หากต้องการจัดการแอปบนอุปกรณ์เคลื่อนที่สำหรับองค์กร ให้ดูที่นี่ แทน
คุณสามารถควบคุมวิธีที่แอปเข้าถึงข้อมูล Google Workspace ขององค์กรได้ โดยใช้การตั้งค่าในคอนโซลผู้ดูแลระบบของ Google เพื่อควบคุมการเข้าถึงบริการ Google Workspace ผ่าน OAuth 2.0 บางแอปจะใช้ขอบเขตของ OAuth 2.0 ซึ่งเป็นกลไกการจํากัดการเข้าถึงในบัญชีของผู้ใช้
คุณยังสามารถปรับแต่งข้อความแสดงข้อผิดพลาดที่จะแจ้งให้กับผู้ใช้ซึ่งพยายามติดตั้งแอปที่ไม่ได้รับอนุญาตได้ด้วย
หมายเหตุ: สําหรับ Google Workspace for Education ข้อจํากัดเพิ่มเติมอาจทําให้ผู้ใช้ในสถาบันการศึกษาระดับประถมศึกษาและมัธยมศึกษาไม่สามารถเข้าถึงแอปของบุคคลที่สามได้
ควมคุมสิทธิ์ของแอปในการเข้าถึงข้อมูล Google Workspace
โปรดตรวจสอบรายการแอปที่ได้รับอนุญาตให้เข้าถึงข้อมูล Google Workspace ก่อนใช้การควบคุม โดยรายละเอียดเกี่ยวกับแอปของบุคคลที่สามมักจะปรากฏหลังจากการให้สิทธิ์ไปแล้ว 24-48 ชั่วโมง
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
-
ไปที่ความปลอดภัย > การควบคุม API
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย
คุณสามารถตรวจสอบจํานวนแอปที่กําหนดค่าแล้วและมีสิทธิ์เข้าถึงได้
- แอปที่กําหนดค่าแล้วคือแอปที่มีนโยบายการเข้าถึง (เชื่อถือได้หรือถูกบล็อก) หากคุณไม่ได้กดเชื่อถือหรือบล็อกแอปใดๆ ไว้ คุณจะเห็นแอปที่กําหนดค่าไว้มีจำนวนเป็นศูนย์ (0)
- แอปที่มีสิทธิ์เข้าถึงคือแอปของบุคคลที่สามซึ่งใช้โดยผู้ใช้ที่มีสิทธิ์เข้าถึงข้อมูล Google
- คลิกจัดการการเข้าถึงแอปของบุคคลที่สาม
ตามค่าเริ่มต้น แอปที่กําหนดค่าไว้จะปรากฏ โดยสิ่งที่สามารถตรวจสอบได้มีดังนี้- ชื่อแอป
- ประเภท
- รหัส
- สถานะที่ยืนยันแล้ว - แอปที่ยืนยันแล้วซึ่งได้รับการตรวจสอบโดย Google ว่าสอดคล้องกับนโยบายที่กำหนด ทั้งนี้แอปซึ่งเป็นที่รู้จักกันดีหลายแอปอาจไม่ได้รับการยืนยันผ่านวิธีนี้ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อแอปของบุคคลที่สามที่ยืนยันแล้วคืออะไร
- สิทธิ์เข้าถึง - ระบุว่าเชื่อถือได้หรือถูกบล็อก
- (ไม่บังคับ) หากต้องการดูแอปที่มีสิทธิ์เข้าถึง ให้คลิกดูรายการ ในส่วนแอปที่มีสิทธิ์เข้าถึง
สําหรับแอปที่มีสิทธิ์เข้าถึง คุณยังตรวจสอบรายการดังต่อไปนี้ได้ด้วย
- ผู้ใช้ - จำนวนผู้ใช้ที่เข้าถึงแอป
- บริการที่ขอ - API สำหรับบริการของ Google (ขอบเขตของ OAuth2) ที่แต่ละแอปใช้อยู่ (เช่น Gmail, Google ปฏิทิน หรือ Google ไดรฟ์) บริการที่ขอซึ่งไม่ใช่ของ Google จะแสดงเป็นอื่นๆ
