Como superadministrador ou revendedor, você pode definir o contexto em que outros administradores acessam o Google Admin Console atribuindo níveis de acesso baseado no contexto.
Observação:não atribua níveis de acesso ao Admin Console, a menos que você precise limitar o acesso de outros administradores especificamente. Saiba mais detalhes sobre a atribuição de níveis de acesso a apps neste link: Saiba mais sobre a atribuição de níveis de acesso a apps com o Acesso context-aware.
Este artigo descreve como:
- Atribuir e atualizar esses níveis de acesso.
- Evitar que você ou outros administradores sejam bloqueados acidentalmente no Admin Console.
- Responder caso ocorra um bloqueio.
Antes de começar
Entenda os possíveis cenários de bloqueio:
- Os administradores podem configurar por engano um nível de acesso a uma sub-rede IP de outra pessoa e aplicar esse nível de acesso ao Admin Console.
- Eles também podem aplicar um nível de acesso desatualizado ao Admin Console. Isso ocorre quando o nível de acesso só pode ser aplicado a um dispositivo da empresa e o administrador muda de um desses dispositivos para um dispositivo pessoal.
Evitar um bloqueio
- Analise os níveis de acesso que você pretende aplicar ao Admin Console. Verifique se pelo menos um administrador atende aos critérios de acesso.
- Crie um novo nível de acesso, se necessário. Você pode garantir que as condições de acesso sejam atendidas ao criar um nível de acesso que atenda às condições.
- Leia as mensagens recebidas ao adicionar ou editar os níveis de acesso no Admin Console. Essas mensagens ajudam você a determinar a próxima etapa para evitar um bloqueio.
Aplique políticas a grupos de configuração, que podem funcionar como um contêiner de níveis de acesso.
- Você cria um grupo de configuração e atribui níveis de acesso aos apps.
- Em seguida, adicione grupos de usuários sem a política que está causando o bloqueio como participantes do grupo de configuração.
Para mais detalhes, consulte Personalizar o Acesso baseado no contexto com grupos.
Garantir o acesso ao suporte em caso de bloqueio
Primeiro, verifique que você, o superadministrador designado, ou qualquer outro administrador, é o contato de suporte e pode acessar o Portal de atendimento ao cliente do Google.
Se necessário, siga as etapas para conceder acesso ao Portal de atendimento ao cliente.
Para reforçar a segurança, use a verificação em duas etapas para administradores que podem acessar o Portal de atendimento ao cliente. Veja mais detalhes em Proteger sua empresa com a verificação em duas etapas.
Usar os níveis de acesso do Admin Console
O sistema funciona para evitar o bloqueio do administrador quando você realiza ou tenta realizar estas tarefas:
Atribuir os níveis de acesso
- Na página inicial do Admin Console, acesse Segurança > Acesso e controle de dados > Acesso baseado no contexto.
- Encontre Admin Console na parte de cima da lista de aplicativos e clique em Atribuir.
- Selecione um ou mais níveis de acesso ao Admin Console.
O acesso ao Admin Console é concedido quando o administrador atende às condições especificadas nestes itens:- Um dos níveis de acesso selecionados: é um operador lógico "OR" da lista.
- Mais de um nível de acesso : crie um nível de acesso com vários níveis usando um operador lógico "AND".
- Clique em Salvar.
O sistema exibe uma barra de progresso enquanto verifica que as condições do nível de acesso não bloqueiam os administradores. Se você:- Atender às condições em pelo menos um dos níveis de acesso selecionados: o acesso foi aplicado com sucesso. A página "Atribuir níveis de acesso" mostra que o nível de acesso se aplica.
- Não atender às condições de pelo menos um dos níveis de acesso selecionados: o nível de acesso não se aplica. Quando você clicar em Salvar e o sistema tentar fazer a verificação, esta mensagem vai aparecer: Não é possível atribuir estes níveis de acesso porque você não atende a estas condições e pode perder o acesso ao Admin Console.
Editar um nível de acesso
Existem restrições para editar os níveis de acesso atribuídos ao Admin Console.
-
No Google Admin Console, acesse Menu
SegurançaAcesso e controle de dadosAcesso baseado no contexto.Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.
- Clique em Níveis de acesso.
- Clique em um nível de acesso existente.
É possível editar o nome e a descrição de um nível de acesso atribuído ao Admin Console, mas não as condições. Se você tentar fazer isso, vai ver esta mensagem de erro: Não é possível editar as condições deste nível de acesso porque ele está atribuído ao Admin Console, e as mudanças podem afetar o acesso de outro administrador. Para editar as condições, primeiro cancele a atribuição no Admin Console.
Excluir um nível de acesso
Só é possível excluir níveis de acesso se isso não bloquear o acesso.
-
No Google Admin Console, acesse Menu
SegurançaAcesso e controle de dadosAcesso baseado no contexto.Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.
- Clique em Níveis de acesso.
- Clique em um nível de acesso existente.
- Clique em Excluir nível de acesso.
Esta mensagem aparece durante a validação: Excluir nível de acesso? Esse nível de acesso não vai estar mais disponível no Admin Console (nem no Google Cloud e no SDK Cloud, se aplicável). Ele também será removido de todos os apps a que está atribuído. A exclusão desse nível de acesso pode afetar o acesso de outro administrador ao Admin Console.- Você pode excluir o nível de acesso. Para fazer isso, clique em Confirmar.
- Você não pode excluir o nível de acesso. Isso causaria a perda do acesso ao Admin Console. Esta mensagem aparece após a validação: Não é possível excluir o nível de acesso.
Se você for um administrador que não é superadministrador, verá a mensagem que Apenas superadministradores podem excluir os níveis de acesso atribuídos no Admin Console. Nesse caso, fale com o superadministrador ou revendedor sobre a exclusão dos níveis de acesso.
Reordenar a prioridade do grupo
O sistema impede que você reordene a priorização de grupos, o que afeta o acesso ao Admin Console. Qualquer tentativa de reordenar os grupos faz esta mensagem aparecer: Não é possível mudar a ordem dos grupos porque você perderia o acesso ao Admin Console.
Se você for um administrador que não é um superadministrador, verá esta mensagem quando tentar reorganizar os grupos: Você precisa de privilégios de administrador adicionais para alterar a ordem dos grupos. Nesse caso, fale com o superadministrador ou revendedor sobre a reordenação dos grupos.
Entre em contato com o suporte se você estiver bloqueado
No caso de um bloqueio total, fale com o Suporte do Google pelo Portal de atendimento ao cliente.
Para restaurar o acesso, o suporte remove as políticas de acesso baseado no contexto no Admin Console. Essa ação não afeta as políticas de acesso baseado no contexto para outros aplicativos (por exemplo, Gmail ou Google Agenda).
Importante: reaplique as políticas imediatamente após o suporte removê-las.
Informações relacionadas
- Visão geral do Acesso baseado no contexto
- Configurar softwares e criar níveis de acesso baseado no contexto
- Personalizar o Acesso baseado no contexto com grupos
- Exemplos de Acesso baseado no contexto no Modo básico
- Exemplos de Acesso baseado no contexto no Modo avançado
- Registro de auditoria do Acesso baseado no contexto