Aprobación de varias partes para acciones sensibles

Ediciones compatibles con esta función: Enterprise Standard y Enterprise Plus; Education Standard y Education Plus; Enterprise Essentials Plus. Comparar tu edición

La aprobación de varias partes protege contra las acciones maliciosas en la Consola del administrador de Google. Todos los cambios en la configuración sensible deben ser aprobados por un administrador avanzado o un administrador con los privilegios para realizar la acción protegida y delegar privilegios para revisar la aprobación de varias partes de esa acción.

Antes de comenzar

Configuración de la aprobación de varias partes

Puedes activar o desactivar la aprobación de varias partes para los siguientes parámetros de configuración de la Consola del administrador:

Configuración de seguridad

• Verificación en 2 pasos
• Recuperación de la cuenta
• Programa de Protección Avanzada
• Control de sesiones de Google
• Verificación de identidad
• Sin contraseña
• SSO con IdP de terceros
• Delegación de todo el dominio
• Acceso adaptado al contexto

Acceso a la API para la configuración de seguridad

• SSO con IdP de terceros

Configuración del calendario

• Archivado de terceros en Calendario
• Uso compartido del calendario
• Configuración general del calendario

Configuración de Grupos

• Compartir en Grupos para empresas

Configuración de dominios

• Agregar alias o dominio secundario
• Cambiar el dominio principal
• Quitar alias o dominio secundario

Configuración de Google Vault

• Google Vault create export

Para obtener instrucciones sobre cómo activar o desactivar la aprobación de varias partes, consulta Cómo activar o desactivar la aprobación de varias partes en esta página.

Nota: Las apps y los servicios también pueden acceder a ciertos parámetros de configuración de la Consola del administrador a través de APIs. Las aprobaciones de varias partes independientes protegen las acciones sensibles que se realizan a través de llamadas a la API pública.

Aprobación de varias partes en dominios de revendedores

Si la aprobación de varias partes está activada en el dominio de un cliente revendido y un administrador del revendedor intenta actualizar un parámetro de configuración sensible, la solicitud de aprobación se envía solo a los administradores del cliente revendido, y solo ellos pueden aprobar, rechazar o ver la solicitud.

Asigna privilegios de administrador para revisar las solicitudes de aprobación de múltiples partes

Los administradores avanzados pueden otorgar a otros administradores los privilegios necesarios para revisar y aprobar las solicitudes de aprobación de varias partes.

1. Crea un rol de administrador personalizado que incluya los privilegios de aprobación de varias partes que deseas que tengan los administradores.
   Nota: Algunas acciones de la Consola del administrador requieren que seas administrador avanzado, como activar o desactivar la verificación en 2 pasos (2SV). Si la aprobación de varias partes está activada para una de estas acciones, necesitarás un segundo administrador avanzado para revisar las solicitudes de aprobación de varias partes asociadas. Para obtener más información, consulta Cómo hacer que un usuario sea administrador avanzado.
2. Asigna el rol de administrador personalizado que creaste en el paso 1 a uno o más administradores.
   Para obtener más información, consulta Asigna roles de administrador específicos.
3. Guarda la configuración del rol que asignaste en el paso 2.

Cómo activar o desactivar la aprobación de múltiples grupos

Debes acceder como administrador avanzado para realizar esta tarea.

Usa la configuración de aprobación de varias partes en la Consola del administrador para activar o desactivar la función en tu organización, para la configuración de seguridad individual de la Consola del administrador y para las APIs públicas que pueden acceder a la configuración de seguridad.

1. En la Consola del administrador de Google, ve a Menú SeguridadAutenticaciónConfiguración de la aprobación de varias partes.

   Ir a la configuración de aprobación de varias partes

   Debes acceder como administrador avanzado para realizar esta tarea.

2. Para activar o desactivar la aprobación de varias partes en tu organización, haz clic en Configuración de aprobación de varias partes, marca o desmarca la casilla Exigir la aprobación de varias partes para acciones sensibles y, luego, haz clic en Guardar.

   Nota: Si desactivas la aprobación de varias partes para tu organización, ten en cuenta lo siguiente:

   • Las solicitudes pendientes permanecen activas durante el mismo período hasta que se aprueban, rechazan, cancelan o vencen.
   • Los nuevos cambios en la configuración que involucran acciones sensibles de los administradores no crean solicitudes de aprobación de varias partes, incluso si la aprobación de varias partes está activada para ese parámetro de configuración individual.

3. Para activar o desactivar la aprobación de varias partes para uno o más parámetros de configuración de seguridad individuales, haz clic en Aprobación de varias partes para la configuración de seguridad, marca o desmarca la casilla asociada a cada parámetro de configuración para el que quieras activar o desactivar la aprobación de varias partes y, luego, haz clic en Guardar.

   Nota: Si la aprobación de varias partes está activada para un parámetro de configuración individual, los cambios que se realicen en el parámetro de configuración en la Consola del administrador solo crearán una solicitud de aprobación de varias partes cuando la aprobación de varias partes también esté activada para la organización.

4. Para activar o desactivar la aprobación de varias partes para las APIs públicas que pueden acceder a la configuración de seguridad, haz clic en Aprobación de varias partes para el acceso a través de APIs a la configuración de seguridad, marca o desmarca la casilla SSO con IDP externos y, luego, haz clic en Guardar.

5. Para activar o desactivar la aprobación de varias partes para la configuración del Calendario, haz clic en Aprobación de varias partes para la configuración del calendario, marca o desmarca la casilla asociada a cada parámetro de configuración para el que deseas activar o desactivar la aprobación de varias partes y, luego, haz clic en Guardar.

