Como preparar sua conta do G Suite ou do Cloud Identity

Neste documento, descrevemos como criar uma conta do Cloud Identity ou do G Suite e como prepará-la para uma implantação de produção.

Antes de começar

Para preparar sua conta do Cloud Identity ou do G Suite, faça o seguinte:

Para cada conta do Cloud Identity ou do G Suite que você precisa criar, verifique se:

Para concluir o processo de inscrição em uma nova conta do Cloud Identity ou do G Suite, você também precisa das seguintes informações:

  • Um número de telefone e um endereço de e-mail de contato. O Google usa esse número de telefone e endereço para entrar em contato com você em caso de problemas com sua conta.
  • Um endereço de e-mail para a primeira conta de usuário de superadministrador. O endereço de e-mail precisa usar o domínio DNS principal e não pode ser usado por uma conta de consumidor atual.

    Se você planeja configurar a federação posteriormente, selecione um endereço de e-mail que seja mapeado para um usuário no seu provedor de identidade externo (IdP, na sigla em inglês).

A criação de uma nova conta do Cloud Identity ou do G Suite pode exigir a colaboração entre várias equipes e partes interessadas na sua organização. Eles podem incluir o seguinte:

  • Administradores de DNS. Para verificar domínios DNS primários e secundários, você precisa ter acesso administrativo às duas zonas DNS.
  • Se você usar um IdP externo, os administradores do IdP externo.
  • Futuros administradores da organização do Google Cloud.

Processo para preparar uma conta

O fluxograma a seguir ilustra o processo de preparação da sua conta do Cloud Identity ou do G Suite. Como os dois lados do diagrama indicam, o processo pode exigir a colaboração entre equipes diferentes.

Prepare sua conta do Cloud Identity ou do G Suite.

  1. Inscreva-se no Cloud Identity ou no G Suite. Durante o processo de inscrição, você precisa fornecer um número de telefone e um endereço de e-mail de contato, o domínio principal que quer usar e o nome de usuário da primeira conta de usuário de superadministrador.

  2. Verifique a propriedade do seu domínio principal criando um registro TXT ou CNAME na zona DNS correspondente do seu servidor DNS.

  3. Adicione domínios secundários à conta do Cloud Identity ou do G Suite.

  4. Verifique a propriedade dos domínios secundários criando registros TXT ou CNAME nas zonas DNS correspondentes do seu servidor DNS.

  5. Proteja sua conta definindo as configurações de segurança.

  6. Crie uma configuração padrão para contas de usuário.

Como proteger o acesso à sua conta

Durante o processo de inscrição, você cria um primeiro usuário na sua conta do Cloud Identity ou do G Suite. Essa conta de usuário recebe privilégios de superadministrador e tem acesso total à conta do Cloud Identity ou do G Suite.

Você precisa de privilégios de superadministrador para concluir a configuração inicial da sua conta do Cloud Identity ou do G Suite. Depois de concluir a configuração inicial, as ocorrências em que você precisa de privilégios de superadministrador serão raras. Mas para garantir a continuidade dos negócios, é importante que você e outras pessoas autorizadas mantenham o acesso de superadministrador à conta do Cloud Identity ou do G Suite:

Para garantir esse acesso, faça o seguinte:

Para detalhes sobre como manter os usuários superadministradores seguros, consulte Práticas recomendadas para contas de superadministrador. E para garantir que sua conta esteja protegida corretamente, siga nossa Lista de verificação de segurança para empresas de médio e grande porte.

Como definir configurações padrão para contas de usuário

O Cloud Identity e o G Suite são compatíveis com várias configurações que ajudam você a manter as contas de usuário seguras:

Para minimizar o esforço administrativo, é melhor definir essas configurações para que elas sejam aplicadas por padrão aos novos usuários. É possível definir as configurações padrão nos níveis a seguir:

  1. Global: uma configuração global se aplica a todos os usuários, mas tem a prioridade mais baixa.
  2. Unidade organizacional (UO): uma configuração definida para uma unidade organizacional se aplica a todos os usuários na unidade organizacional e às unidades organizacionais descendentes e modifica uma configuração global.
  3. Grupo: uma configuração definida por grupo se aplica a todos os membros do grupo e modifica as configurações globais e da unidade organizacional.

Como criar uma estrutura de UO

Ao criar uma estrutura de unidades organizacionais, é possível segmentar as contas de usuário da sua conta do Cloud Identity ou do G Suite em conjuntos distintos para facilitar o gerenciamento.

Se você usar o Cloud Identity em combinação com um IdP externo, talvez não seja necessário criar unidades organizacionais personalizadas. Em vez disso, é possível usar uma combinação de configurações globais e específicas do grupo:

  • Manter todas as contas de usuário na unidade organizacional padrão.
  • Para controlar quem tem permissão para acessar determinados serviços do Google, crie grupos dedicados, como Google Cloud Users and Google Ads Users, no seu IdP externo. Provisione esses grupos no Cloud Identity e aplique as configurações padrão corretas a eles. Em seguida, é possível controlar o acesso modificando as associações a grupos no seu IdP externo.

Se alguns ou todos os seus usuários usarem o G Suite, é provável que você precise de uma estrutura de unidade organizacional personalizada porque algumas das configurações específicas do G Suite não podem ser aplicadas por grupo. Se você usa um IdP externo, é melhor manter a estrutura da unidade organizacional simples, da seguinte maneira:

  • Crie uma estrutura básica de UO que permita atribuir licenças automaticamente, escolher um local geográfico para seus dados e controlar o armazenamento de dados complementar. Para todas as outras configurações, recomendamos que você aplique as configurações por grupo.
  • Configure seu IdP externo para que novos usuários sejam atribuídos automaticamente à unidade organizacional correta.
  • Crie grupos dedicados, como Google Cloud Users and Google Ads Users, no seu IdP externo. Provisione esses grupos no G Suite e aplique as configurações padrão corretas a eles. Em seguida, é possível controlar o acesso modificando as associações a grupos no seu IdP externo.

Impacto da unidade organizacional padrão na migração da conta

Se você tiver identificado contas pessoais atuais que planeja migrar para o Cloud Identity ou o G Suite, a unidade organizacional padrão terá um papel especial. Se você migrar uma conta pessoal para o Cloud Identity ou o G Suite, essa conta será sempre colocada na unidade organizacional padrão e não fará parte de nenhum grupo.

Para migrar uma conta pessoal, você precisa iniciar uma transferência de conta. Essa transferência precisa ser aprovada pelo proprietário da conta pessoal. Como administrador, você tem controle limitado quando o proprietário pode dar o consentimento e, portanto, pode concluir a transferência.

Quando a transferência for concluída, todas as configurações aplicadas à unidade organizacional padrão entrarão em vigor na conta de usuário migrada. Verifique se essas configurações concedem um nível básico de acesso aos serviços do Google para que a capacidade de trabalho do funcionário associado não seja impedida.

Práticas recomendadas

Ao preparar sua conta do Cloud Identity ou do G Suite, siga estas práticas recomendadas:

A seguir