Con los mensajes de corrección y los mensajes personalizados del Acceso adaptado al contexto, puedes ayudar a los usuarios a desbloquearse cuando una política les impide acceder a una app. Estos mensajes opcionales (pero recomendados) pueden ayudar a que los usuarios vuelvan a ser productivos y a reducir las llamadas de asistencia para los administradores.
Por ejemplo, cuando los mensajes de corrección están activados, si un usuario en un dispositivo móvil usa Gmail en la oficina correctamente durante el día, pero se bloquea cuando intenta acceder a Gmail en su casa por la noche, verá orientación sobre cómo abordar el motivo por el que se bloqueó.
Se admiten mensajes personalizados y correcciones para los niveles de acceso creados en el modo básico y el modo avanzado. Además, son compatibles con los servicios principales y las apps de SAML.
Usa mensajes personalizados y de corrección para ayudar a los usuarios a desbloquearse
Cuando se bloquea a los usuarios, pueden ocurrir los siguientes problemas:
- Mensaje predeterminado: Se muestra si no agregaste mensajes de corrección ni mensajes personalizados. Un ejemplo de mensaje predeterminado es: Una política de tu organización bloquea el acceso a esta app.
- Mensajes de corrección: Reemplazan el mensaje predeterminado. Los mensajes se generan automáticamente y corresponden al incumplimiento de política específico que bloqueó al usuario.
Los mensajes de corrección pueden presentar varias opciones de corrección al usuario, que puede expandir haciendo clic en Mostrar más opciones. En el caso de que haya varias opciones de corrección, el usuario debe completar los pasos de cualquiera de las opciones disponibles para desbloquearse. - Mensaje personalizado: Agrega ayuda específica para el usuario, como sugerencias adicionales para desbloquearse o un vínculo útil en el que hacer clic. Puedes agregar mensajes personalizados según sea necesario. Un mensaje personalizado puede aparecer junto con el mensaje predeterminado o con los mensajes de corrección.
En esta tabla, se muestra la interactividad de estos mensajes:
| ¿Están activados los mensajes de corrección? | ¿Se agregó un mensaje personalizado? | Mensajes que ve el usuario |
|---|---|---|
| No | No | Solo el mensaje predeterminado |
| Sí | No | Solo mensajes de corrección. En algunos casos, es posible que se muestre el mensaje predeterminado si no se pueden generar los mensajes de corrección. |
| No | Sí | Mensaje predeterminado y mensaje personalizado |
| Sí | Sí | Mensajes de corrección y mensaje personalizado |
Cuando estableces una política de advertencia para un atributo, siempre se mostrarán (y solo se mostrarán) los mensajes de corrección para ese atributo. Ni tú ni otros administradores pueden desactivar esos mensajes. Cuando los usuarios reciben una notificación de advertencia sobre una app a la que intentan acceder, pueden revisar más detalles sobre las opciones de corrección.
Comprende los mensajes de corrección
Cada acción del solucionador corresponde a un atributo que provoca que se deniegue el acceso (bloqueado) o que se le muestre una advertencia al usuario. Si tienes una política de bloqueo asociada a un atributo, los mensajes de corrección le indican al usuario que no puede realizar la acción y le brindan formas de cumplir con la política. Si tienes una política de advertencia asociada a un atributo, el usuario puede completar la acción, pero recibe sugerencias para cumplir con la política.
Se pueden mostrar diferentes mensajes para el mismo atributo según la expectativa en el nivel de acceso. Por ejemplo, si el nivel de acceso es device.screen_lock_enabled == true, el mensaje es Establece una contraseña de pantalla en tu dispositivo. Si el nivel de acceso es device.screen_lock_enabled == false, el mensaje es Quita la contraseña de pantalla del dispositivo. Quitar la contraseña de pantalla podría ser menos seguro, por lo que el usuario debe confirmar esta acción con el administrador.