6. Para activar o desactivar la aprobación de varias partes para la configuración de grupos, haz clic en Aprobación de varias partes para la configuración de grupos, marca o desmarca la casilla asociada a cada parámetro de configuración para el que quieras activar o desactivar la aprobación de varias partes y, luego, haz clic en Guardar.

7. Para activar o desactivar la aprobación de varias partes para acciones sensibles del dominio, haz clic en Aprobación de varias partes para la configuración del administrador, marca o desmarca la casilla API de Domains y, luego, haz clic en Guardar.

8. Para activar o desactivar la aprobación de varias partes para la configuración de Vault, haz clic en Aprobación de varias partes para la configuración de Vault, marca o desmarca la casilla Crear exportación y, luego, haz clic en Guardar.

Cómo ver, aprobar o cancelar una solicitud

Tanto el solicitante como el aprobador pueden ver las solicitudes pendientes o anteriores en la página Aprobación de varias partes. Si haces clic en una solicitud en la pestaña Solicitudes enviadas, se mostrará una página de detalles para esa solicitud. En la página de detalles de la solicitud, los solicitantes pueden cancelarla y los aprobadores pueden aprobarla o rechazarla.

1. En la Consola del administrador de Google, ve a Menú SeguridadAutenticaciónSolicitudes de aprobación de varias partes.

   Ir a Solicitudes de aprobación de varias partes

   Debes acceder como administrador avanzado para realizar esta tarea.

   Puedes ver las solicitudes que creaste, así como las de otras personas que tienes autorización para revisar, ya que tienes privilegios para realizar la misma acción en la Consola del administrador y para revisar las solicitudes de aprobación de varias partes. Los detalles de la solicitud incluyen el estado de la solicitud, el nombre del solicitante, la fecha en que se creó la solicitud, el cambio de configuración que se solicita y la fecha de vencimiento de la solicitud.

2. Para ver los detalles de una solicitud específica, haz clic en su vínculo en la columna Acción.

   • La página de detalles del solicitante incluye una opción para cancelar la solicitud.
   • La página de detalles del aprobador incluye opciones para aprobar o rechazar la solicitud.

3. Haz clic en Aprobación de varias partes para volver a la página de la lista de aprobaciones.

Privilegios para acciones sensibles de la Consola del administrador y revisiones de solicitudes de cambio

Para ver las solicitudes de aprobación de varias partes de acciones sensibles de la Consola del administrador, debes tener el privilegio a nivel de la acción que se indica en la siguiente tabla o el privilegio Puede revisar las aprobaciones de varias partes de todas las acciones sensibles.

Más información sobre los roles y privilegios de aprobación de varias partes

• Solo los administradores avanzados pueden otorgar a otros administradores privilegios de aprobación de varias partes y actualizar la configuración de aprobación de varias partes en la Consola del administrador.
• Los administradores que enviaron una o más solicitudes de aprobación pueden verlas en la Consola del administrador.
• Los administradores avanzados pueden ver los privilegios asociados al rol de administrador de aprobación de varias partes.
• Para revisar las solicitudes enviadas por otros administradores, un administrador debe tener el privilegio de revisar las solicitudes de aprobación de varias partes y el privilegio de cambiar la configuración que se está revisando.

Cómo funciona la aprobación de varias partes

En este ejemplo, la aprobación de varias partes protege la acción sensible de cambiar la configuración de la 2SV.

1. Un administrador avanzado de Workspace navega a SeguridadAutenticaciónConfiguración de la verificación en 2 pasos y trata de cambiar la aplicación de Activada a Desactivada.
2. Un cuadro le notifica al administrador avanzado que esta acción requiere la aprobación de otro administrador. De manera opcional, el solicitante puede ingresar un mensaje explicativo antes de enviar la solicitud de aprobación.
   Nota: Si ya hay una solicitud pendiente para aprobar un cambio de configuración, cualquier solicitud nueva se bloqueará temporalmente hasta que se resuelva la solicitud pendiente. El administrador cuya solicitud está bloqueada puede ver la solicitud en conflicto.
3. El superadministrador solicitante recibirá un correo electrónico en el que se confirma que se envió su solicitud de aprobación.

4. El administrador aprobador recibe una solicitud de aprobación por correo electrónico y abre un vínculo a la página Aprobación de múltiples grupos en la Consola del administrador, que muestra detalles sobre lo siguiente:

   • Quién solicita el cambio
   • El parámetro de configuración actual (antes del cambio) y el parámetro de configuración propuesto (después del cambio)
   • Opciones para aprobar o rechazar la solicitud

   Nota: Si la asignación de roles basada en grupos es la forma en que un administrador obtiene el privilegio para realizar una acción sensible o revisar solicitudes de aprobación de varias partes, no recibirá solicitudes de revisión por correo electrónico. Los administradores pueden acceder a la página Aprobación de múltiples partes, en la que se enumeran todas las solicitudes que están autorizados a revisar.

5. El administrador aprobador revisa los detalles de la solicitud y, luego, la aprueba o la rechaza.

   • Si se aprueba la solicitud, se realizará el cambio en la configuración de la 2SV sin que el administrador solicitante deba realizar ninguna otra acción.
   • Si el administrador aprobador no toma ninguna medida, la solicitud vencerá en 3 días.

6. El solicitante original recibe un correo electrónico cuando se aprueba o rechaza la solicitud, o si esta venció sin que se tomaran medidas.