Ajude os usuários a se desbloquearem quando uma política impedir o acesso a um app usando as mensagens de correção e as mensagens personalizadas no acesso baseado no contexto. Essas mensagens opcionais (mas recomendadas) podem ajudar a aumentar a produtividade dos usuários e reduzir o número de chamadas de suporte para os administradores.
Por exemplo, quando as mensagens de correção estão ativadas, se um usuário de dispositivo móvel usa o Gmail no escritório durante o dia, mas é bloqueado ao tentar acessar o Gmail em casa à noite, ele recebe orientações sobre como lidar com o motivo do bloqueio.
As mensagens personalizadas e de correção são compatíveis com os níveis de acesso criados nos modos básico e avançado. além de serem compatíveis com serviços principais e apps SAML.
Usar mensagens personalizadas e de correção para ajudar os usuários a fazerem o desbloqueio
Se estiverem bloqueados, seus usuários podem se deparar com:
- Mensagem padrão: aparece se você não adicionou mensagens personalizadas ou de correção. Este é um exemplo de mensagem padrão: o acesso a este app foi bloqueado pela política da sua organização.
- Mensagens de correção: substitui a mensagem padrão. As mensagens são geradas pelo sistema e correspondem à violação da política específica que bloqueou o usuário.
As mensagens de correção podem apresentar várias opções de correção ao usuário, que podem ser expandidas clicando em Mostrar mais opções. Se o usuário tiver várias opções de correção disponíveis, basta concluir as etapas de qualquer uma delas para concluir o desbloqueio. - Mensagem personalizada: inclui ajuda específica para o usuário, como um link útil ou orientações adicionais sobre o desbloqueio de um app. Adicione mensagens personalizadas como quiser. Uma mensagem personalizada pode ser exibida com a mensagem padrão ou com mensagens de correção.
Confira a interatividade dessas mensagens na tabela a seguir:
| As mensagens de correção estão ativadas? | Mensagem personalizada adicionada? | Mensagens mostradas ao usuário |
|---|---|---|
| Não | Não | Apenas a mensagem padrão |
| Sim | Não | Apenas mensagens de correção. Se não for possível gerar as mensagens de correção, a mensagem padrão pode ser exibida. |
| Não | Sim | Mensagem padrão e mensagem personalizada |
| Sim | Sim | Mensagens de correção e mensagem personalizada |
Quando você define uma política de alerta para um atributo, as mensagens de correção desse atributo são sempre (e somente) mostradas. Você e outros administradores não podem desativar essas mensagens. Quando os usuários recebem uma notificação de aviso sobre um app que estão tentando acessar, eles podem conferir mais detalhes sobre as opções de correção.
Noções básicas sobre as mensagens de correção
Cada ação corretiva corresponde a um atributo que está causando a negação (bloqueio) do acesso ou exibindo um aviso ao usuário. Se você tiver uma política de bloqueio associada a um atributo, as mensagens de correção vão informar ao usuário que ele não pode realizar a ação e dar maneiras de obedecer à política. Se você tiver uma política de aviso associada a um atributo, o usuário poderá concluir a ação, mas vai receber sugestões sobre como ficar em compliance.
Mensagens diferentes podem ser mostradas para um mesmo atributo de acordo com a expectativa no nível de acesso. Por exemplo, se o nível de acesso for device.screen_lock_enabled == true, a mensagem vai ser Defina uma senha de bloqueio de tela no seu dispositivo. Se o nível de acesso for device.screen_lock_enabled == false, a mensagem vai ser Remova a senha de bloqueio de tela do dispositivo. Por ser menos segura, o usuário deve confirmar a ação de remoção de uma senha de bloqueio de tela com o administrador.
