Ediciones admitidas para esta función: Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus. Compara tu edición
La aprobación de varias partes protege contra acciones maliciosas en la Consola del administrador de Google. Un administrador avanzado o un administrador con los privilegios para realizar la acción protegida y delegar privilegios para revisar la aprobación de varias partes de esa acción deben aprobar todos los cambios de configuración sensibles.
Antes de comenzar
Configuración de la aprobación de varias partes
Puedes activar o desactivar la aprobación de varias partes para estos parámetros de configuración de la Consola del administrador:
Configuración de seguridad
- Verificación en 2 pasos
- Recuperación de la cuenta
- Programa de Protección Avanzada
- Control de sesiones de Google
- Verificación de identidad
- Sin contraseña
- SSO con IdP externo
- Delegación de todo el dominio
- Acceso adaptado al contexto
Acceso a través de APIs a la configuración de seguridad
Configuración del calendario
- Archivo de terceros del calendario
- Uso compartido del calendario
- Configuración general del calendario
Configuración de Grupos
Configuración de dominios
- Agregar un alias o un dominio secundario
- Cambiar el dominio principal
- Quitar un alias o un dominio secundario
Configuración de Google Vault
Para obtener instrucciones sobre cómo activar o desactivar la aprobación de varias partes, consulta Activa o desactiva la aprobación de varias partes en esta página.
Nota: Las apps y los servicios también pueden acceder a ciertos parámetros de configuración de la Consola del administrador a través de las APIs. Las aprobaciones de varias partes independientes protegen las acciones sensibles que se realizan a través de llamadas a la API pública.
Aprobación de varias partes en dominios de revendedores
Si la aprobación de varias partes está activada en el dominio de un cliente revendido y un administrador del revendedor intenta actualizar un parámetro de configuración sensible, la solicitud de aprobación se envía solo a los administradores revendidos, y solo ellos pueden aprobar, rechazar o ver la solicitud.
Asigna privilegios de administrador para revisar las solicitudes de aprobación de varias partes
Los administradores avanzados pueden otorgar a otros administradores los privilegios necesarios para revisar y aprobar las solicitudes de aprobación de varias partes.
Crea un rol de administrador personalizado que incluya los privilegios de aprobación de varias partes que quieres que tengan los administradores.
Nota: Algunas acciones de la Consola del administrador requieren que seas administrador avanzado, como activar o desactivar la verificación en 2 pasos (2SV). Si la aprobación de varias partes está activada para una de estas acciones, necesitarás un segundo administrador avanzado para revisar las solicitudes de aprobación de varias partes asociadas. Para obtener más detalles, consulta Cómo convertir a un usuario en administrador avanzado.
Asigna el rol de administrador personalizado que creaste en el paso 1 a uno o más administradores.
Para obtener más detalles, consulta Asigna roles de administrador específicos.
Guarda la configuración del rol que asignaste en el paso 2.
Activa o desactiva la aprobación de varias partes
Debes acceder como administrador avanzado para realizar esta tarea.Usa la configuración de la aprobación de varias partes en la Consola del administrador para activar o desactivar la función en tu organización, para la configuración de seguridad individual de la Consola del administrador y para las APIs públicas que pueden acceder a la configuración de seguridad.
-
En la Consola del administrador de Google, ve a Menú
Seguridad Autenticación Configuración de la aprobación de varias partes.Debes acceder como administrador avanzado para realizar esta tarea.
Para activar o desactivar la aprobación de varias partes en tu organización, haz clic en Configuración de la aprobación de varias partes, marca o desmarca la casilla Exigir la aprobación de varias partes para acciones sensibles y, luego, haz clic en Guardar.
Nota: Si desactivas la aprobación de varias partes para tu organización desde un estado activado, ocurrirá lo siguiente:
- Las solicitudes pendientes permanecerán activas durante el mismo período hasta que se aprueben, se rechacen, se cancelen o venzan.
- Los nuevos cambios de configuración que impliquen acciones sensibles de los administradores no crearán solicitudes de aprobación de varias partes, incluso si la aprobación de varias partes está activada para ese parámetro de configuración individual.
Para activar o desactivar la aprobación de varias partes para uno o más parámetros de configuración de seguridad individuales, haz clic en Aprobación de varias partes para la configuración de seguridad, marca o desmarca la casilla asociada a cada parámetro de configuración para el que quieras activar o desactivar la aprobación de varias partes y, luego, haz clic en Guardar.