- จากรายการแอปที่กําหนดค่าไว้หรือแอปที่มีสิทธิ์เข้าถึง ให้คลิกแอปเพื่อตรวจสอบดังนี้
- จัดการสิทธิ์เข้าถึงบริการของ Google สำหรับแอปของคุณ - ตรวจสอบว่าแอปมีสถานะเป็นเชื่อถือได้ จำกัด หรือบล็อก หากคุณมีการเปลี่ยนค่าสิทธิ์เข้าถึง ให้คลิกบันทึก
- ดูข้อมูลเกี่ยวกับแอป - ดูรหัสไคลเอ็นต์ OAuth2 แบบเต็มของแอป จำนวนผู้ใช้ นโยบายความเป็นส่วนตัว และข้อมูลการสนับสนุน
- ดู API บริการของ Google (ขอบเขต OAuth) ที่แอปขอ - ดูรายการขอบเขต OAuth ที่แต่ละแอปขอ หากต้องการดูขอบเขต OAuth แต่ละรายการ ให้ขยายแถวของตารางหรือคลิกขยายทั้งหมด
- (ไม่บังคับ) หากต้องการดาวน์โหลดข้อมูลแอปเป็นไฟล์ CSV ให้คลิกดาวน์โหลดรายการที่ด้านบนของรายการแอปที่กําหนดค่าไว้หรือแอปที่มีสิทธิ์เข้าถึง
- ระบบจะดาวน์โหลดข้อมูลทั้งหมดในตาราง (รวมถึงข้อมูลที่คุณไม่แสดงด้วย)
- สําหรับแอปที่กําหนดค่าไว้ ไฟล์ CSV จะมีคอลัมน์เพิ่มเติมซึ่งไม่แสดงอยู่ในตาราง ได้แก่ จํานวนผู้ใช้ บริการที่ส่งคำขอ และขอบเขต API ที่เชื่อมโยงกับแต่ละบริการ หากไม่มีการเข้าถึงแอปที่กําหนดค่าแล้ว จํานวนผู้ใช้ของแอปจะแสดงเป็นศูนย์ (0) และอีก 2 คอลัมน์จะว่างเปล่า
การตรวจสอบแอปเป็นโปรแกรมของ Google ที่ช่วยให้แอปของบุคคลที่สามเข้าถึงข้อมูลที่ละเอียดอ่อนของลูกค้าผ่านการตรวจสอบด้านความปลอดภัยและความเป็นส่วนตัวได้ โดยผู้ใช้อาจถูกบล็อกไม่ให้เปิดใช้งานแอปที่ไม่ได้รับการยืนยันซึ่งคุณไม่ไว้ใจได้ (โปรดดูรายละเอียดการเชื่อถือแอปด้านล่างของหน้านี้) โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการตรวจสอบแอปที่หัวข้อให้สิทธิ์แอปของบุคคลที่สามที่ยังไม่ได้รับการยืนยัน
คุณเลือกที่จะจำกัดสิทธิ์เข้าถึงบริการส่วนใหญ่ของ Google Workspace รวมถึงบริการของ Google Cloud เช่น แมชชีนเลิร์นนิง หรือจะปล่อยให้ไม่มีการจำกัดก็ได้ สำหรับ Gmail และ Google ไดรฟ์ คุณจะจำกัดสิทธิ์เข้าถึงบริการที่มีความเสี่ยงสูง เช่น การส่งอีเมลหรือการลบไฟล์ในไดรฟ์โดยเฉพาะได้ แม้ว่าผู้ใช้จะได้รับข้อความแจ้งเพื่อให้ความยินยอมแก่แอป แต่หากแอปต้องการสิทธิ์เข้าถึงบริการที่มีการจำกัด และคุณไม่ได้กำหนดโดยเฉพาะว่าแอปดังกล่าวเชื่อถือได้ ผู้ใช้จะเพิ่มแอปนั้นไม่ได้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
-
ไปที่ความปลอดภัย > การควบคุม API
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย
- คลิกจัดการบริการของ Google
- เลือกช่องข้างบริการที่ต้องการจัดการได้จากรายชื่อบริการ
