Atribuir funções administrativas específicas

Se você não quiser dar a um usuário acesso total ao Google Admin Console, poderá permitir que ele execute apenas um subconjunto de tarefas administrativas. Para isso, atribua a ele uma função de administrador. É possível atribuir mais de uma função de administrador a um usuário.

Também é possível atribuir uma função de administrador a um grupo ou conta de serviço, em vez de a um usuário. Por exemplo, você pode usar um administrador de conta de serviço para criar e atualizar grupos e participantes com apps não incluídos no Admin Console. A API Cloud Identity Groups é útil para isso. 

Como as funções de administrador funcionam

No Admin Console, os administradores só podem acessar informações e realizar tarefas permitidas pelos privilégios da função. Por exemplo, se você atribuir a função predefinida "Administrador de gerenciamento de usuários", essa pessoa só vai poder ver e modificar configurações específicas de usuários que não são administradores.

Como funcionam os limites de atribuição de funções

Qualquer função pode ser aplicada a todas as unidades organizacionais. Você pode fazer até 1.000 atribuições de qualquer número de funções. Por exemplo, é possível atribuir uma função a 300 usuários e outra a 700 usuários.

Também é possível aplicar algumas funções a unidades organizacionais. Você pode fazer até 1.000 atribuições de qualquer número de funções a cada unidade organizacional. Para ver se você pode aplicar uma função a unidades organizacionais, acesse a página de atribuição de função do usuário e clique em Editar ao lado de "Todas as unidades organizacionais". Os exemplos incluem a função predefinida "Administrador de gerenciamento de usuários" ou uma função personalizada com pelo menos um privilégio de usuário. 

Se você ainda precisar atribuir mais de 1000 funções, poderá adicionar vários membros a um grupo e atribuir uma função a ele. Uma atribuição de função a um grupo conta como uma única atribuição, independentemente do número de membros.

Antes de começar

Etapa 1: revisar as funções personalizadas ou predefinidas já em uso

Você precisa fazer login como um superadministrador para realizar essa tarefa.

  1. No Google Admin Console, acesse Menu e depois Conta e depoisFunções do administrador.

    Você precisa fazer login como um superadministrador para realizar essa tarefa.

  2. Aponte para a função e escolha Ver privilégios ou Ver administradores para saber a quem ela foi atribuída.

Etapa 2: decidir o tipo de função

Você tem as seguintes opções:

Atribuir papéis

Você precisa fazer login como um superadministrador para realizar essa tarefa.

Você pode atribuir uma função a usuários e grupos ao mesmo tempo seguindo um dos procedimentos abaixo para atribuir uma função a vários usuários ou a um grupo.

Atribuir funções a um usuário

Para atribuir a função "Leitor do Grupos" ou "Editor do Grupos" a um usuário com privilégios limitados a grupos de segurança ou não, ou a grupos bloqueados ou desbloqueados, acesse Atribuir uma função a vários usuários de uma só vez.

  1. No Google Admin Console, acesse Menu e depois Diretório e depoisUsuários.

    Exige o privilégio de gerenciamento de usuários adequado. Sem o privilégio correto, você não vai ter acesso a todos os controles necessários para fazer isso.

  2. Abra a página da conta do usuário: clique no nome dele. Ou, na parte de cima, na caixa de pesquisa, digite o nome do usuário e abra a página da conta dele. Para mais opções, acesse Encontrar uma conta de usuário
  3. Role a tela para baixo e clique em Funções e privilégios do administrador.
  4. Ao lado da função predefinida ou personalizada, clique em Atribuída  .

    Se você não encontrar a opção Atribuída  , clique em qualquer lugar em "Funções" para mostrar as opções.

  5. (Opcional) Para restringir a função do administrador a uma unidade organizacional específica, ao lado de Todas as unidades organizacionais, clique em Editar , selecione as unidades organizacionais e clique em Concluído.

    Se você não encontrar a opção Editar , não será possível aplicar a função às unidades organizacionais.

  6. Clique em Salvar.

Dicas:

  • Na seção Privilégios, você pode ver todos os privilégios de todas as funções de administrador atribuídas ao usuário.
  • Para retornar à página da conta do usuário, no canto superior direito, clique na seta para cima .

