Edições compatíveis com este recurso: Enterprise Standard e Enterprise Plus; Education Standard e Education Plus; Enterprise Essentials Plus. Comparar sua edição
A aprovação de outra parte protege contra ações maliciosas no Google Admin Console. Todas as mudanças nas configurações sensíveis precisam ser aprovadas por um superadministrador ou um admin com privilégios para realizar a ação protegida e delegar privilégios para revisar a aprovação de outra parte dessa ação.
Antes de começar
Configurações de aprovação de outra parte
É possível ativar ou desativar a aprovação de outra parte para estas configurações do Admin Console:
Configurações de segurança
- Verificação em duas etapas
- Recuperação de conta
- Programa Proteção Avançada
- Controle de sessão do Google
- Desafios de login
- Sem senha
- SSO com IdP de terceiros
- Delegação em todo o domínio
- Acesso baseado no contexto
Acesso da API às configurações de segurança
Configurações da agenda
- Arquivamento de terceiros do conteúdo do app Agenda
- Compartilhamento de agendas
- Configurações gerais do Google Agenda
Configurações dos Grupos do Google
Configurações de domínios
- Adicionar alias ou domínio secundário
- Alterar o domínio principal
- Remover alias ou domínio secundário
Configurações do Google Vault
Para instruções sobre como ativar ou desativar a aprovação de outra parte, acesse Ativar ou desativar a aprovação de outra parte nesta página.
Observação: apps e serviços também podem acessar determinadas configurações do Admin Console usando APIs. As aprovações de outra parte separadas protegem ações sensíveis realizadas por chamadas de API public.
Aprovação de outra parte em domínios de revendedor
Se a aprovação de outra parte estiver ativada no domínio de um cliente de revenda e um admin de revendedor tentar atualizar uma configuração sensível, a solicitação de aprovação será enviada apenas aos admins de revenda, que podem aprovar, recusar ou ver a solicitação.
Atribuir privilégios de administrador para analisar pedidos de aprovação de outra parte
Os superadministradores podem conceder a outros administradores os privilégios necessários para analisar e aprovar pedidos de aprovação de outra parte.
- Crie uma função de administrador personalizada que inclua os privilégios de aprovação de outra parte que você quer que os administradores tenham.
Dica: algumas ações do Admin Console exigem que você seja um superadministrador, por exemplo, ativar ou desativar a verificação em duas etapas. Se a aprovação de outra parte estiver ativada para uma dessas ações, você vai precisar de um segundo superadministrador para analisar os pedidos de aprovação de outra parte associados. Confira mais detalhes em Atribuir a função de superadministrador a um usuário. - Atribua a função de administrador personalizada que você criou na etapa 1 a um ou mais administradores.
Veja mais detalhes em Atribuir funções administrativas específicas. - Salve a configuração de função atribuída na etapa 2.
Ativar ou desativar a aprovação de outra parte
Para realizar essa tarefa, você precisa fazer login como superadministrador.Use as configurações de aprovação de outra parte no Admin Console para ativar ou desativar o recurso na sua organização, em configurações de segurança individuais do Admin Console e em APIs públicas que podem acessar as configurações de segurança.
-
No Google Admin Console, acesse Menu
SegurançaAutenticaçãoConfigurações de aprovação de outra parte.Para realizar essa tarefa, você precisa fazer login como superadministrador.
Para ativar ou desativar a aprovação de outra parte na sua organização, clique em Configurações de aprovação de outra parte, marque ou desmarque a caixa Exigir aprovação de outra parte para ações sensíveis e clique em Salvar.
Observação: se você desativar a aprovação de outra parte para sua organização:
- As solicitações pendentes permanecem ativas pelo mesmo período até serem aprovadas, negadas, canceladas ou expirarem.
- Novas mudanças nas configurações que envolvem ações sensíveis do administrador não criam solicitações de aprovação de outra parte, mesmo que essa opção esteja ativada para a configuração individual.
Para ativar ou desativar a aprovação de outra parte em uma ou mais configurações de segurança individuais, clique em Aprovação de outra parte para configurações de segurança, marque ou desmarque a caixa associada a cada configuração em que você quer ativar ou desativar a aprovação de outra parte e clique em Salvar.
Observação: se a aprovação de outra parte estiver ativada para uma configuração individual, as mudanças feitas nela no Admin Console só vão criar um pedido de aprovação de outra parte quando esse recurso também estiver ativado para a organização.
