控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料

如要管理貴機構的行動應用程式，請改為參閱這篇文章。

您可以控管應用程式存取貴機構 Google Workspace 資料的方式，還可以使用 Google 管理控制台中的設定，控管透過 OAuth 2.0 存取 Google Workspace 服務的權限。部分應用程式採用 OAuth 2.0 範圍，這項機制可限制使用者帳戶的存取權。

此外，如果使用者嘗試安裝未經授權的應用程式，您也可以自訂要向他們顯示的錯誤訊息。

注意：針對 Google Workspace for Education，您可以設定額外限制，禁止初等和中等教育機構的使用者存取特定第三方應用程式。

控管應用程式存取 Google Workspace 資料的權限

全部展開 | 全部收合

事前準備：查看授權的第三方應用程式

執行控制項之前，請先查看您已授權哪些應用程式存取 Google Workspace 資料。第三方應用程式通常會在授權完成後的 24 到 48 小時內顯示。

請使用「管理員」帳戶登入 Google 管理控制台。
非管理員帳戶無法存取管理控制台。
依序前往 [安全性] > [API 控制項]。
必須擁有安全性設定管理員權限。

您可以查看已設定和已存取資料的應用程式數量。
- 已設定的應用程式是指已套用存取權政策 (可信任或已封鎖) 的應用程式。如果您並未信任或封鎖任何應用程式，系統會顯示 0 個已設定的應用程式。
- 已存取資料的應用程式是指使用者所使用，且已存取 Google 資料的第三方應用程式。
按一下「管理第三方應用程式存取權」。
根據預設，系統會顯示已設定的應用程式。您可以查看：
- 應用程式名稱
- 類型
- ID
- 驗證狀態：如果應用程式狀態為通過驗證，表示該應用程式確實遵守特定政策，已通過 Google 審查。不過，許多知名的應用程式可能並未通過這項驗證。詳情請參閱「什麼是通過驗證的第三方應用程式？」。
- 存取權：指定「可信任」或「已封鎖」。
(選用) 如要查看已存取資料的應用程式，請在「已存取資料的應用程式」部分中點選「查看清單」。
已存取資料的應用程式部分還會顯示下列資料：
- 使用者人數：存取該應用程式的使用者人數。
- 要求的服務：各應用程式使用的 Google 服務 API (OAuth2 範圍)，例如 Gmail、Google 日曆或 Google 雲端硬碟。系統會將非 Google 要求的服務列為「其他」。
在「已設定的應用程式」或「已存取資料的應用程式」清單中，按一下要查看的應用程式：
- 管理您的應用程式可否存取 Google 服務：查看應用程式是標示為「可信任」、「有限」或「已封鎖」。如果您變更了存取權設定，請按一下「儲存」。
- 查看應用程式相關資訊：查看應用程式的完整 OAuth2 用戶端 ID、使用者人數、隱私權政策以及支援資訊。
- 查看應用程式要求的 Google 服務 API (OAuth 範圍)：查看各個應用程式要求的 OAuth 範圍清單。如要查看個別 OAuth 範圍，請展開表格列或按一下「全部展開」。
(選用) 如要將應用程式資訊下載為 CSV 檔案，請在「已設定的應用程式」或「已存取資料的應用程式」清單頂端按一下「下載清單」。
- 下載的檔案會有表格中所有資料，包括您未顯示的資料。
- 如果您匯出「已設定的應用程式」清單，CSV 檔案會包含未顯示在表格中的額外欄：使用者人數、要求的服務、與各服務相關聯的 API 範圍。如果沒有人存取過某個已設定的應用程式，該應用程式的使用者人數會顯示為 0，其他兩欄則會留空。

應用程式驗證是 Google 的一項計畫，旨在確保存取客戶機密資料的第三方應用程式皆能通過安全性與隱私權檢查。系統可能會禁止使用者啟用您不信任的未驗證應用程式 (詳情請參閱本頁下方，進一步瞭解如何信任應用程式)。如要進一步瞭解應用程式驗證，請參閱「授權未經驗證的第三方應用程式」。

步驟 2：限制或不限制 Google 服務

您可以限制 (或不限制) 大多數 Google Workspace 服務的存取權，包括機器學習等 Google Cloud 服務。對於 Gmail 和 Google 雲端硬碟，您可以明確限制高風險服務 (例如傳送 Gmail 郵件或刪除雲碟硬碟檔案) 的存取權。即使系統提示使用者同意授權特定應用程式，如果應用程式要求存取受限制的服務，且您並未明確信任該應用程式，那麼使用者將無法新增應用程式。

