Você e seus usuários desempenham papéis importantes na configuração da verificação em duas etapas. Os usuários podem escolher o método de verificação em duas etapas ou você pode aplicar um método para determinados usuários ou grupos na organização. Por exemplo, você pode exigir que uma pequena equipe de vendas use chaves de segurança.
Etapa 1: notificar os usuários sobre a implantação da verificação em duas etapas
Antes de implantar a verificação em duas etapas, comunique os planos da sua empresa aos usuários:
- O que é a verificação em duas etapas e por que sua empresa está usando este recurso.
- Indique se ela é opcional ou obrigatória.
- Se necessário, informe a data em que os usuários precisam ativar a verificação em duas etapas.
- Indique qual método de verificação em duas etapas é obrigatório ou recomendado.
Etapa 2: permitir que os usuários ativem a verificação em duas etapas
As contas de usuários criadas antes de dezembro de 2016 têm a verificação em duas etapas ativada por padrão
Permita que os usuários ativem a verificação em duas etapas e utilizem qualquer método de verificação.
- No Google Admin Console (em admin.google.com)…
- Acesse Menu Segurança > Autenticação > Verificação em duas etapas.
Exige o privilégio de administrador. - Para aplicar a configuração a todos, deixe a unidade organizacional mãe selecionada. Caso contrário, selecione uma unidade organizacional filha ou um grupo de configuração.
- Marque a caixa Permitir que os usuários ativem a verificação em duas etapas.
- Selecione Aplicação obrigatóriaDesativada.
- Clique em Salvar. Se você tiver configurado uma unidade organizacional ou um grupo, talvez seja possível usar as opções Herdar ou Modificar em uma unidade organizacional mãe ou a opção Cancelar configuração em um grupo.
Etapa 3: solicitar que os usuários se inscrevam na verificação em duas etapas
- Oriente seus usuários a seguir as instruções em Ativar a verificação em duas etapas para fazer a inscrição nesse recurso.
- Informe como eles podem se inscrever nos métodos de verificação em duas etapas:
- Chaves de segurança;
- Solicitação do Google, mensagem de texto ou chamada telefônica;
- App Google Authenticator;
- Códigos alternativos.
Etapa 4: acompanhar a inscrição dos usuários
Use relatórios para avaliar e acompanhar a inscrição dos seus usuários na verificação em duas etapas. Verifique o status de inscrição, o status de aplicação obrigatória e o número de chaves de segurança dos usuários.
- No Google Admin Console (em admin.google.com)…
- Acesse Menu Geração de relatórios > Relatórios > Relatórios de usuário > Segurança.Exige o privilégio de administrador.
- (Opcional) Para adicionar uma nova coluna de informações, clique em Configurações Adicionar nova coluna. Selecione a coluna a ser adicionada à tabela e clique em Salvar.
Ver tendências de inscrição
- No Google Admin Console (em admin.google.com)…
- Na página inicial do Admin Console, acesse RelatóriosRelatórios de appsContas.
Identifique as unidades organizacionais e os grupos que não usam a verificação em duas etapas.
- No Google Admin Console (em admin.google.com)…
- Acesse Menu Segurança > Central de segurança > Integridade da segurança.Exige o privilégio de administrador e acesso de leitura a usuários e unidades organizacionais.
- Para saber mais sobre esse processo, consulte Integridade da segurança para verificação em duas etapas para administradores ou verificação em duas etapas para usuários.
Etapa 5: aplicar a verificação em duas etapas (opcional)
Antes de começar: confirme que os usuários estão inscritos na verificação em duas etapas. Se você ativar a aplicação obrigatória, os usuários que não estiverem inscritos não vão poder fazer login nas contas.
- No Google Admin Console (em admin.google.com)…
- Acesse Menu Segurança > Autenticação > Verificação em duas etapas.
Exige o privilégio de administrador. - Para aplicar a configuração a todos, deixe a unidade organizacional mãe selecionada. Caso contrário, selecione uma unidade organizacional filha ou um grupo de configuração.
- Clique em Permitir que os usuários ativem a verificação em duas etapas.
- Em Aplicação obrigatória, escolha uma opção:
- Ativado: começa imediatamente.
- Ativar a aplicação a partir da data: selecione a data de início. Os usuários veem lembretes para se inscrever na verificação em duas etapas ao fazer login.