Posibles mensajes de corrección por atributo y tipo
Los mensajes reales pueden diferir de los que se muestran a continuación.
| Atributo | Tipo de política | Mensaje |
|---|---|---|
| Aprobación del administrador | Bloquear y advertir | Cambia a un dispositivo aprobado por tu organización. Si no puedes acceder a uno, comunícate con el administrador. |
| Bloquear y advertir | Cambia a un dispositivo que no esté asociado con tu organización. Ten en cuenta que esta acción reducirá la protección, así que deberías confirmarla con el administrador. | |
| Dispositivo de la empresa | Bloquear y advertir | Cambia a un dispositivo que sea propiedad de tu organización. Si no puedes acceder a uno, comunícate con el administrador. |
| Bloquear y advertir | Cambia a un dispositivo que no sea propiedad de tu organización. | |
| Coincidencia del perfil de CTS | Bloquear y advertir | Restablece la configuración de fábrica del dispositivo. |
| Bloquear | Tu dispositivo no puede acceder a esta app con una instalación de Android del OEM. Comunícate con tu administrador para obtener más información. | |
| Advertencia | No es seguro acceder a esta app con una instalación de Android del OEM. Comunícate con tu administrador para obtener más información. | |
| Encriptación | Bloquear y advertir | Cambia a un dispositivo que tenga uno de los siguientes estados de encriptación: [status1, status2]. |
| Bloquear y advertir | Cambia a un dispositivo que no tenga el siguiente estado de encriptación: [estado]. | |
| Tiene apps potencialmente dañinas | Bloquear y advertir | Desinstala todas las apps que puedan ser dañinas según Google Play Protect. |
| Bloquear | Tu dispositivo no puede acceder a esta app con las apps instaladas actualmente. Comunícate con tu administrador para obtener más información. | |
| Advertencia | No es seguro acceder a esta app con las apps instaladas actualmente. Comunícate con tu administrador para obtener más información. | |
| Dirección IP | Bloquear | No puedes acceder a esta app desde tu subred de IP actual. Comunícate con tu administrador para obtener más información. |
| Advertencia | No es seguro acceder a esta app desde tu subred de IP actual. Comunícate con tu administrador para obtener más información. | |
| Tipo de SO | Bloquear y advertir | Cambia a un dispositivo que use uno de los siguientes sistemas operativos: [os1, os2]. |
| Bloquear y advertir | Cambia a un dispositivo que no use os1. | |
| Versión del SO | Bloquear y advertir | Actualiza tu dispositivo a [versión del SO X] o una versión posterior. |
| Bloquear y advertir | Actualiza tu dispositivo a una versión del SO anterior a [versión del SO X]. | |
| Atributos de socio | Bloquear y advertir | Instala [PARTNER NAME] en tu dispositivo.1 |
| Bloquear y advertir | El dispositivo no cumple con algunos requisitos, según la información de [PARTNER NAME].2 | |
| Código de la región | Bloquear | No puedes acceder a esta app desde tu ubicación actual. Comunícate con tu administrador para obtener más información. |
| Advertencia | No es seguro acceder a esta app desde tu ubicación actual. Comunícate con tu administrador para obtener más información. | |
| Bloqueo de pantalla | Bloquear y advertir | Establece una contraseña de pantalla en tu dispositivo. |
| Bloquear y advertir | Quita la contraseña de pantalla del dispositivo. Ten en cuenta que esta acción reducirá la protección, así que deberías confirmarla con el administrador. | |
| Verificar aplicaciones | Bloquear y advertir | Habilita Google Play Protect en tu dispositivo. |
| Bloquear y advertir | Inhabilita Google Play Protect en tu dispositivo. | |
| Inicio verificado | Bloquear y advertir | Sigue las instrucciones del fabricante de tu dispositivo para bloquear el bootloader. |
| Bloquear y advertir | Sigue las instrucciones del fabricante de tu dispositivo para desbloquear el bootloader. | |
| Sistema operativo Chrome verificado | Bloquear y advertir | Instala una versión verificada de ChromeOS en tu dispositivo. |
| Bloquear y advertir | No puedes acceder a esta app con un ChromeOS verificado. | |
| Dispositivo con jailbreak | Bloquear y advertir | Sigue las instrucciones del fabricante para restablecer tu dispositivo a la configuración de fábrica. |
| Bloquear | Tu dispositivo no puede acceder a esta app con el estado actual del dispositivo. Para obtener más información, comunícate con tu administrador. | |
| Advertencia | No es seguro acceder a esta app con el estado actual del dispositivo. Comunícate con tu administrador para obtener más información. |
1 Asegúrate de que la app de seguridad del socio (por ejemplo, Lookout) esté instalada en el dispositivo. Si está instalada, pero el usuario sigue viendo este mensaje, es posible que el dispositivo no esté inscrito correctamente en el MDM del socio. Consulta el panel del socio para verificar si este es el caso. Si es necesario, comunícate con el socio para resolver el problema.