เลือกช่องบริการเพื่อเลือกทุกช่อง - (ไม่บังคับ) หากต้องการกรองรายการนี้ ให้คลิกเพิ่มตัวกรองและเลือกจากเกณฑ์ต่อไปนี้
- บริการของ Google - เลือกจากรายชื่อบริการ เช่น ไดรฟ์หรือ Gmail แล้วคลิกใช้
- สิทธิ์เข้าถึงบริการของ Google - เลือกไม่จำกัดหรือจำกัด แล้วคลิกใช้
- แอปที่อนุญาต - ระบุช่วงจำนวนแอปที่อนุญาต แล้วคลิกใช้
- ผู้ใช้ - ระบุช่วงจำนวนผู้ใช้ แล้วคลิกใช้
- คลิกเปลี่ยนสิทธิ์เข้าถึงที่ด้านบน แล้วเลือกไม่จํากัดหรือถูกจำกัด
หากเปลี่ยนสิทธิ์เข้าถึงเป็น "ถูกจํากัด" แอปที่ติดตั้งไว้ล่วงหน้าซึ่งคุณยังไม่ได้กำหนดว่าเชื่อถือได้จะหยุดทํางานและโทเค็นจะถูกเพิกถอน เมื่อผู้ใช้พยายามติดตั้งแอปที่มีขอบเขตจำกัด ผู้ใช้จะได้รับแจ้งว่าแอปนั้นถูกบล็อกอยู่ การจํากัดการเข้าถึงบริการไดรฟ์จะจํากัดการเข้าถึง Google Forms API ด้วย
หมายเหตุ: ระบบจะอัปเดตรายการแอปที่มีสิทธิ์เข้าถึง 48 ชั่วโมงหลังจากได้รับหรือเพิกถอนโทเค็น - (ไม่บังคับ) หากเลือกจํากัด เพื่ออนุญาตการเข้าถึง ขอบเขตของ OAuth ที่ไม่ได้รับการจัดประเภทเป็นความเสี่ยงสูง (เช่น ขอบเขตที่อนุญาตให้แอปเข้าถึงที่ไฟล์ที่ผู้ใช้เลือกในไดรฟ์) ให้เลือกช่องสําหรับแอปที่ไม่น่าเชื่อถือ ให้อนุญาตให้ผู้ใช้มอบสิทธิ์เข้าถึงขอบเขต OAuth ซึ่งไม่ได้รับการจัดประเภทเป็นความเสี่ยงสูง (ช่องทําเครื่องหมายนี้จะปรากฏสําหรับบางแอปเช่น Gmail และไดรฟ์ ไม่ใช่สำหรับทุกแอป)
- คลิกเปลี่ยนและยืนยันหากจําเป็น
- (ไม่บังคับ) วิธีตรวจสอบว่าแอปใดมีสิทธิ์เข้าถึงบริการได้
- คลิกดูรายการที่ด้านบนสําหรับส่วนแอปที่มีสิทธิ์เข้าถึง
- คลิกเพิ่มตัวกรอง
บริการที่ขอ
- เลือกบริการที่คุณจะตรวจสอบ แล้วคลิกใช้
จํากัดสิทธิ์เข้าถึงขอบเขต OAuth ที่มีความเสี่ยงสูง
Gmail และไดรฟ์ยังจำกัดสิทธิ์เข้าถึงรายการขอบเขต OAuth ที่มีความเสี่ยงสูงซึ่งกำหนดไว้ล่วงหน้าได้ด้วย
ขอบเขต OAuth ที่มีความเสี่ยงสูงสำหรับ Gmail มีดังนี้
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
โปรดดูรายละเอียดขอบเขตของ Gmail ที่หัวข้อเลือกขอบเขตการตรวจสอบสิทธิ์
ขอบเขต OAuth ที่มีความเสี่ยงสูงสำหรับไดรฟ์มีดังนี้
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/documents
โปรดดูรายละเอียดขอบเขตของไดรฟ์ที่หัวข้อข้อมูลการให้สิทธิ์และการตรวจสอบสิทธิ์เฉพาะสำหรับ API
