Segurança no G Suite

Nova opção para tornar os códigos de segurança mais seguros

O que mudará 

Estamos disponibilizando uma nova opção para você determinar como os códigos de segurança serão usados na sua organização. Esses códigos de uso único, gerados por uma chave de segurança, podem ser usados para fazer login em plataformas legadas não compatíveis com chaves de segurança.

Com este lançamento, estamos adicionando uma opção para restringir o uso dos códigos ao mesmo dispositivo ou à mesma rede em que eles foram gerados.

Quem será afetado 

Administradores e usuários finais

Por que usar 

Desde o lançamento dos códigos de segurança, em junho de 2019, observamos que eles são mais usados com apps que utilizam autenticação legada em dispositivos compatíveis com o Chrome ou outros navegadores que permitem chaves de segurança. A nova opção de código de segurança restrito permite a realização do caso de uso e a redução de possíveis vulnerabilidades. Os códigos sem restrições continuarão disponíveis para os usuários que precisarem deles, como os que utilizam servidores remotos ou máquinas virtuais.

Como começar 

Administradores: os clientes podem ativar este recurso em Admin Console > Segurança > Configurações avançadas de segurança. Você encontra mais informações sobre os códigos de segurança na Central de Ajuda.
Usuários finais: nenhuma ação é necessária.

Mais detalhes 

Três configurações de código de segurança disponíveis para os administradores do G Suite 
Com este lançamento, haverá três opções para os códigos de segurança:

• Não permitir que os usuários gerem códigos de segurança: os usuários não poderão gerar códigos de segurança. Esta opção estava disponível e era a configuração padrão. 
• Permitir códigos de segurança sem acesso remoto: os usuários poderão gerar códigos de segurança e usá-los no mesmo dispositivo ou na mesma rede local (NAT ou LAN). Esta é uma nova opção e será a configuração padrão para novos clientes do G Suite. 
• Permitir códigos de segurança com acesso remoto: os usuários podem gerar códigos de segurança e utilizá-los no mesmo dispositivo ou na mesma rede local (NAT ou LAN) e em outros dispositivos ou outras redes, por exemplo, ao acessar um servidor remoto ou uma máquina virtual. A versão anterior dos códigos de segurança também permitia isso. 

Sem impacto para os usuários atuais 
Este lançamento só mudará a experiência do usuário se o administrador alterar uma configuração no Admin Console. Mais especificamente:

• Agora os usuários com a opção “Não permitir códigos de segurança” terão a opção “Não permitir que os usuários gerem códigos de segurança” e continuarão sem poder utilizar códigos de segurança. 
• Os usuários com a opção “Permitir o uso de códigos de segurança” terão a opção “Permitir códigos de segurança com acesso remoto” e continuarão podendo utilizar códigos de segurança. 

Acesse a Central de Ajuda para saber mais sobre os códigos de segurança e a verificação em duas etapas.

Códigos de segurança e o Programa Proteção Avançada para empresas 
Você pode controlar a utilização de códigos de segurança separadamente para os usuários no Programa Proteção Avançada para empresas. As configurações do código de segurança para esses usuários são determinadas pelos controles em Admin Console > Segurança > Programa Proteção Avançada. Elas modificam as configurações que estão em vigor. Leia mais sobre o Programa Proteção Avançada para empresas.

Links úteis 

Central de Ajuda: Permitir códigos de segurança quando as chaves de segurança não forem compatíveis 
Blog G Suite Updates: Use os códigos de segurança para fazer login quando as chaves de segurança não funcionarem diretamente

Disponibilidade 

Detalhes do lançamento 

• Domínios com lançamento rápido: lançamento gradual (até 15 dias para a visibilidade do recurso) a partir de 3 de dezembro de 2019 
• Domínios com lançamento agendado: lançamento gradual (até 15 dias para a visibilidade do recurso) a partir de 3 de dezembro de 2019 

Edições do G Suite 

• Disponível para todas as edições do G Suite. 

Ativado/desativado por padrão? 

• Este recurso ficará desativado por padrão e poderá ser personalizado no nível do domínio, da unidade organizacional ou do grupo.

---

Desativação do acesso dos apps menos seguros às contas do G Suite

O que mudará

A partir de junho de 2020, limitaremos o acesso dos apps menos seguros (LSAs) aos dados das contas do G Suite. Os LSAs são apps de terceiros que podem acessar uma conta do Google só com um nome de usuário e uma senha. Eles tornam a conta mais vulnerável a tentativas de invasão. Em vez dos LSAs, você pode usar apps compatíveis com o OAuth, um método de acesso moderno e seguro.