2 Consulta la app del socio en el dispositivo para obtener más detalles. Si es necesario, comunícate con el socio para resolver el problema.
Comprende los mensajes de corrección y las integraciones de socios externos
Como administrador, puedes integrar socios externos compatibles (aquellos que forman parte de la Alianza BeyondCorp) con la administración de extremos de Google en la Consola del administrador de Google. Este texto informativo se muestra en la interfaz de mensajes de corrección para explicar que los mensajes de socios pueden estar disponibles para los usuarios:
Por ejemplo, desde Lookout:
Para obtener más información, consulta Cómo configurar las integraciones de socios externos.
Errores comunes que se deben resolver antes de que el usuario vea los mensajes personalizados o de corrección
Estos errores deben corregirse antes de que los usuarios puedan ver los mensajes de corrección:
No se puede reconocer tu dispositivo. Según el tipo de dispositivo, es posible que los pasos sean diferentes.
Google no reconoce el dispositivo de acceso. El paso de corrección depende de la plataforma.
- Dispositivos de escritorio: Los usuarios deben usar un perfil de Chrome con la extensión de Verificación de extremos instalada. Los usuarios no pueden acceder a las apps de Google Workspace a través de perfiles personales, de invitado o de incógnito. Ten en cuenta que este mensaje de error puede aparecer cuando un usuario intenta acceder a un dispositivo nuevo por primera vez. En ese caso, el usuario debe sincronizar con la extensión de Verificación de extremos y actualizar el navegador.
- Dispositivos móviles: Para que la CAA reconozca los dispositivos, deben estar administrados por la administración de extremos de Google (administración básica o avanzada). Para obtener más información, consulta Cómo administrar dispositivos con la administración de extremos de Google. Además, es posible que los dispositivos deban sincronizarse antes de que Google pueda reconocer dónde se produjo el acceso. Para obtener más información, consulta Cómo sincronizar tu dispositivo.
Sincroniza tu dispositivo
- Dispositivos de escritorio: Los usuarios deben sincronizar con la extensión de Verificación de extremos.
Dispositivos móviles: Los dispositivos con administración avanzada pueden sincronizarse con la app de política de dispositivos. Los dispositivos con administración básica pueden esperar a que el dispositivo se sincronice automáticamente, o bien el usuario puede volver a acceder a cualquier app de Google. Infórmale al usuario que la sincronización del dispositivo puede tardar un tiempo.
Dispositivos iOS: Las sesiones de Google en diferentes aplicaciones se rastrean con sesiones o tokens en Safari. Si se borran los tokens de Safari (manualmente por el usuario o por el ITP de Apple), los accesos posteriores no se podrán asignar al dispositivo original en el que se accedió. Esto puede hacer que se bloqueen los nuevos accesos con el mensaje "No se puede reconocer tu dispositivo. Es posible que aparezca el mensaje "Según el tipo de dispositivo, es posible que los pasos sean diferentes" si se habilitó la corrección. Este problema puede ocurrir tanto en dispositivos administrados básicos como avanzados.
El usuario debe completar los siguientes pasos para desbloquearse:
- Quita la cuenta empresarial de Google de todas las aplicaciones de Google. Sal de la Cuenta de Google en Safari y quítala de cualquier aplicación que no sea de Google y que pueda estar usándola.
- Borra la caché y las cookies de Safari.
- Accede a cualquier aplicación propia de Google, como Drive o Gmail.