Nota: Si la aprobación de varias partes está activada para un parámetro de configuración individual, los cambios realizados en el parámetro de configuración en la Consola del administrador solo crearán una solicitud de aprobación de varias partes cuando la aprobación de varias partes también esté activada para la organización.
Para activar o desactivar la aprobación de varias partes para las APIs públicas que pueden acceder a la configuración de seguridad, haz clic en Aprobación de varias partes para el acceso a través de APIs a la configuración de seguridad, marca o desmarca la casilla SSO con IdP externos y, luego, haz clic en Guardar.
Para activar o desactivar la aprobación de varias partes para la configuración del calendario, haz clic en Aprobación de varias partes para la configuración del calendario, marca o desmarca la casilla asociada a cada parámetro de configuración para el que quieras activar o desactivar la aprobación de varias partes y, luego, haz clic en Guardar.
Para activar o desactivar la aprobación de varias partes para la configuración de Grupos, haz clic en Aprobación de varias partes para la configuración de Grupos, marca o desmarca la casilla asociada a cada parámetro de configuración para el que quieras activar o desactivar la aprobación de varias partes y, luego, haz clic en Guardar.
Para activar o desactivar la aprobación de varias partes para acciones sensibles del dominio, haz clic en Aprobación de varias partes para la configuración del administrador, marca o desmarca la casilla Domains API y, luego, haz clic en Guardar.
Para activar o desactivar la aprobación de varias partes para la configuración de Vault, haz clic en Aprobación de varias partes para la configuración de Vault, marca o desmarca la casilla Crear exportación y, luego, haz clic en Guardar.
Cómo ver, aprobar o cancelar una solicitud
El solicitante o el responsable de aprobación pueden ver las solicitudes pendientes o anteriores en la página Aprobación de varias partes. Si haces clic en una solicitud en la pestaña Solicitudes enviadas , se mostrará una página de detalles de esa solicitud. En la página de detalles de la solicitud, los solicitantes pueden cancelar su solicitud, y los responsables de aprobación pueden aprobarla o rechazarla.
-
En la Consola del administrador de Google, ve a Menú
Seguridad Autenticación Solicitudes de aprobación de varias partes.Debes acceder como administrador avanzado para realizar esta tarea.
Puedes ver las solicitudes que creaste, así como las de otras personas que tienes autorización para revisar porque tienes privilegios para realizar la misma acción de la Consola del administrador y para revisar las solicitudes de aprobación de varias partes. Los detalles de la solicitud incluyen el estado de la solicitud, el nombre del solicitante, la fecha en que se creó la solicitud, el cambio de configuración que se solicita y la fecha de vencimiento de la solicitud.
Para ver los detalles de una solicitud específica, haz clic en su vínculo en la columna Acción.
- La página de detalles del solicitante incluye una opción para cancelar la solicitud.
- La página de detalles del responsable de aprobación incluye opciones para aprobar o rechazar la solicitud.
Haz clic en Aprobación de varias partes para volver a la página de la lista de aprobaciones.
Privilegios para acciones sensibles de la Consola del administrador y revisiones de solicitudes de cambio
Para ver las solicitudes de aprobación de varias partes de acciones sensibles de la Consola del administrador, debes tener el privilegio a nivel de acción que se indica en la siguiente tabla o el privilegio Puede revisar las aprobaciones de varias partes de todas las acciones sensibles.
