Aprobación de varias partes para acciones sensibles

Ediciones compatibles con esta función: Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, y Enterprise Essentials Plus. Comparar tu edición

Como administrador de Google Workspace, puedes protegerte contra acciones maliciosas en la Consola del administrador de Google con la aprobación de varias partes. Cuando la aprobación de varias partes está activada, un segundo administrador debe aprobar los cambios en la configuración sensible.

Puedes usar la aprobación de varias partes para ciertos parámetros de configuración de seguridad, Google Groups, Domains, Calendario de Google y Google Vault. Para revisar todos los parámetros de configuración de la Consola del administrador que la aprobación de varias partes puede proteger, ve a Configuración de la aprobación de varias partes (más adelante en esta página).

Nota: Las apps y los servicios también pueden acceder a ciertos parámetros de configuración de la Consola del administrador a través de las APIs. Las aprobaciones de varias partes independientes protegen las acciones sensibles que se realizan a través de llamadas a la API pública.

Antes de comenzar

  • Para revisar las solicitudes de acciones sensibles de la Consola del administrador, cualquier administrador que no sea un administrador avanzado debe tener el privilegio Puede revisar las aprobaciones de varias partes de todas las acciones sensibles o el privilegio necesario para realizar la acción sensible.
  • Si desactivas la aprobación de varias partes para tu organización, las solicitudes pendientes permanecerán activas hasta que se aprueben, rechacen, cancelen o venzan.
  • Si la aprobación de varias partes está activada en el dominio de un cliente revendido y un administrador del distribuidor intenta actualizar un parámetro de configuración sensible, la solicitud de aprobación se envía solo a los administradores revendidos. Solo estos administradores pueden aprobar, rechazar o ver la solicitud.

Paso 1: Activa o desactiva la aprobación de varias partes

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Autenticación y luego Configuración de la aprobación de varias partes.

  2. Haz clic en Configuración de la aprobación de varias partes.
  3. Marca o desmarca la casilla Exigir la aprobación de varias partes para acciones sensibles.
  4. Haz clic en Guardar.
  5. Haz clic en una categoría de configuración y en un parámetro de configuración. Obtén información sobre la configuración (más adelante en esta página).
  6. Para exigir la aprobación de varias partes para un parámetro de configuración, marca la casilla.
  7. Haz clic en Guardar.

Paso 2: Otorga a los administradores privilegios de aprobación de varias partes

Debes acceder como administrador avanzado para realizar esta tarea.

  1. Crea uno o más roles de administrador personalizados, cada uno de los cuales incluye los privilegios de aprobación de varias partes que quieres que tengan los administradores.

    Nota: Algunas acciones de la Consola del administrador requieren ser administrador avanzado, como activar o desactivar la Verificación en 2 pasos (2SV). Si la aprobación de varias partes está activada para una de estas acciones, un segundo administrador avanzado debe revisar las solicitudes de aprobación de varias partes asociadas. Para obtener más información, consulta Cómo hacer que un usuario sea un administrador avanzado.

  2. Asigna el rol de administrador personalizado que creaste en el paso 1 a uno o más administradores. Para obtener más información, consulta Cómo asignar roles de administrador específicos.

  3. Guarda la configuración de roles que asignaste en el paso 2.

Paso 3: Revisa las solicitudes de aprobación de varias partes

Puedes revisar las solicitudes de aprobación de varias partes que creaste, así como las solicitudes de otras personas que tienes autorización para revisar.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Autenticación y luego Solicitudes de aprobación de varias partes.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Para aprobar o rechazar una solicitud, haz clic en el nombre de la solicitud y luego Aprobar solicitud o Rechazar solicitud.
  3. Para cancelar una solicitud que enviaste, haz clic en Solicitudes enviadas y luego nombre de la solicitud y luego Cancelar solicitud.

Configuración de la aprobación de varias partes

Aprobación de varias partes para la configuración de seguridad

Verificación en 2 pasos

Marca la casilla para exigir la aprobación de varias partes para los cambios en la configuración de la 2SV de tu organización. Un administrador avanzado debe aprobar la solicitud. Para obtener más información, consulta Cómo proteger tu empresa con la Verificación en 2 pasos.

Recuperación de la cuenta

Requiere la aprobación de varias partes para cambiar la configuración de recuperación de la cuenta de tu organización. Un administrador avanzado debe aprobar la solicitud. Para obtener más información, consulta Cómo configurar la recuperación de contraseñas para los usuarios.

Control de sesiones de Google

Requiere la aprobación de varias partes para cambiar la configuración de control de sesiones de Google de tu organización. Un administrador avanzado o un administrador con uno de los siguientes privilegios debe aprobar la solicitud:

  • Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles
  • Aprobación de varias partes > Revisar acciones de seguridad
  • Seguridad > Controlar la lectura y escritura de la configuración de seguridad

Para obtener más información, consulta Cómo establecer la duración de la sesión para los servicios de Google.

Programa de Protección Avanzada

Requiere la aprobación de varias partes para cambiar la configuración del Programa de Protección Avanzada de tu organización. Un administrador avanzado o un administrador con uno de los siguientes privilegios debe aprobar la solicitud:

  • Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles
  • Aprobación de varias partes > Revisar acciones de seguridad
  • Seguridad > Controlar la lectura y escritura de la configuración de seguridad

Para obtener más información, consulta Cómo proteger a los usuarios con el Programa de Protección Avanzada.