- Accede a todas las aplicaciones propias restantes de Google para verificar que tienes acceso.
- Si necesitas acceder a aplicaciones que no son de Google, accede a ellas en un plazo de unos días después de acceder a las aplicaciones de Google. Si no accedes en un plazo de 30 días después del paso 3 y se bloquea la aplicación, reinicia el proceso desde el paso 1.
Implementa mensajes personalizados o de corrección
Cómo activar los mensajes de corrección
-
En la Consola del administrador de Google, ve a Menú
SeguridadControl de acceso y datosAcceso adaptado al contexto.Requiere los privilegios de administración de reglas y nivel de acceso de seguridad de los datos y los privilegios de lectura de usuarios y grupos de la API de Admin.
- Haz clic en Mensaje del usuario.
- En Mensajes de corrección, haz clic en DESACTIVADO y activa Mensajes de corrección.
- Haz clic en Guardar.
También puedes agregar un mensaje personalizado en este punto.
Agregar un mensaje personalizado
-
En la Consola del administrador de Google, ve a Menú
SeguridadControl de acceso y datosAcceso adaptado al contexto.Requiere los privilegios de administración de reglas y nivel de acceso de seguridad de los datos y los privilegios de lectura de usuarios y grupos de la API de Admin.
- Haz clic en Mensaje del usuario.
- En Mensaje personalizado adicional, haz clic en Mensaje adicional y escribe tu mensaje.
- (Opcional) Para ver lo que verá el usuario, haz clic en Vista previa del mensaje.
- Haz clic en Guardar.
Experiencia del usuario para la corrección y los mensajes personalizados
Solo el mensaje predeterminado
Este es un ejemplo de un mensaje que ve el usuario si no se configuraron mensajes de corrección ni mensajes personalizados.
Mensaje predeterminado y mensaje personalizado
Este es un ejemplo de un mensaje que ve el usuario si no se configuraron mensajes de corrección, pero se proporcionó el mensaje personalizado.
Solo mensaje de corrección
Este es un ejemplo de un mensaje que ve el usuario si los mensajes de corrección se configuran sin un mensaje personalizado. El usuario hace clic en Mostrar más opciones para expandir los pasos de corrección.
Mensaje de corrección y personalizado
Este es un ejemplo de un mensaje que ve el usuario si se configuran tanto los mensajes de corrección como el mensaje personalizado. El usuario hace clic en Mostrar más opciones para expandir los pasos de corrección.
Preguntas frecuentes sobre la corrección del acceso adaptado al contexto y los mensajes personalizados
¿La corrección puede causar casos adicionales de acceso denegado?
¿Por qué los mensajes de corrección no reflejan las políticas actuales?
¿Cuánto tiempo tarda el usuario en obtener acceso después de completar las acciones de corrección?
El usuario no tendrá acceso hasta que el dispositivo se sincronice con los servidores de Google. En algunos casos, el usuario puede intentar forzar la sincronización:
- Computadoras: Sincronización desde la extensión de Endpoint Verification en Chrome
- Dispositivos móviles (administración avanzada): Sincronización desde la app de Device Policy
- Móviles (administración básica): Vuelve a acceder a los dispositivos administrados básicos
Además, si el dispositivo no cumple con los requisitos del socio de BeyondCorp Alliance, intenta sincronizarlo desde la aplicación del socio. Ten en cuenta que, en algunos casos, la sincronización manual podría no funcionar, por lo que el usuario deberá esperar a que se produzca una sincronización.
¿Por qué los usuarios siguen viendo las mismas opciones de corrección después de completar la acción de corrección?
¿Por qué cambian las opciones de mensajes de corrección sin que se realice ninguna acción en el dispositivo?
¿Por qué no aparecen los mensajes de corrección a pesar de que están habilitados?
¿Los usuarios ven el mensaje personalizado si la corrección está habilitada?
¿Cómo habilito las correcciones para las políticas de dispositivos?
¿Por qué se muestra el mensaje de corrección No se puede reconocer tu dispositivo si se está sincronizando la extensión de Endpoint Verification?
Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.