções" para ver as opções.
(Opcional) Para restringir a função do administrador a uma unidade organizacional específica, ao lado de Todas as unidades organizacionais, clique em Editar , selecione as unidades organizacionais e clique em Concluído.
Se você não encontrar o ícone Editar , não é possível aplicar a função a unidades organizacionais.
Clique em Salvar.

Dicas:

Na seção Privilégios aparecem todos os privilégios de todas as funções administrativas atribuídas ao usuário.
Para retornar à página da conta do usuário, no canto superior direito, clique na seta para cima .

Atribuir uma função a vários usuários de uma vez

Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
No Admin Console, acesse Menu ContaFunções do administrador.
Aponte para a função que você quer atribuir e clique em Atribuir administrador à direita.
Dica: você pode alternar entre administradores que estão recebendo as funções e os privilégios. Na parte superior, clique em Administradores ou Privilégios.
Clique em Atribuir usuários.
Digite as primeiras letras do e-mail (não o nome de usuário) e selecione o endereço do usuário nas opções.
Você pode atribuir até 20 usuários por vez.
Clique em Atribuir função.
(Opcional) Para restringir a função do administrador a uma unidade organizacional específica, ao lado de Todas as unidades organizacionais, clique em Editar , selecione as unidades organizacionais e clique em Concluído.
Se você não encontrar o ícone Editar , não é possível aplicar a função a unidades organizacionais.

Atribuir uma função a uma conta de serviço

É possível atribuir qualquer função predefinida ou personalizada, exceto de superadministrador, a uma conta de serviço. A atribuição de uma função a uma conta de serviço é contabilizada no limite de funções.

Antes de começar: configure uma conta de serviço no Google Cloud. Acesse Como criar e gerenciar contas de serviço.

Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
No Admin Console, acesse Menu ContaFunções do administrador.
Aponte para a função que você quer atribuir clique em Atribuir administrador.
Clique em Atribuir contas de serviço.
Digite o endereço de e-mail da conta de serviço.
Para encontrar o endereço de e-mail, abra aconsole do Google Cloud e clique em Menu IAM e administradorContas de serviço de dados.
Clique em AdicionarAtribuir função.

Qual é o próximo passo?

No registro de auditoria do administrador, você pode ver quando uma função foi aplicada a uma conta de serviço e quais ações cada administrador realizou nessas contas. Veja mais detalhes em Registro de auditoria do administrador.

Se você aplicou a função predefinida "Administrador de grupos" a uma conta de serviço, também poderá ver as ações no registro de auditoria de grupos do Enterprise. O administrador da conta de serviço pode estar listado em Descrição do evento ou Usuário. Veja mais detalhes em Registro de auditoria de grupos do Enterprise.

Tema relacionado

Como autenticar como uma conta de serviço sem delegação em todo o domínio

Depois que você atribuir uma função, o usuário acessará a página inicial do Admin Console na próxima vez que fizer login. As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Cancelar a atribuição de funções

Abrir seção | Recolher tudo e voltar ao início

Não é possível cancelar uma função atribuída a você.

Cancelar a atribuição da função de um usuário

Para cancelar a atribuição de uma função de um usuário, siga as etapas acima em Atribuir funções a um usuário. Na etapa 6, em vez de ativar a função, clique em Desativar .

Cancelar a atribuição de várias funções ou de funções da conta de serviço

Cancele a atribuição de uma função de vários usuários ou de uma conta de serviço na página "Funções do administrador".

Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
No Admin Console, acesse Menu ContaFunções do administrador.
Aponte para a função que você quer remover e clique em Atribuir administrador à direita.
Escolha uma opção:
- Marque a caixa ao lado de cada usuário ou conta de serviço que você quer usar.
- Para remover a função de todos os usuários e contas de serviço, marque a caixa ao lado do cabeçalho da coluna Administrador.
Clique em Cancelar atribuição de funçãoCancelar atribuição de função para confirmar.

Próximas etapas

Os administradores podem adicionar opções de recuperação à conta.

Isso foi útil?

Como podemos melhorá-lo?