Verificación de identidad

Requiere la aprobación de varias partes para cambiar la configuración de verificación de identidad de tu organización. Un administrador avanzado o un administrador con uno de los siguientes privilegios debe aprobar la solicitud:

  • Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles
  • Aprobación de varias partes > Revisar acciones de seguridad
  • Seguridad > Controlar la lectura y escritura de la configuración de seguridad

Para obtener más información, consulta Cómo proteger cuentas de Google Workspace con comprobaciones de seguridad.

Sin contraseña

Requiere la aprobación de varias partes para cambiar la configuración sin contraseña de tu organización. Un administrador avanzado o un administrador con uno de los siguientes privilegios debe aprobar la solicitud:

  • Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles
  • Aprobación de varias partes > Revisar acciones de seguridad
  • Seguridad > Controlar la lectura y escritura de la configuración de seguridad

Para obtener más información, consulta Cómo permitir que los usuarios omitan las contracciones al acceder.

Delegación de todo el dominio

Requiere la aprobación de varias partes para cambiar la configuración de delegación de todo el dominio de tu organización. Un administrador avanzado debe aprobar la solicitud. Para obtener más información, consulta Cómo controlar el acceso a la API con la delegación de todo el dominio.

SSO con proveedor de identidad (IdP) externo

Requiere la aprobación de varias partes para cambiar la configuración de inicio de sesión único (SSO) con IdP externo de tu organización. Un administrador avanzado o un administrador con uno de los siguientes privilegios debe aprobar la solicitud:

  • Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles
  • Aprobación de varias partes > Revisar acciones de seguridad
  • Seguridad > Controlar la lectura y escritura de la configuración de seguridad
  • Seguridad > Controlar la lectura y escritura de la configuración de SSO entrante

Para obtener más información, consulta Cómo configurar el SSO.

Acceso adaptado al contexto

Requiere la aprobación de varias partes para cambiar la configuración de Acceso adaptado al contexto de tu organización. Un administrador avanzado o un administrador con uno de los siguientes privilegios debe aprobar la solicitud:

  • Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles
  • Aprobación de varias partes > Revisar acciones de seguridad
  • Seguridad > Seguridad de los datos > Administración de niveles de acceso

Para obtener más información, consulta Cómo activar y desactivar el Acceso adaptado al contexto.

Aprobación de varias partes para el acceso a través de APIs a la configuración de seguridad

SSO con IdP externo

Requiere la aprobación de varias partes para cambiar la configuración de SSO con IdP externo de tu organización a través de una API. Un administrador avanzado o un administrador con uno de los siguientes privilegios debe aprobar la solicitud:

  • Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles
  • Aprobación de varias partes > Revisar acciones de seguridad
  • Seguridad > Controlar la lectura y escritura de la configuración de seguridad
  • Seguridad > Controlar la lectura y escritura de la configuración de SSO entrante

Aprobación de varias partes para la configuración del administrador de dominio

API de Domains

Requiere la aprobación de varias partes para estos parámetros de configuración de dominio sensibles:

Un administrador avanzado o un administrador con uno de los siguientes privilegios debe aprobar la solicitud:

  • Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles
  • Aprobación de varias partes > Revisar acciones de dominio
  • Privilegios de la API de Admin > Administración de dominios

Aprobación de varias partes para la configuración del calendario

Uso compartido del calendario

Requiere la aprobación de varias partes para cambiar la configuración de uso compartido del calendario de tu organización. Un administrador avanzado o un administrador con uno de los siguientes privilegios debe aprobar la solicitud:

  • Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles
  • Aprobación de varias partes > Revisar acciones de calendario
  • Calendario > Todos los parámetros de configuración > Administrar parámetros de configuración

Para obtener más información, consulta Cómo establecer las opciones de uso compartido del Calendario de Google.

Configuración general del calendario

Requiere la aprobación de varias partes para cambiar la configuración general del calendario de tu organización. Un administrador avanzado o un administrador con uno de los siguientes privilegios debe aprobar la solicitud:

  • Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles
  • Aprobación de varias partes > Revisar acciones de calendario
  • Calendario > Todos los parámetros de configuración > Administrar parámetros de configuración

Para obtener más información, consulta Cómo administrar el Calendario para tus usuarios.

Configuración de archivado de terceros del calendario

Requiere la aprobación de varias partes para cambiar la configuración de archivado de terceros del calendario de tu organización. Un administrador avanzado o un administrador con uno de los siguientes privilegios debe aprobar la solicitud:

  • Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles
  • Aprobación de varias partes > Revisar acciones de calendario
  • Archivado de terceros > Administrar la configuración de archivado de terceros

Para obtener más información, consulta Cómo integrar el Calendario con una solución de archivado de terceros.

Aprobación de varias partes para la configuración de grupos

Uso compartido grupal

Requiere la aprobación de varias partes para cambiar la configuración de uso compartido de Grupos para empresas de tu organización. Un administrador avanzado o un administrador con uno de los siguientes privilegios debe aprobar la solicitud:

  • Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles
  • Aprobación de varias partes > Revisar acciones de Grupos
  • Grupos para empresas > Configuración del servicio de Grupos

Para obtener más información, consulta Cómo establecer políticas para toda la organización para usar grupos.

Aprobación de varias partes para la configuración de Vault

Crear exportación

Requiere la aprobación de varias partes para cambiar la configuración de exportación de Google Vault de tu organización. Un administrador avanzado o un administrador con el privilegio Aprobación de varias partes > Puede revisar las aprobaciones de varias partes de todas las acciones sensibles > Revisar acciones de Vault debe aprobar la solicitud.

Para obtener más información, consulta Cómo configurar la aprobación de varias partes para las exportaciones de Vault.