É provável que isso afete os usuários dos apps legados de e-mail, agenda e contatos. Veja mais informações abaixo. Também enviamos um e-mail ao administrador principal da sua organização com os detalhes dessa mudança. Nessa mensagem, há uma lista de usuários que provavelmente serão afetados.

O acesso dos LSAs será desativado em duas etapas:

• Após 15 de junho de 2020: os usuários não conseguirão se conectar a um LSA pela primeira vez. Isso inclui os apps de terceiros que permitem acesso apenas com a senha aos e-mails, contatos e agendas do Google por protocolos como CalDAV, CardDAV e IMAP. Os usuários que tiverem se conectado a LSAs antes dessa data poderão continuar utilizando esses apps até que todos eles sejam desativados.
• Após 15 de fevereiro de 2021: o acesso dos LSAs será desativado para todas a contas do G Suite.

Esta é uma continuação do processo já anunciado para limitar o acesso dos apps menos seguros e proteger as contas do G Suite.. Veja abaixo mais detalhes sobre o possível impacto dessa alteração e algumas recomendações para a gestão da mudança com os usuários de LSAs.

Quem será afetado

Os usuários finais.

Por que isso é importante

Muitos usuários permitem que apps que não são do Google acessem os dados do G Suite. Por exemplo, você pode autorizar o app Mail do iOS a ver seu e-mail comercial. Com isso, os usuários têm mais opções para trabalhar como preferirem.

Quando um LSA recebe acesso, a conta corre mais riscos de invasões. Isso acontece porque esse tipo de acesso só requer um nome de usuário e uma senha, sem qualquer outro fator de autenticação. Se alguém descobrir seu nome de usuário e sua senha (por exemplo, se você reutilizar a senha em um site sujeito a violação de dados), poderá usar um LSA para ver as informações da sua conta.

No entanto, quando o acesso é concedido pelo OAuth, temos mais detalhes sobre o login e podemos validá-lo da mesma forma que faríamos com qualquer outro. Isso significa que podemos identificar e impedir tentativas de login suspeitas para evitar que um invasor acesse a conta, mesmo que tenha seu nome de usuário e sua senha. O OAuth também nos ajuda a aplicar as políticas de login definidas pelo administrador do G Suite, como o uso de chaves de segurança, além de controles como colocar apps na lista de permissões e conceder acesso por escopo à conta.

Como estamos sempre trabalhando para melhorar a segurança das contas do G Suite da sua organização, decidimos remover o acesso dos LSAs até 15 de fevereiro de 2021. Há diversos apps e processos alternativos que utilizam o OAuth (descritos abaixo). Com eles, sua conta ficará mais segura sem grandes transtornos.

Como começar

• Administrador:
  • Consulte a seção “Mais detalhes” abaixo para ver outras informações e as ações recomendadas.
  • Verifique o e-mail enviado ao administrador principal da organização com a linha de assunto “Mudar para apps que utilizam o OAuth, já que o acesso baseado em senha não será mais permitido” e veja a lista de usuários que devem ser afetados pela mudança.
• Usuário final: consulte a seção “Informações e orientações ao usuário” abaixo para ver outras informações e as ações recomendadas, ou use nossa Central de Ajuda para saber mais sobre apps menos seguros e sua conta do Google.

Mais detalhes

Informações para administradores e desenvolvedores
Configuração do Gerenciamento de dispositivos móveis (MDM): se a organização usar um provedor de MDM para configurar os perfis CalDAV, CardDAV e Exchange ActiveSync (Google Sync), esses serviços serão descontinuados de acordo com a linha do tempo abaixo:

• 15 de junho de 2020: a configuração dos perfis IMAP, CalDAV, CardDAV e Exchange ActiveSync (Google Sync) pelo MDM não estará mais disponível para os novos usuários.
• 15 de fevereiro de 2021: a configuração dos perfis IMAP, CalDAV, CardDAV e Exchange ActiveSync (Google Sync) pelo MDM não estará mais disponível para os usuários antigos. Os administradores precisarão ativar uma Conta do Google com um provedor de MDM, que adicionará novamente as Contas do Google deles aos dispositivos iOS pelo OAuth.

Scanners e outros dispositivos: nenhuma alteração é necessária para scanners ou outros dispositivos que usam SMTP (Protocolo de transferência de correio simples) ou LSAs para enviar e-mails. Se você substituir o dispositivo, procure um que envie e-mails com o OAuth.