Atribuir uma função a vários usuários de uma vez

  1. No Google Admin Console, acesse Menu e depois Conta e depoisFunções do administrador.

    Você precisa fazer login como um superadministrador para realizar essa tarefa.

  2. Aponte para a função que você quer atribuir e clique em Atribuir administrador à direita.

    Dica:você pode alternar entre administradores que estão recebendo as funções e os privilégios. Na parte de cima, clique em Administradores ou Privilégios.

  3. Clique em Atribuir participantes.
  4. (Opcional) Com o papel "Leitor de grupos" ou "Editor de grupos", você pode conceder privilégios de administrador apenas a grupos de segurança ou não, ou apenas a grupos bloqueados ou desbloqueados. Para limitar os privilégios:
    1. Clique em Definir condições.
    2. Selecione uma opção para conceder privilégios de administrador apenas a:
      • Grupos de segurança: selecione O marcador contém "Segurança".
      • Grupos que não são de segurança: selecione O marcador não contém "Segurança".
      • Grupos desbloqueados: selecione O marcador não contém "Bloqueado".
    3. Clique em Salvar.
  5. Digite as primeiras letras do endereço de e-mail do usuário (não o nome de usuário) e selecione o endereço dele nas opções.

    É possível atribuir uma função a até 20 usuários e grupos de uma vez.

  6. Clique em Atribuir função.
  7. (Opcional) Para restringir a função do administrador a uma unidade organizacional específica, ao lado de Todas as unidades organizacionais, clique em Editar , selecione as unidades organizacionais e clique em Concluído.

    Se você não encontrar a opção Editar , não será possível aplicar a função às unidades organizacionais.

Atribuir uma função a um grupo

Ao atribuir funções a grupos, você pode conceder privilégios de função a um grande número de usuários.

Você gerencia os grupos com as funções atribuídas da mesma forma que os outros grupos. Para mais informações, consulte Grupos.

Limitações na atribuição de funções de grupo

  • Você pode atribuir qualquer função, exceto Superadministrador ou Administrador revendedor.
  • O grupo precisa ser um grupo de segurança na sua organização que também não seja dinâmico. Saiba mais sobre os grupos de segurança em Controlar o acesso a dados sensíveis com grupos de segurança.
    Para saber se um grupo é dinâmico, clique em Grupos e depoiso nome do grupo no Admin Console. Acesse Participantes e, se você vir Participantes dinâmicos ou Editar consulta de associação, isso significa que o grupo é dinâmico.
  • A atribuição de uma função a um grupo conta como uma atribuição para seu limite de atribuição de funções.
  • É possível atribuir até 250 atribuições de função a grupos no nível geral e em cada unidade organizacional.
  • Para atribuir uma função a muitos grupos e permanecer abaixo do limite, escolha um grupo que precise ter a função de pai e adicione os outros que precisam ter a função como pai. Em seguida, atribua uma função ao grupo principal. Essa atribuição conta como uma atribuição de papel, permitindo que todos os grupos filhos recebam o papel. Confira mais detalhes em Adicionar um grupo a outro.
  • Se você atribuir a um grupo uma função que inclui o privilégio Gerenciar agendas, os participantes não terão todas as funcionalidades associadas a esse privilégio.
  • Se você atribuir a função "Administrador revendedor" a um grupo, os membros do grupo vão receber os privilégios da função apenas na organização do revendedor. Eles não têm privilégios sobre nenhum dos clientes do revendedor.
  • Recomendamos restringir a associação ao grupo a usuários da organização. Você pode adicionar usuários de fora da organização ou de consumidores, mas eles talvez não recebam os privilégios da função. Para mais detalhes, consulte Restringir a associação ao grupo.
  • Os limites de associação ao grupo padrão se aplicam. Para mais detalhes, consulte Associação.

Atribuir uma função

  1. No Google Admin Console, acesse Menu e depois Conta e depoisFunções do administrador.

    Você precisa fazer login como um superadministrador para realizar essa tarefa.

  2. Aponte para a função que você quer atribuir e clique em Atribuir administrador à direita.

    Dica:você pode alternar entre administradores que estão recebendo as funções e os privilégios. Na parte de cima, clique em Administradores ou Privilégios.