คุณสามารถจัดการสิทธิ์ของแอปที่ต้องการได้โดยบล็อกแอปดังกล่าว กำหนดสถานะให้เป็นเชื่อถือได้ หรือให้เข้าถึงเฉพาะบริการของ Google ที่ไม่จำกัดก็ได้ แอปที่เชื่อถือได้จะมีสิทธิ์เข้าถึงบริการ Google Workspace ทั้งหมด (ขอบเขต OAuth) รวมถึงบริการที่ถูกจํากัด แอปที่คุณไม่เชื่อถือจะเข้าถึงได้เฉพาะบริการที่ไม่มีการจํากัดเท่านั้น
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
-
ไปที่ความปลอดภัย > การควบคุม API
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย
- คลิกจัดการสิทธิ์ของแอปบุคคลที่สามในส่วนการควบคุมสิทธิ์เข้าถึงของแอป
- สําหรับแอปที่กําหนดค่าไว้ ให้คลิกดูรายการ
- (ไม่บังคับ) หากต้องการกรองรายการ ให้คลิกเพิ่มตัวกรอง แล้วเลือกตัวเลือกดังนี้
- ชื่อแอป - ป้อนชื่อของแอปแล้วคลิกใช้
- ประเภท - เลือกเว็บแอปพลิเคชัน, iOS หรือ Android แล้วคลิกใช้
- รหัส - ป้อนรหัสแอป แล้วคลิกใช้
- สถานะที่ยืนยันแล้ว - เลือกยืนยันโดย Google แล้วคลิกใช้เพื่อตรวจสอบแอปที่ผ่านการตรวจสอบจาก Google และเป็นไปตามนโยบายเฉพาะ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อแอปของบุคคลที่สามที่ยืนยันแล้วคืออะไร
- สิทธิ์เข้าถึง - เลือกช่องเชื่อถือได้หรือถูกบล็อก แล้วคลิกใช้
- ชี้ไปที่แอปแล้วคลิกเปลี่ยนสิทธิ์เข้าถึง หรือเลือกช่องที่อยู่ข้างแอปต่างๆ ที่ด้านบน จากนั้นคลิกเปลี่ยนสิทธิ์เข้าถึง คุณสามารถเลือกที่จะเชื่อถือแอปของโดเมนทั้งหมดหรือบล็อกแอปเพื่อไม่ให้แอปเหล่านั้นมีสิทธิ์เข้าถึงบริการ Google Workspace ได้
- เลือกตัวเลือกต่อไปนี้
- เชื่อถือได้ - การเชื่อถือแอปจะลบล้างข้อจํากัดของบริการ ระบบจะเชื่อถือแอปที่ Google เป็นเจ้าของอย่าง Chrome โดยอัตโนมัติ และไม่สามารถกําหนดค่าเป็นแอปที่เชื่อถือได้
- จำกัด - เข้าถึงได้เฉพาะบริการที่ไม่จำกัดของ Google
- ถูกบล็อก - ไม่สามารถเข้าถึงบริการต่างๆ ของ Google ได้
หากคุณเพิ่มแอปสำหรับอุปกรณ์ในรายการที่อนุญาต และบล็อกแอปดังกล่าวโดยใช้การควบคุม API แอปนั้นจะถูกบล็อก เนื่องจากการบล็อกแอปโดยใช้การควบคุม API จะลบล้างรายการที่อนุญาต
- คลิกเปลี่ยน
หากเปลี่ยนสิทธิ์เข้าถึงของแอปเป็นเชื่อถือได้หรือถูกบล็อก ระบบจะเพิ่มแอปลงในรายการแอปที่กําหนดค่าไว้ และหากเปลี่ยนสิทธิ์เข้าถึงเป็นจํากัด ระบบจะนำแอปออกจากรายการแอปที่กําหนดค่าไว้ แต่หากเปลี่ยนสิทธิ์เข้าถึงเป็นจํากัดและแอปไม่มีผู้ใช้ที่ใช้งานอยู่ คุณจะไม่เห็นแอปดังกล่าวในรายการจนกว่าผู้ใช้จะเปิดใช้งาน
เพิ่มแอปใหม่
- คลิกจัดการสิทธิ์ของแอปบุคคลที่สามในส่วนการควบคุมสิทธิ์เข้าถึงของแอป
- สําหรับแอปที่กําหนดค่าไว้ ให้คลิกเพิ่มแอป