請使用「管理員」帳戶登入 Google 管理控制台。
非管理員帳戶無法存取管理控制台。
依序前往 [安全性] > [API 控制項]。
必須擁有安全性設定管理員權限。
按一下「管理 Google 服務」。
在服務清單中找到您要管理的服務，然後勾選對應的方塊。
勾選「服務」方塊即可勾選所有方塊。
(選用) 若要篩選這份清單，請按一下「新增篩選器」，然後選取下列條件：
- Google 服務：選取清單中的服務，例如雲端硬碟或 Gmail，然後按一下「套用」。
- Google 服務存取權：選取「未限制」或「受限制」，然後按一下「套用」。
- 允許的應用程式：指定允許的應用程式數量範圍，然後按一下「套用」。
- 使用者人數：指定使用者人數範圍，然後按一下「套用」。
按一下頂端的「變更存取權」，然後選擇「未限制」或「受限制」。
如果您將存取權變更為「受限制」，先前安裝的應用程式如未獲得信任，會全數停止運作，憑證也會遭到撤銷。如果使用者嘗試安裝的應用程式設有受限制的範圍，系統會通知使用者，說明該應用程式已封鎖。如果限制雲端硬碟服務的存取權，Google Forms API 的存取權也會受到限制。
注意：系統會在授予或撤銷權杖的 48 小時後，更新存取的應用程式清單。
(選用) 假設您選取「受限制」，如要允許不屬於高風險 OAuth 範圍的存取權 (例如，允許應用程式存取雲端硬碟中使用者所選的檔案)，請勾選「對於不信任的應用程式，允許使用者授予不屬於高風險 OAuth 範圍的存取權」方塊。 (這個核取方塊只會在部分應用程式上顯示，例如 Gmail 和雲端硬碟)。
按一下「變更」，然後視需要確認變更。
(選用) 如要查看哪些應用程式有權存取服務，請按照以下步驟操作：
1. 在「已存取資料的應用程式」部分的頂端，按一下「查看清單」。
2. 依序點選「新增篩選器」「要求的服務」。
3. 選取您要查看的服務，然後按一下「套用」。

限制高風險 OAuth 範圍的存取權

Gmail 和雲端硬碟也可以限制預先定義的高風險 OAuth 範圍清單的存取權。

Gmail 的高風險 OAuth 範圍如下：

https://mail.google.com/
https://www.googleapis.com/auth/gmail.compose
https://www.googleapis.com/auth/gmail.insert
https://www.googleapis.com/auth/gmail.metadata
https://www.googleapis.com/auth/gmail.modify
https://www.googleapis.com/auth/gmail.readonly
https://www.googleapis.com/auth/gmail.send
https://www.googleapis.com/auth/gmail.settings.basic
https://www.googleapis.com/auth/gmail.settings.sharing
如要進一步瞭解 Gmail 範圍，請參閱「選擇驗證範圍」。

雲端硬碟的高風險 OAuth 範圍如下：

https://www.googleapis.com/auth/drive
https://www.googleapis.com/auth/drive.apps.readonly
https://www.googleapis.com/auth/drive.metadata
https://www.googleapis.com/auth/drive.metadata.readonly
https://www.googleapis.com/auth/drive.readonly
https://www.googleapis.com/auth/drive.scripts
https://www.googleapis.com/auth/documents
如要進一步瞭解雲端硬碟範圍，請參閱「特定 API 授權和驗證資訊」。

步驟 3：管理第三方應用程式對 Google 服務及新增應用程式的存取權

您可以封鎖應用程式、將應用程式標示為「可信任」，或只將存取權授予未受限制的 Google 服務，藉此管理特定應用程式的存取權。可信任的應用程式可以存取所有 Google Workspace 服務 (OAuth 範圍)，包括受限制的服務，未獲您信任的應用程式則只能存取未受限制的服務。

