Atribuir níveis de Acesso Baseado no Contexto ao Admin Console

Como superadministrador ou revendedor, você pode definir o contexto em que outros administradores acessam o Google Admin Console atribuindo níveis de acesso baseado no contexto.

Observação:não atribua níveis de acesso ao Admin Console, a menos que você precise limitar o acesso de outros administradores especificamente. Para mais detalhes sobre a atribuição de níveis de acesso a apps, acesse Atribuir níveis de acesso baseado no contexto a apps.

Este artigo descreve como:

  • atribuir e atualizar esses níveis de acesso;
  • evitar que você ou outros administradores sejam bloqueados acidentalmente no Admin Console;
  • reagir em caso de bloqueio.

Antes de começar

Entenda os possíveis cenários de serviço de abertura de fechadura:

  • Os administradores podem configurar por engano um nível de acesso a uma sub-rede IP de outra pessoa e aplicar esse nível de acesso ao Admin Console.
  • Eles também podem aplicar um nível de acesso desatualizado ao Admin Console. Isso pode acontecer quando o nível de acesso só pode ser aplicado a um dispositivo da empresa e o administrador muda de um desses dispositivos para um dispositivo pessoal.

Evitar um bloqueio

  • Analise os níveis de acesso que você pretende aplicar ao Admin Console. Confirme que pelo menos um administrador atende aos critérios de acesso.
  • Crie um nível de acesso se necessário. Para garantir que as condições de acesso sejam atendidas, selecione um nível que atenda a essas condições.
  • Leia as mensagens recebidas ao adicionar ou editar os níveis de acesso no Admin Console. Elas ajudam a determinar o que precisa ser feito para evitar um bloqueio.

  • Aplique políticas a grupos de configuração, que podem funcionar como um contêiner de níveis de acesso.

    • Crie um grupo de configuração e atribua níveis de acesso aos apps.

    • Em seguida, adicione grupos de usuários sem a política que está causando o bloqueio como participantes do grupo de configuração.

      Para mais detalhes, consulte Personalizar o acesso baseado no contexto com grupos.

Garantir o acesso ao suporte em caso de bloqueio

Primeiro, verifique se você, o superadministrador designado, ou qualquer outro administrador, é o contato de suporte e pode acessar o Portal de atendimento ao cliente do Google.

Se necessário, siga as etapas em Permitir que os usuários acessem o Portal de atendimento ao cliente.

Para reforçar a segurança, use a verificação em duas etapas para administradores que podem acessar o Portal de atendimento ao cliente. Para mais detalhes, acesse Proteger sua empresa com a verificação em duas etapas.

Usar os níveis de acesso do Admin Console

O sistema evita o bloqueio de administradores quando você realiza ou tenta realizar estas tarefas:

Atribuir os níveis de acesso

  1. Na página inicial do Admin Console, acesse Segurança > Controle de acesso e dados > Acesso baseado no contexto.
  2. Encontre Admin Console na parte de cima da lista de aplicativos e clique em Atribuir.
  3. Selecione um ou mais níveis de acesso ao Admin Console.
    O acesso ao Admin Console é concedido quando o administrador atende às condições especificadas nestes itens:
    • Um dos níveis de acesso selecionados: é um operador lógico "OR" da lista.
    • Mais de um nível de acesso: crie um nível de acesso com vários níveis usando um operador lógico "AND".
  4. Clique em Salvar.
    O sistema exibe uma barra de progresso enquanto verifica que as condições do nível de acesso não bloqueiam os administradores. Se você:
    • Você atende às condições em pelo menos um dos níveis de acesso selecionados. Você aplicou o acesso. A página "Atribuir níveis de acesso" mostra que o nível de acesso pode ser aplicado.
    • Você não atende às condições de pelo menos um dos níveis de acesso selecionados. O nível de acesso não pode ser aplicado. Quando você clicar em Salvar e o sistema tentar fazer a verificação, esta mensagem vai aparecer: Você não pode atribuir estes níveis de acesso porque não atende a estas condições e pode perder o acesso ao Admin Console.

Editar um nível de acesso

Existem restrições para editar os níveis de acesso atribuídos ao Admin Console.

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Controle de acesso e dados e depois Acesso baseado no contexto.

    Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.

  2. Clique em Níveis de acesso.
  3. Clique em um nível de acesso.
    É possível editar o nome e a descrição de um nível de acesso atribuído ao Admin Console, mas não as condições. Se você tentar fazer isso, vai ver esta mensagem de erro: Não é possível editar as condições deste nível de acesso porque ele está atribuído ao Admin Console, e as mudanças podem afetar o acesso de outro administrador. Para editar as condições, primeiro cancele a atribuição no Admin Console.

Excluir um nível de acesso

Só é possível excluir níveis de acesso quando isso não bloqueia o acesso.

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Controle de acesso e dados e depois Acesso baseado no contexto.

    Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.

  2. Clique em Níveis de acesso.
  3. Clique em um nível de acesso.
  4. Clique em Excluir nível de acesso.
    Esta mensagem aparece durante a validação: Excluir nível de acesso? Esse nível de acesso não vai estar mais disponível no Admin Console (nem no Google Cloud e no SDK Cloud, se aplicável). Ele também vai ser removido de todos os apps a que foi atribuído. A exclusão desse nível de acesso pode afetar o acesso de outro administrador ao Admin Console.
    • Você pode excluir o nível de acesso. Para fazer isso, clique em Confirmar.
    • Não é possível excluir o nível de acesso. Isso causa a perda do acesso ao Admin Console. Esta mensagem aparece depois da validação: Não é possível excluir o nível de acesso.

Se você for um administrador que não é superadministrador, vai ver a mensagem Apenas superadministradores podem excluir os níveis de acesso atribuídos no Admin Console. Nesse caso, fale com o superadministrador ou revendedor sobre a exclusão dos níveis de acesso.

Reordenar a prioridade do grupo

O sistema impede que você reordene a priorização de grupos, o que afeta o acesso ao Admin Console. Qualquer tentativa de reordenar os grupos faz esta mensagem aparecer: Não é possível mudar a ordem dos grupos porque você perderia o acesso ao Admin Console.

Se você for um administrador que não é um superadministrador, verá esta mensagem quando tentar reorganizar os grupos: Você precisa de privilégios de administrador adicionais para alterar a ordem dos grupos. Nesse caso, fale com o superadministrador ou revendedor sobre a reordenação dos grupos.

Falar com o suporte em caso de bloqueio da conta

No caso de um bloqueio total, fale com o Suporte do Google pelo Portal de atendimento ao cliente.

Para restaurar o acesso, o suporte remove as políticas de acesso baseado no contexto no Admin Console. Essa ação não afeta as políticas de acesso baseado no contexto para outros aplicativos (por exemplo, o Gmail ou o Google Agenda).

Importante:aplique as políticas novamente logo depois que elas forem removidas pelo suporte.