Possíveis mensagens de correção por atributo e tipo
As mensagens reais podem diferir das exibidas abaixo.
| Attribute | Tipo de política | Mensagem |
|---|---|---|
| Aprovação do administrador | Bloqueio e aviso | Use um dispositivo aprovado pela sua organização. Caso não tenha acesso a um desses dispositivos, fale com o administrador. |
| Bloqueio e aviso | Use um dispositivo que não esteja associado à sua organização. Fazer isso pode reduzir a segurança, então é recomendável entrar em contato com seu administrador para confirmar a decisão. | |
| Dispositivo da empresa | Bloqueio e aviso | Use um dispositivo que seja da sua organização. Caso não tenha acesso a um desses dispositivos, fale com o administrador. |
| Bloqueio e aviso | Use um dispositivo que não seja da sua organização. | |
| Correspondência de perfil com CTS | Bloqueio e aviso | Redefina o dispositivo para as configurações originais. |
| Bloquear | O dispositivo não pode acessar este app com o Android instalado pelo OEM. Para mais informações, entre em contato com seu administrador. | |
| Aviso | Não é seguro acessar este app com o Android instalado pelo OEM. Entre em contato com o admin para saber mais. | |
| Criptografia | Bloqueio e aviso | Use um dispositivo com um dos seguintes status de criptografia: [status1, status2]. |
| Bloqueio e aviso | Use um dispositivo sem um dos seguintes status de criptografia: [status]. | |
| Tem apps potencialmente nocivos | Bloqueio e aviso | Desinstale todos os apps listados pelo Google Play Protect como possivelmente nocivos. |
| Bloquear | Seu dispositivo não pode acessar este app com os apps instalados no momento. Para mais informações, entre em contato com seu administrador. | |
| Aviso | Não é seguro acessar este app com alguns dos apps instalados. Entre em contato com o admin para saber mais. | |
| Endereço IP | Bloquear | Não é possível acessar esse app a partir da sub-rede do seu IP atual. Entre em contato com o admin para saber mais. |
| Aviso | Não é seguro acessar este app pela sub-rede do seu IP atual. Entre em contato com o admin para saber mais. | |
| Tipo de SO | Bloqueio e aviso | Use um dispositivo que utilize um dos seguintes sistemas operacionais: [os1, os2]. |
| Bloqueio e aviso | Use um dispositivo que não utilize: os1. | |
| Versão do SO | Bloqueio e aviso | Atualize o dispositivo para a [OS version X] ou mais recente. |
| Bloqueio e aviso | Atualize o dispositivo para uma versão do SO anterior à [OS version X]. | |
| Atributos do parceiro | Bloqueio e aviso | Instale o cliente [PARTNER NAME] no seu dispositivo.1 |
| Bloqueio e aviso | Segundo as informações de [PARTNER NAME], seu dispositivo não atende alguns requisitos.2 | |
| Código de região | Bloquear | Não é possível acessar esse app no seu local atual. Entre em contato com o admin para saber mais. |
| Aviso | Não é seguro acessar o app neste local. Entre em contato com o admin para saber mais. | |
| Bloqueio de tela | Bloqueio e aviso | Defina uma senha de bloqueio de tela no dispositivo. |
| Bloqueio e aviso | Remova a senha de bloqueio de tela do dispositivo. Fazer isso pode reduzir a segurança, então é recomendável entrar em contato com seu administrador para confirmar a decisão. | |
| Verificar apps | Bloqueio e aviso | Ative o Google Play Protect no dispositivo. |
| Bloqueio e aviso | Desative o Google Play Protect no dispositivo. | |
| Inicialização Verificada | Bloqueio e aviso | Siga as instruções do fabricante do dispositivo para bloquear o carregador de inicialização. |
| Bloqueio e aviso | Siga as instruções do fabricante do dispositivo para desbloquear o carregador de inicialização. | |
| Chrome OS verificado | Bloqueio e aviso | Instale uma versão verificada do Chrome OS no dispositivo. |
| Bloqueio e aviso | Esse app não pode ser acessado com uma versão verificada do Chrome OS. | |
| Dispositivo com jailbreak | Bloqueio e aviso | Siga as instruções do fabricante para fazer a redefinição de fábrica no dispositivo. |
| Bloquear | Seu dispositivo não pode acessar este app no estado atual. Para saber mais, entre em contato com seu administrador. | |
| Aviso | Não é seguro acessar este app no estado atual do dispositivo. Entre em contato com o admin para saber mais. |
1 Confirme se o app de segurança parceiro (por exemplo, o Lookout) está instalado no dispositivo. Se ele estiver instalado e essa mensagem continuar a ser exibida ao usuário, o dispositivo pode não estar inscrito no MDM do parceiro de maneira correta. Consulte o painel do parceiro para saber se esse é o caso. Se necessário, fale com o parceiro para resolver o problema.