Instruções para desenvolvedores: mantenha a compatibilidade com as contas do G Suite ao atualizar seu app para usar o OAuth 2.0 como método de conexão. Siga nosso guia do desenvolvedor em Como usar o OAuth 2.0 para acessar as APIs do Google. Você também pode consultá-lo em OAuth 2.0 para apps de dispositivos móveis e de computadores.

Informações e recomendações para usuários finais
Se você usar um app que acessa a conta do Google apenas com o nome de usuário e a senha, tome uma das seguintes medidas para adotar um método mais seguro e continuar usando o e-mail, a agenda e os contatos. Caso contrário, quando o acesso dos LSAs for descontinuado (após fevereiro de 2021), você receberá uma mensagem de erro informando que a combinação de nome de usuário e senha está errada.

E-mail

• Se você usar o Outlook 2016 na versão independente ou anterior, poderá utilizar o G Suite Sync for Microsoft Outlook. Outra opção é mudar para o Office 365 (uma versão do Outlook baseada na Web) ou o Outlook 2019, que são compatíveis com o acesso OAuth.
• Se você usar o Thunderbird ou outro cliente de e-mail, adicione novamente sua Conta do Google e configure-a para utilizar o IMAP com OAuth.
• Se você usar o app Mail no iOS, o MacOS ou o Outlook para Mac e fazendo login só com a senha, será necessário remover e adicionar a conta novamente. Ao adicioná-la, escolha “Google” como o tipo de conta e use o OAuth de forma automática.

Agenda

• Se você usa o CalDAV para permitir que um app ou dispositivo acesse a agenda, mude para um método compatível com o OAuth. Recomendamos que você use o app Google Agenda [Web/iOS/Android] com a conta do G Suite, já que ele é o mais seguro.
• Será necessário remover e adicionar novamente sua conta do G Suite ao dispositivo se ela estiver vinculada ao app Agenda no iOS ou MacOS e você fizer login só com a senha. Ao adicioná-la, selecione “Fazer login com o Google” e use o OAuth de forma automática. Mais informações

Contatos

• Será necessário remover e adicionar novamente sua conta do G Suite se ela estiver sincronizando os contatos para o iOS ou o MacOS pelo CardDAV e você fizer login só com a senha. Ao adicioná-la, selecione “Fazer login com o Google” e use o OAuth de forma automática. Mais informações
• Caso sua conta do G Suite esteja sincronizando contatos com qualquer outra plataforma ou app pelo CardDAV e você fizer login só com a senha, mude para um método compatível com o OAuth.

Outros apps menos seguros

• Se você usa outros apps no iOS ou MacOS que acessam as informações da conta do G Suite só com a senha, a maioria dos problemas de acesso pode ser resolvida removendo e adicionando a conta novamente. Ao adicioná-la, selecione “Google” como o tipo de conta e use o OAuth de forma automática.
• Caso você tenha dúvidas relacionadas a outros LSA, entre em contato com o administrador ou peça que o desenvolvedor do app ofereça o OAuth.
• Se o desenvolvedor não atualizar o app, será necessário mudar para um cliente compatível com o OAuth.  

Links úteis

• Blog G Suite Updates: Limitar o acesso a apps menos seguros para proteger as contas do G Suite
• Central de Ajuda do administrador: Controlar o acesso a apps menos seguros
• Central de Ajuda do administrador: Usar alternativas para apps menos seguros
• Central de Ajuda do usuário final: Apps menos seguros e a Conta do Google

Disponibilidade

Detalhes do lançamento: todos os domínios

• Após 15 de junho de 2020
  • Os usuários não conseguirão se conectar a um LSA pela primeira vez. Isso inclui os apps de terceiros que permitem acesso apenas com senha a agendas, contatos e e-mails do Google por protocolos como CalDAV, CardDAV e IMAP. Os usuários que tiverem se conectado a LSAs antes dessa data poderão continuar utilizando esses apps até que todos eles sejam desativados.
  • A configuração CalDAV ou CardDAV do MDM não funcionará mais para os novos usuários.
• Após 15 de fevereiro de 2021
  • O acesso dos LSAs será desativado para todas as contas do G Suite.
  • A configuração CalDAV e CardDAV do MDM não funcionará mais para os usuários antigos. Todos os usuários antigos precisarão adicionar as contas do Google novamente para sincronizar os contatos, a agenda ou e-mail.

Edições do G Suite
Válido para todas as edições do G Suite
Ativado/desativado por padrão?
Este recurso ficará ATIVADO por padrão e não poderá ser desativado.