Observação: ao usar a opção Ativado a partir da data, a aplicação obrigatória entra em vigor dentro de 24 a 48 horas da data escolhida. Se você quiser um horário de início da aplicação obrigatória exato, use a opção Ativado.
- (Opcional) Para permitir que os novos funcionários tenham tempo para se inscrever antes da aplicação das mudanças nas contas, em Período de inscrição de novos usuários, selecione um período de um dia a seis meses.
Durante esse período, os usuários podem fazer login apenas usando as próprias senhas. - (Opcional) Para permitir que os usuários evitem verificações repetidas da verificação em duas etapas em dispositivos confiáveis, em Frequência, marque a caixa Permitir que o usuário confie no dispositivo.
Na primeira vez que um usuário fizer login em um novo dispositivo, é possível marcar uma caixa para confiar nesse dispositivo. O dispositivo só mostra a verificação em duas etapas novamente se o usuário limpar os cookies ou revogar o dispositivo ou se você redefinir os cookies de login do usuário.
Só faça isso caso seus usuários utilizem vários dispositivos com frequência. - Em Métodos, selecione o método de aplicação obrigatória:
- Indiferente: os usuários podem definir qualquer método de verificação em duas etapas.
- Tudo, exceto códigos de verificação por SMS ou chamada telefônica: os usuários podem configurar qualquer método de verificação em duas etapas, exceto usar o smartphone para receber códigos de verificação da verificação em duas etapas.
Importante: os usuários que utilizarem mensagens de texto e chamadas telefônicas para verificar não vão poder acessar as contas. Para evitar que esses usuários percam o acesso às contas:- Antes de ativar a aplicação, peça para os usuários começarem a usar outro método, porque os códigos da verificação em duas etapas não vão estar disponíveis nos smartphones após a data de aplicação.
- Você pode usar o evento de atividade de auditoria de login login_verification para rastrear usuários que usam códigos de uma mensagem de texto ou chamada de voz. Quando o parâmetro login_challenge_method tem o valor idv_preregistered_phone, o usuário foi autenticado com um código de verificação recebido por mensagem de texto ou chamada de voz.
- Apenas a chave de segurança: os usuários precisam configurar uma chave de segurança.
Antes de selecionar esse método de aplicação obrigatória, encontre os usuários que já configuraram chaves de segurança (os dados do relatório podem ter um atraso de até 48 horas). Para ver em tempo real o status da verificação em duas etapas de cada usuário, consulte Gerenciar configurações de segurança do usuário.
- Se você selecionar Apenas a chave de segurança, defina o Período de carência da suspensão da política de verificação em duas etapas.
Esse período permite que os usuários façam login com um código de verificação extra, que é útil quando um usuário perde a chave de segurança. Selecione a duração desse período de carência, que começa quando você gera o código de verificação. Para saber mais sobre códigos alternativos, acesse Receber código de verificação extra para um usuário. - Em Códigos de segurança, escolha se os usuários podem fazer login com um código de segurança.
- Não permitir que os usuários gerem códigos de segurança: os usuários não podem gerar códigos de segurança.
- Permitir códigos de segurança sem acesso remoto: os usuários podem gerar códigos de segurança e usá-los no mesmo dispositivo ou na mesma rede local (NAT ou LAN).
- Permitir códigos de segurança com acesso remoto: os usuários podem gerar códigos de segurança e usá-los em outros dispositivos ou outras redes, por exemplo, ao acessar um servidor remoto ou uma máquina virtual.
Os códigos de segurança são diferentes dos gerados uma única vez por apps como o Google Authenticator. Para gerar um código de segurança, o usuário precisa tocar na chave de segurança no dispositivo. Os códigos de segurança são válidos por cinco minutos.
- Clique em Salvar. Se você tiver configurado uma unidade organizacional ou um grupo, talvez seja possível usar as opções Herdar ou Modificar em uma unidade organizacional mãe ou a opção Cancelar configuração em um grupo.
Se os usuários não respeitarem a data de aplicação
Você pode permitir que esses usuários tenham um tempo extra para se inscrever, colocando-os em um grupo em que a verificação em duas etapas não é obrigatória. Embora essa alternativa permita que seus usuários façam login, ela não é recomendada como prática padrão. Saiba como evitar bloqueios de conta quando a verificação em duas etapas é aplicada.
Links Relacionados
Proteger sua empresa com a verificação em duas etapas
Ativar a verificação em duas etapas nas contas
Utilizar o app Google Authenticator para a verificação em duas etapas