請使用「管理員」帳戶登入 Google 管理控制台。
非管理員帳戶無法存取管理控制台。
依序前往 [安全性] > [API 控制項]。
必須擁有安全性設定管理員權限。
在「應用程式存取權控制項」部分，按一下「管理第三方應用程式存取權」。
在「已設定的應用程式」部分，按一下「查看清單」。
(選用) 如要篩選清單，請按一下「新增篩選器」，然後選取下列其中一個選項：
- 應用程式名稱：輸入應用程式名稱，然後按一下「套用」。
- 類型：選擇「網頁應用程式」、「iOS」或「Android」，然後按一下「套用」。
- ID：輸入應用程式 ID，然後按一下「套用」。
- 驗證狀態：選取「通過 Google 驗證」，然後按一下「套用」，即可查看通過 Google 審查且遵守特定政策的應用程式。詳情請參閱「什麼是通過驗證的第三方應用程式？」。
- 存取權：勾選「可信任」或「已封鎖」方塊，然後按一下「套用」。
如要變更單一應用程式的存取權，請將滑鼠游標移至應用程式，然後按一下「變更存取權」。如要變更多個應用程式的存取權，請勾選所需應用程式旁邊的方塊，然後按一下清單頂端的「變更存取權」。您可以選擇信任所有網域擁有的應用程式，或者封鎖應用程式，禁止這類應用程式存取任何 Google Workspace 服務。
如要變更存取權，請選擇下列其中一個選項：
- 可信任：信任應用程式會覆寫服務限制。Google 擁有的應用程式 (例如 Chrome 瀏覽器) 會自動受到信任，因此無法設為可信任的應用程式。
- 有限：只能存取未受限制的 Google 服務。
- 已封鎖：無法存取任何 Google 服務。
  如果您將裝置的應用程式加入許可清單，且同時使用 API 控制項封鎖這個應用程式，系統便會封鎖該應用程式。這表示使用 API 控制項的應用程式封鎖設定會覆寫許可清單設定。
按一下「變更」。
如果將應用程式存取權變更為「可信任」或「已封鎖」，系統會將該應用程式加入「已設定的應用程式」清單。如果您將存取權變更為「有限」，該應用程式則會從「已設定的應用程式」清單中移除。如果您將存取權變更為「有限」，且應用程式沒有任何活躍使用者，該應用程式要等到使用者啟用後才會顯示在清單中。

新增應用程式

在「應用程式存取權控制項」下方，按一下「管理第三方應用程式存取權」。
在「已設定的應用程式」部分，按一下「新增應用程式」。
選擇「OAuth 應用程式名稱或用戶端 ID」、「Android」或「iOS」。
輸入應用程式名稱或用戶端 ID，然後按一下「搜尋」。
將遊標移至該應用程式，然後按一下「選取」。
找出您要設定的用戶端 ID 並勾選相應方塊，然後按一下「選取」。
選取「可信任」或「已封鎖」，然後按一下「設定」。

系統會提示使用者同意新增網頁應用程式。不過，在 Google Workspace Marketplace 中，您可以透過網域安裝程序略過同意畫面，但這項動作僅適用於已核准的應用程式。

針對未經授權的應用程式自訂訊息

請使用「管理員」帳戶登入 Google 管理控制台。
非管理員帳戶無法存取管理控制台。
依序前往 [安全性] > [API 控制項]。
必須擁有安全性設定管理員權限。
在「應用程式存取權控制項」的「設定」部分，輸入要顯示的訊息，然後按一下「儲存」。

步驟 4：控管 API 存取權

禁止所有第三方 API 存取

您可以封鎖所有第三方 API 存取權，這樣一來，系統就可以拒絕第三方應用程式和網站對使用者資料的存取要求。這項設定會封鎖所有 OAuth 範圍 (包括登入範圍)，這表示使用者將無法再使用 Google 帳戶登入第三方應用程式和網站。

請使用「管理員」帳戶登入 Google 管理控制台。
非管理員帳戶無法存取管理控制台。
依序前往 [安全性] > [API 控制項]。
必須擁有安全性設定管理員權限。
在「應用程式存取權控制項」的「設定」部分中，勾選「禁止所有第三方 API 存取」方塊按一下「儲存」。

部分設定會覆寫 API 設定。舉例來說，如果有明確信任的應用程式，則即便您勾選「禁止所有第三方 API 存取」方塊，使用者仍能存取這個可信任的應用程式。

允許內部應用程式存取受限制的 Google Workspace API

建立由貴機構擁有的內部應用程式時，您可以將所有應用程式全數設為「可信任」，允許應用程式存取受限制的 Google Workspace API。這樣一來，您就不需要逐一將應用程式設為「可信任」。

請使用「管理員」帳戶登入 Google 管理控制台。
非管理員帳戶無法存取管理控制台。
依序前往 [安全性] > [API 控制項]。
必須擁有安全性設定管理員權限。
在「應用程式存取權控制項」下方，勾選「信任網域擁有的內部應用程式」方塊按一下「儲存」。

這對您有幫助嗎？

我們應如何改進呢？