  3. Clique em Atribuir participantes.
  4. (Opcional) Com o papel "Leitor de grupos" ou "Editor de grupos", você pode conceder privilégios de administrador apenas a grupos de segurança ou não, ou apenas a grupos bloqueados ou desbloqueados. Para limitar os privilégios:
    1. Clique em Definir condições.
    2. Selecione uma opção para conceder privilégios de administrador apenas a:
      • Grupos de segurança: selecione O marcador contém "Segurança".
      • Grupos que não são de segurança: selecione O marcador não contém "Segurança".
      • Grupos desbloqueados: selecione O marcador não contém "Bloqueado".
    3. Clique em Salvar.
  5. Digite as primeiras letras do endereço de e-mail ou do nome do grupo e selecione o endereço nas opções.

    É possível atribuir uma função a até 20 grupos e usuários de uma só vez.

  6. Clique em Atribuir função.
  7. (Opcional) Para restringir a função do administrador a uma unidade organizacional específica, ao lado de Todas as unidades organizacionais, clique em Editar , selecione as unidades organizacionais e clique em Concluído.

    Se você não encontrar a opção Editar , não será possível aplicar a função às unidades organizacionais.

Atribuir uma função a uma conta de serviço

É possível atribuir qualquer função predefinida ou personalizada, exceto de superadministrador, a uma conta de serviço. A atribuição de uma função a uma conta de serviço é contabilizada no limite de funções.

Antes de começar: configure uma conta de serviço no Google Cloud. Acesse Como criar e gerenciar contas de serviço.

  1. No Google Admin Console, acesse Menu e depois Conta e depoisFunções do administrador.

    Você precisa fazer login como um superadministrador para realizar essa tarefa.

  2. Aponte para a função que você quer atribuir e depoisclique em Atribuir administrador.
  3. Clique em Atribuir contas de serviço.
  4. (Opcional) Com o papel "Leitor de grupos" ou "Editor de grupos", você pode conceder privilégios de administrador apenas a grupos de segurança ou não, ou apenas a grupos bloqueados ou desbloqueados. Para limitar os privilégios:
    1. Clique em Definir condições.
    2. Selecione uma opção para conceder privilégios de administrador apenas a:
      • Grupos de segurança: selecione O marcador contém "Segurança".
      • Grupos que não são de segurança: selecione O marcador não contém "Segurança".
      • Grupos desbloqueados: selecione O marcador não contém "Bloqueado".
    3. Clique em Salvar.
  5. Digite o endereço de e-mail da conta de serviço.

    Para encontrar o endereço de e-mail, abra o console do Google Cloud e clique em Menu e depoisIAM e administrador e depoisContas de serviço.

  6. Clique em Adicionar e depoisAtribuir função.

O que acontece depois? 

No registro de auditoria do administrador, você pode ver quando uma função foi aplicada a uma conta de serviço e quais ações cada administrador realizou nessas contas. Para mais detalhes, acesse Eventos de registro do administrador

Se você aplicou a função predefinida "Administrador de grupos" a uma conta de serviço, também poderá ver as ações no registro de auditoria de grupos do Enterprise. O administrador da conta de serviço pode estar listado em Descrição do evento ou Usuário. Veja mais detalhes em Eventos de registro do Group Enterprise.

Tema relacionado

Depois que você atribuir uma função, o usuário vai acessar a página inicial do Admin Console na próxima vez que fizer login.  As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Remover funções

Não é possível cancelar uma função atribuída a você.

Cancelar a atribuição da função de um usuário

Para cancelar a atribuição de uma função de um usuário, siga as etapas acima em Atribuir funções a um usuário. Na etapa 6, em vez de ativar a função, clique em Desativar .

Cancelar a atribuição de várias funções ou de funções da conta de serviço

Cancele a atribuição de uma função de vários usuários ou de uma conta de serviço na página "Funções do administrador".

  1. No Google Admin Console, acesse Menu e depois Conta e depoisFunções do administrador.

    Você precisa fazer login como um superadministrador para realizar essa tarefa.

  2. Aponte para a função que você quer remover e clique em Atribuir administrador à direita.
  3. Escolha uma opção:
    • Marque a caixa ao lado de cada usuário ou conta de serviço que você quer usar.
    • Para remover a função de todos os usuários e contas de serviço, marque a caixa ao lado do cabeçalho da coluna Administrador.
  4. Clique em Cancelar atribuição de função e depoisCancelar atribuição de função para confirmar.

Próximas etapas

Os administradores podem adicionar opções de recuperação à conta.