| Parámetro de configuración de la Consola del administrador | Rol o privilegio necesario para realizar la acción | Rol o privilegio necesario para revisar una solicitud de aprobación de varias partes para la acción |
|---|---|---|
| Verificación en 2 pasos | Rol de administrador avanzado | Rol de administrador avanzado |
| Recuperación de la cuenta | Rol de administrador avanzado | Rol de administrador avanzado |
| Control de sesiones de Google | Seguridad > Controlar la lectura y escritura de la configuración de seguridad | Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles o Aprobación de varias partes > Revisar acciones de seguridad |
| Programa de Protección Avanzada | Seguridad > Controlar la lectura y escritura de la configuración de seguridad | Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles o Aprobación de varias partes > Revisar acciones de seguridad |
| Verificación de identidad | Seguridad > Controlar la lectura y escritura de la configuración de seguridad | Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles o Aprobación de varias partes > Revisar acciones de seguridad |
| Sin contraseña | Seguridad > Controlar la lectura y escritura de la configuración de seguridad | Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles o Aprobación de varias partes > Revisar acciones de seguridad |
| Delegación de todo el dominio | Rol de administrador avanzado | Rol de administrador avanzado |
| SSO con IdP externos | Seguridad > Controlar la lectura y escritura de la configuración de seguridad o Seguridad > Controlar la lectura y escritura de la configuración de SSO entrante | Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles o Aprobación de varias partes > Revisar acciones de seguridad |
| Acceso adaptado al contexto | Servicios > Seguridad de los datos > Administración de niveles de acceso | Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles o Aprobación de varias partes > Revisar acciones de seguridad |
| API de Domains | Privilegios de la API de Admin > Administración de dominios | Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles > Revisar acciones de dominio |
| Uso compartido del calendario | Calendario > Todos los parámetros de configuración > Administrar parámetros de configuración | Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles o Aprobación de varias partes > Revisar acciones del calendario |
| Configuración general del calendario | Calendario > Todos los parámetros de configuración > Administrar parámetros de configuración | Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles o Aprobación de varias partes > Revisar acciones del calendario |
| Configuración de archivado de terceros del calendario | Archivo de terceros > Administrar la configuración de archivado de terceros | Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles o Aprobación de varias partes > Revisar acciones del calendario |
| Uso compartido grupal | Grupos para empresas > Configuración del servicio de Grupos | Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles o Aprobación de varias partes > Revisar acciones de Grupos |
| (Vault) Crear exportación | Rol de administrador avanzado | Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles > Revisar acciones de Vault |
Más información sobre los roles y privilegios de la aprobación de varias partes
- Solo los administradores avanzados pueden otorgar a otros administradores privilegios de aprobación de varias partes y actualizar la configuración de la aprobación de varias partes en la Consola del administrador.
- Los administradores que enviaron una o más solicitudes de aprobación pueden verlas en la Consola del administrador.
- Los administradores avanzados pueden ver los privilegios asociados al rol de administrador de aprobación de varias partes.
- Para revisar las solicitudes enviadas por otros administradores, un administrador debe tener el privilegio de revisar las solicitudes de aprobación de varias partes y el privilegio de cambiar la configuración que se está revisando.
Cómo funciona la aprobación de varias partes
En este ejemplo, la aprobación de varias partes protege la acción sensible de cambiar la configuración de la 2SV.
- Un administrador avanzado de Workspace navega a Seguridad
Autenticación Configuración de la verificación en 2 pasos y
trata de cambiar la aplicación de Activada a Desactivada.
Un cuadro notifica al administrador avanzado que esta acción requiere la aprobación de otro administrador. De manera opcional, el solicitante puede ingresar un mensaje explicativo antes de enviar la solicitud de aprobación.
Nota: Si ya hay una solicitud pendiente para aprobar un cambio de configuración, cualquier solicitud nueva se bloqueará temporalmente hasta que se resuelva la solicitud pendiente. El administrador cuya solicitud está bloqueada puede ver la solicitud en conflicto.
El administrador avanzado solicitante recibe un correo electrónico en el que se confirma que se envió su solicitud de aprobación.
El administrador responsable de aprobación recibe una solicitud de aprobación por correo electrónico y abre un vínculo a la página Aprobación de varias partes en la Consola del administrador, que muestra detalles sobre lo siguiente:
- Quién solicita el cambio
- El parámetro de configuración actual (antes del cambio) y el parámetro de configuración propuesto (después del cambio)
- Opciones para aprobar o rechazar la solicitud
Nota: Si la asignación de roles basada en grupos es la forma en que un administrador obtiene el privilegio de realizar una acción sensible o revisar las solicitudes de aprobación de varias partes, no recibirá solicitudes de revisión por correo electrónico. Los administradores pueden acceder a la página Aprobación de varias partes, en la que se enumeran todas las solicitudes que tienen autorización para revisar.
El administrador responsable de aprobación revisa los detalles de la solicitud y, luego, la aprueba o la rechaza.
- Si se aprueba la solicitud, se realiza el cambio de configuración de la 2SV sin que el administrador solicitante deba realizar ninguna otra acción.
- Si el administrador responsable de aprobación no realiza ninguna acción, la solicitud vence en 3 días.
El solicitante original recibe un correo electrónico cuando se aprueba o rechaza la solicitud, o si la solicitud venció sin que se realizara ninguna acción.