2 Confira o app do parceiro no dispositivo para mais detalhes. Se necessário, fale com o parceiro para resolver o problema.
Entender as mensagens de correção e as integrações de parceiros terceirizados
Como administrador, você pode integrar parceiros terceirizados (que fazem parte da BeyondCorp Alliance) com o gerenciamento de endpoints do Google no Google Admin Console. Esse texto informativo é exibido na interface da mensagem de correção para explicar que as mensagens de parceiros podem ser disponibilizadas aos usuários:
Por exemplo, no Lookout:
Saiba mais em Configurar integrações de parceiros terceirizados.
Erros comuns para resolver antes que as mensagens de correção ou personalizadas possam ser vistas pelo usuário
Para que as mensagens de correção possam ser exibidas para os usuários, os seguintes erros precisam ser corrigidos:
Não foi possível reconhecer o dispositivo. As etapas podem variar de acordo com o tipo de dispositivo.
O Google não reconheceu o dispositivo de login. A etapa de correção varia de acordo com a plataforma.
- Dispositivos desktop: os usuários precisam usar um perfil do Chrome com a extensão Verificação de endpoints instalada. Os usuários não podem fazer login nos apps do Google Workspace em perfis pessoais, de visitantes ou de navegação anônima. Essa mensagem de erro pode ser exibida quando um usuário tenta fazer login em um novo dispositivo pela primeira vez. Nesse caso, o usuário precisa fazer a sincronização com a extensão Verificação de endpoints e atualizar o navegador.
- Dispositivos móveis: para que os dispositivos sejam reconhecidos pelo CAA, eles precisam ser gerenciados pelo gerenciamento de endpoints do Google básico ou avançado. Confira mais detalhes em Gerenciar dispositivos com o gerenciamento de endpoints do Google. Além disso, pode ser que os dispositivos tenham que ser sincronizados para que o Google reconheça onde o login ocorreu. Confira mais detalhes em Sincronizar seu dispositivo.
Sincronizar o dispositivo
- Em dispositivos desktop, os usuários precisam fazer a sincronização com a extensão Verificação de endpoints.
Dispositivos móveis: os dispositivos com gerenciamento avançado podem ser sincronizados com o app Device Policy. Os dispositivos com gerenciamento básico podem aguardar a sincronização automática ou o usuário pode fazer outro login em qualquer app do Google. Informe ao usuário que a sincronização do dispositivo pode levar um tempo.
Dispositivos iOS: as sessões do Google em diferentes aplicativos são rastreadas com sessões ou tokens no Safari. Se os tokens do Safari forem excluídos manualmente pelo usuário ou pelo ITP da Apple, não será possível mapear os logins subsequentes para o dispositivo original conectado. Isso pode fazer com que os novos logins sejam bloqueados e mostrem a mensagem "Não foi possível reconhecer o dispositivo. As etapas podem variar de acordo com o tipo de dispositivo." se a correção estiver ativada. Esse problema pode ocorrer em dispositivos com gerenciamento básico e avançado.