- เลือกชื่อแอป OAuth หรือรหัสไคลเอ็นต์, Android หรือ iOS
- ป้อนชื่อหรือรหัสไคลเอ็นต์ของแอป แล้วคลิกค้นหา
- ชี้ไปที่แอปแล้วคลิกเลือก
- เลือกช่องสําหรับรหัสไคลเอ็นต์ที่ต้องการกําหนดค่า แล้วคลิกเลือก
- เลือกเชื่อถือได้หรือถูกบล็อก แล้วคลิกกําหนดค่า
ผู้ใช้จะได้รับแจ้งให้มอบความยินยอมในการเพิ่มเว็บแอป แต่คุณจะข้ามหน้าจอขอความยินยอมใน Google Workspace Marketplace สำหรับแอปที่ได้รับอนุญาตเท่านั้นได้ด้วยการติดตั้งในโดเมน
ปรับแต่งข้อความสําหรับแอปที่ไม่ได้รับอนุญาต
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
-
ไปที่ความปลอดภัย > การควบคุม API
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย
- สําหรับการควบคุมสิทธิ์เข้าถึงของแอป ในส่วนการตั้งค่า ให้ป้อนข้อความแล้วคลิกบันทึก
บล็อกสิทธิ์เข้าถึงของ API บุคคลที่สามทั้งหมด
คุณสามารถบล็อกการเข้าถึง API ของบุคคลที่สามทั้งหมดได้เพื่อให้คําขอจากแอปและเว็บไซต์ของบุคคลที่สามถูกปฏิเสธไม่ให้เข้าถึงข้อมูลผู้ใช้ การตั้งค่านี้จะบล็อกขอบเขต OAuth ทั้งหมด รวมถึงขอบเขตการลงชื่อเข้าใช้ หมายความว่าผู้ใช้จะไม่สามารถลงชื่อเข้าใช้แอปและเว็บไซต์ของบุคคลที่สามด้วย Google ได้อีกต่อไป
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
-
ไปที่ความปลอดภัย > การควบคุม API
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย
- สําหรับการควบคุมสิทธิ์เข้าถึงของแอป ในส่วนการตั้งค่า ให้เลือกช่องบล็อกสิทธิ์เข้าถึงของ API บุคคลที่สามทั้งหมด
การตั้งค่าบางอย่างจะลบล้างการตั้งค่า API เช่น หากมีแอปที่เชื่อถือได้อย่างชัดเจน ผู้ใช้จะยังคงเข้าถึงแอปที่เชื่อถือได้นี้แม้ว่าคุณจะเลือกช่องบล็อกสิทธิ์เข้าถึงของ API บุคคลที่สามทั้งหมดก็ตาม
อนุญาตให้แอปภายในเข้าถึง Google Workspace API ที่มีการจำกัด
หากมีแอปที่สร้างไว้เพื่อใช้ภายในองค์กร (องค์กรเป็นเจ้าของ) คุณสามารถกำหนดให้เชื่อถือแอปทั้งหมดเพื่อให้มีสิทธิ์เข้าถึง Google Workspace API ที่มีการจำกัดได้ ด้วยวิธีนี้ คุณจึงไม่จําเป็นต้องเชื่อถือแอปทั้งหมดทีละรายการ
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
-
ไปที่ความปลอดภัย > การควบคุม API
ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย
- เลือกช่องเชื่อถือแอปภายในที่เป็นของโดเมนในส่วนการควบคุมสิทธิ์เข้าถึงของแอป
หัวข้อที่เกี่ยวข้อง
- ขอบเขตของ OAuth 2.0 สําหรับ Google APIs
- เตรียมแอปของคุณให้พร้อมสำหรับการตรวจสอบ OAuth (บล็อก Google Developers)