Para ativar ou desativar a aprovação de outra parte para APIs públicas que podem acessar as configurações de segurança, clique em Aprovação de outra parte para acesso da API às configurações de segurança, marque ou desmarque a caixa SSO com IDPs de terceiros e clique em Salvar.
Para ativar ou desativar a aprovação de outra parte nas configurações da Agenda, clique em Aprovação de outra parte para as configurações da Agenda, marque ou desmarque a caixa associada a cada configuração em que você quer ativar ou desativar a aprovação de outra parte e clique em Salvar.
Para ativar ou desativar a aprovação de outra parte nas configurações dos Grupos, clique em Aprovação de outra parte para configurações dos Grupos, marque ou desmarque a caixa associada a cada configuração em que você quer ativar ou desativar a aprovação de outra parte e clique em Salvar.
Para ativar ou desativar a aprovação de outra parte para ações sensíveis do domínio, clique em Aprovação de outra parte para configurações de administrador, marque ou desmarque a caixa API Domains e clique em Salvar.
Para ativar ou desativar a aprovação de outra parte nas configurações do Vault, clique em Aprovação de outra parte para configurações do Vault, marque ou desmarque a caixa Criar exportação e clique em Salvar.
Ver, aprovar ou cancelar uma solicitação
O solicitante ou o aprovador pode visualizar as solicitações pendentes ou passadas na página de aprovação de várias partes. Clicar em uma solicitação na guia Solicitações enviadas mostra uma página de detalhes dessa solicitação. Na página de detalhes da solicitação, os solicitantes podem cancelar o pedido, e os aprovadores podem aprovar ou negar a solicitação.
-
No Google Admin Console, acesse Menu
SegurançaAutenticaçãoSolicitações de aprovação de outra parte.Para realizar essa tarefa, você precisa fazer login como superadministrador.
Você pode conferir as solicitações que criou e as de outras pessoas que você foi autorizado a revisar. Para isso, é necessário ter privilégios para realizar a mesma ação do Admin Console e para revisar solicitações de aprovação de outra parte. Os detalhes incluem o status da solicitação, o nome do solicitante, a data de criação da solicitação, a alteração da configuração solicitada e a data de validade da solicitação.
Para conferir os detalhes de uma solicitação específica, clique no link dela na coluna Ação.
- A página de detalhes do solicitante inclui uma opção para cancelar a solicitação.
- A página de detalhes do aprovador inclui opções para aprovar ou negar a solicitação.
Clique em Aprovação de outra parte para voltar à página da lista de aprovação.
Privilégios para ações sensíveis do Admin Console e revisões de solicitações de mudança
Para ver solicitações de aprovação de outra parte para ações sensíveis do Admin Console, você precisa ter o privilégio no nível da ação listado na tabela abaixo ou o privilégio Pode analisar as aprovações de outras partes para todas as ações sensíveis.
| Configuração do Admin Console | Função ou privilégio necessário para realizar a ação | Função ou privilégio necessário para analisar um pedido de aprovação de várias partes para a ação |
|---|---|---|
| Verificação em duas etapas | Função de superadministrador | Função de superadministrador |
| Recuperação de conta | Função de superadministrador | Função de superadministrador |
| Controle de sessão do Google | Segurança > Controlar a leitura e a gravação das configurações de segurança | Aprovação de outra parte > Pode analisar as aprovações de outra parte para todas as ações sensíveis ou Aprovação de outra parte > Analisar ações de segurança |
| Programa Proteção Avançada | Segurança > Controlar a leitura e a gravação das configurações de segurança | Aprovação de outra parte > Pode analisar as aprovações de outra parte para todas as ações sensíveis ou Aprovação de outra parte > Analisar ações de segurança |
| Desafios de login | Segurança > Controlar a leitura e a gravação das configurações de segurança | Aprovação de outra parte > Pode analisar as aprovações de outra parte para todas as ações sensíveis ou Aprovação de outra parte > Analisar ações de segurança |
| Sem senha | Segurança > Controlar a leitura e a gravação das configurações de segurança | Aprovação de outra parte > Pode analisar as aprovações de outra parte para todas as ações sensíveis ou Aprovação de outra parte > Analisar ações de segurança |
| Delegação em todo o domínio | Função de superadministrador | Função de superadministrador |