As etapas de desbloqueio a seguir precisam ser concluídas pelo usuário:
- Remova a conta do Google Enterprise de todos os aplicativos do Google. Saia da Conta do Google no Safari e a remova de qualquer aplicativo de terceiros onde ela possa estar sendo usada.
- Exclua os cookies e o cache do Safari.
- Faça login em qualquer aplicativo próprio do Google, como o Drive ou o Gmail.
- Acesse todos os outros aplicativos primários do Google para verificar se você consegue acessá-los.
- Se for necessário acessar aplicativos que não são do Google, faça login neles alguns dias depois de fazer isso nos aplicativos do Google. Se você não fizer login em até 30 dias após a etapa 3 e o aplicativo for bloqueado, comece de novo a partir da etapa 1.
Implementar mensagens personalizadas ou de correção
Ativar mensagens de correção
-
No Google Admin Console, acesse Menu
SegurançaAcesso e controle de dadosAcesso baseado no contexto.Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.
- Clique em Mensagem do usuário.
- Em Mensagens de correção, clique em DESATIVAR e ative Mensagens de correção.
- Clique em Salvar.
Também é possível adicionar uma mensagem personalizada.
Adicionar uma mensagem personalizada
-
No Google Admin Console, acesse Menu
SegurançaAcesso e controle de dadosAcesso baseado no contexto.Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.
- Clique em Mensagem do usuário.
- Em Mensagem personalizada adicional, clique em Mensagem adicional e digite sua mensagem.
- (Opcional) Para ver o que o usuário vai receber, clique em Visualizar mensagem.
- Clique em Salvar.
Experiência do usuário para mensagens de correção e personalizadas
Apenas a mensagem padrão
Este é um exemplo de mensagem exibida ao usuário se nenhuma mensagem de correção ou personalizada for configurada.
Mensagem padrão e mensagem personalizada
Este é um exemplo de mensagem exibida ao usuário se nenhuma mensagem de correção for configurada, mas uma mensagem personalizada for provida.
Apenas a mensagem de correção
Este é um exemplo de mensagem exibida ao usuário se as mensagens de correção forem configuradas sem mensagens personalizadas. O usuário pode clicar em Mostrar mais opções para expandir as etapas de correção.
Mensagem de correção e personalizada
Este é um exemplo de mensagem exibida ao usuário se as mensagens de correção e personalizadas forem configuradas. O usuário pode clicar em Mostrar mais opções para expandir as etapas de correção.
Perguntas frequentes sobre mensagens de correção e personalizadas de acesso baseado no contexto
A correção pode resultar em outros casos de acesso negado?
Por que as mensagens de correção não refletem as políticas atuais?
Quanto tempo leva para um usuário ter acesso depois de concluir as ações de correção?
Ele não tem acesso até que o dispositivo seja sincronizado com os servidores do Google. O usuário pode tentar forçar a sincronização em certos casos:
- Computador: sincronização com a extensão Verificação de endpoints no Chrome
- Dispositivo móvel (gerenciamento avançado): sincronização a partir do app Device Policy
- Dispositivo móvel (gerenciamento básico): novo login para dispositivos de gerenciamento básico
Além disso, se o dispositivo não estiver em conformidade com o parceiro BeyondCorp Alliance, tente sincronizar usando o aplicativo parceiro. A sincronização manual pode não funcionar em alguns casos, e por isso o usuário deve aguardar até que uma sincronização ocorra.
Por que as mesmas opções continuam a ser exibidas aos usuários depois de concluir a ação de correção?
Por que as opções de mensagens de correção mudam sem que ações sejam feitas no dispositivo?
Por que as mensagens de correção não são exibidas, mesmo quando estão ativadas?
Os usuários podem ver a mensagem personalizada se a correção estiver ativada?
Como ativar correções nas políticas de dispositivos?
Por que a mensagem de correção Não foi possível reconhecer o dispositivo aparece quando a extensão Verificação de endpoints está em sincronização?
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.