| SSO com IdPs terceirizados | Segurança > Controlar a leitura e a gravação das configurações de segurança ou Segurança > Controlar a leitura e a gravação das configurações do SSO de entrada | Aprovação de outra parte > Pode analisar as aprovações de outra parte para todas as ações sensíveis ou Aprovação de outra parte > Analisar ações de segurança |
| Acesso baseado no contexto | Serviços > Segurança de dados > Gerenciamento do nível de acesso | Aprovação de outra parte > Pode analisar as aprovações de outra parte para todas as ações sensíveis ou Aprovação de outra parte > Analisar ações de segurança |
| API Domains | Privilégios da API Admin > Gerenciamento de domínios | Aprovação de outra parte > Pode analisar as aprovações de outra parte para todas as ações sensíveis > Analisar ações de domínio |
| Compartilhamento de agendas | Agenda > Todas as configurações > Gerenciar configurações | Aprovação de outra parte > Pode analisar as aprovações de outra parte para todas as ações sensíveis ou Aprovação de outra parte > Analisar ações do Google Agenda |
| Configurações gerais do Google Agenda | Agenda > Todas as configurações > Gerenciar configurações | Aprovação de outra parte > Pode analisar as aprovações de outra parte para todas as ações sensíveis ou Aprovação de outra parte > Analisar ações do Google Agenda |
| Configurações para o arquivamento de terceiros do conteúdo do app Agenda | Arquivamento de terceiros > Gerenciar configurações de arquivamento de terceiros | Aprovação de outra parte > Pode analisar as aprovações de outra parte para todas as ações sensíveis ou Aprovação de outra parte > Analisar ações do Google Agenda |
| Compartilhamento em grupos | Grupos para empresas > Configurações do serviço Grupos | Aprovação de outra parte > Pode analisar as aprovações de outra parte para todas as ações sensíveis ou Aprovação de outra parte > Analisar ações de Grupos |
| (Vault) Criar exportação | Função de superadministrador | Aprovação de outra parte > Pode analisar as aprovações de outra parte para todas as ações sensíveis > Analisar ações do Vault |
Mais sobre os papéis e privilégios de aprovação de outra parte
- Apenas superadministradores podem conceder privilégios de aprovação de várias partes a outros administradores e atualizar as configurações de aprovação de várias partes no Admin Console.
- Os administradores que enviaram uma ou mais solicitações de aprovação podem conferir os pedidos no Admin Console.
- Os superadministradores podem conferir os privilégios associados à função de administrador de aprovação de outra parte.
- Para revisar solicitações enviadas por outros admins, um admin precisa ter o privilégio de revisar solicitações de aprovação de outra parte e de mudar as configurações em análise.
Como funciona a aprovação de várias partes
Neste exemplo, a aprovação de várias partes protege a ação confidencial de alterar as configurações da verificação em duas etapas.
- Um superadministrador do Workspace acessa SegurançaAutenticaçãoConfigurações da verificação em duas etapas e tenta configurar a aplicação de Ativada para Desativada.
- Uma caixa notifica o superadministrador de que essa ação requer aprovação de outro administrador. O solicitante pode inserir uma mensagem explicativa antes de enviar o pedido para aprovação.
Observação: se já houver uma solicitação pendente para aprovar uma mudança de configuração, qualquer nova solicitação será bloqueada temporariamente até que a pendente seja resolvida. O administrador cuja solicitação está bloqueada pode visualizar a solicitação conflitante. - O superadministrador solicitante recebe um e-mail confirmando que o pedido de aprovação foi enviado.
O administrador aprovador recebe uma solicitação de aprovação por e-mail e abre um link para a página de aprovação de várias partes no Admin Console, que mostra detalhes sobre:
- Quem está solicitando a mudança
- A configuração atual (antes da mudança) e a proposta (após a mudança)
- Opções para aprovar ou negar a solicitação
Observação: se a atribuição de função com base em grupo for a maneira como um administrador ganha o privilégio de realizar uma ação sensível ou analisar solicitações de aprovação de outra parte, ele não vai receber solicitações de análise por e-mail. Os administradores podem acessar a página "Aprovação de várias partes", onde todos os pedidos que eles estão autorizados a analisar são listados.
O administrador aprovador analisa os detalhes da solicitação e a aprova ou nega.
- Se a solicitação for aprovada, a alteração nas configurações da verificação em duas etapas será realizada sem que o administrador solicitante precise realizar outras ações.
- Se o admin aprovador não fizer nada, a solicitação vai expirar em três dias.
O solicitante original recebe um e-mail quando a solicitação é aprovada ou negada ou se ela expira sem qualquer ação.