Para gerenciar apps para dispositivos móveis na sua organização, acesse este link como alternativa.
Quando os usuários fazem login em apps de terceiros com a opção "Fazer login com o Google" (Logon único), você controla como esses apps acessam os dados do Google da sua organização. Use as configurações no Google Admin Console para controlar o acesso aos serviços do Google Workspace pelo OAuth 2.0. Alguns apps usam os escopos do OAuth 2.0, um mecanismo para limitar o acesso à conta de um usuário.
Você também pode personalizar a mensagem de erro que os usuários veem quando tentam instalar um app não autorizado.
Observação: no Google Workspace for Education, restrições adicionais podem impedir que os usuários em instituições de ensino fundamental e médio acessem determinados apps de terceiros.
Antes de começar: analise os apps de terceiros da sua organização
No controle de acesso de apps, é possível analisar os seguintes apps de terceiros:
- Apps configurados: apps com uma configuração de acesso ("Confiável", "Limitado", "Dados específicos do Google" ou "Bloqueado").
- Apps acessados: os apps usados pelos usuários que acessaram os dados do Google.
- Apps com revisão pendente (edições Education): apps a que usuários menores de 18 anos pediram acesso.
Os detalhes sobre os apps de terceiros geralmente aparecem de 24 a 48 horas após a autorização.
-
-
Na página inicial do Admin Console, acesse SegurançaControles da API.
- Clique em Gerenciar o acesso de apps de terceiros para exibir os apps configurados. Para filtrar a lista de aplicativos, clique em Adicionar um filtro e selecione uma opção.
A lista mostra o nome, o tipo e o ID do app, além das seguintes informações sobre cada app:
- Status verificado: o Google analisa os apps verificados para garantir compliance com determinadas políticas. Muitos apps conhecidos talvez não sejam verificados dessa maneira. Veja mais detalhes em O que é um app de terceiros verificado?.
- Acesso: mostra quais unidades organizacionais têm uma política de acesso configurada para o app. Aponte para um app e clique em Mais detalhes para saber os níveis de acesso (Confiável, Limitado, dados do Google específico ou Bloqueado). Clique em Alterar acesso para alterar o nível de acesso a dados do app.
Observação: se você aplicar o nível de acesso "A" a uma unidade organizacional específica e depois aplicar o nível de acesso "B" a toda a organização, o nível de acesso "A" vai permanecer em vigor para a unidade organizacional.
- Para conferir os apps acessados, clique em Exibir lista na seção Apps acessados.
Em Apps acessados, também é possível verificar:
- Usuários: mostra o número de usuários que acessam o app.
- Serviços solicitados: APIs de serviço do Google (escopos do OAuth2) que cada app está usando (por exemplo, Gmail, Agenda ou Google Drive). Os serviços não solicitados pelo Google são listados como Outros.
- Na lista Apps configurados ou Apps acessados, clique em um deles para:
- Gerenciar se o app pode acessar os serviços do Google: mostra se o app está marcado como "Confiável", "Limitado", "Dados específicos do Google" ou "Bloqueado". Se você alterar a configuração de acesso, clique em Salvar.
- Acessar informações sobre o app: mostra o ID completo do cliente OAuth2 do app, o número de usuários, a Política de Privacidade e as informações de suporte.
- Acessar as APIs de serviço do Google (escopos do OAuth) que o app está solicitando: mostra uma lista dos escopos do OAuth solicitados por cada app. Para ver cada um dos escopos do OAuth, expanda a linha da tabela ou clique em Expandir tudo.
- (Opcional) Para fazer o download das informações do app em um arquivo CSV, clique em Fazer download da lista na parte de cima da lista Apps configurados ou Apps acessados.
- Todos os dados da tabela são salvos (inclusive os que não foram exibidos).
- Para apps configurados, o arquivo CSV tem estas colunas adicionais: "Status da verificação", "Número de usuários", "Unidade organizacional", "Serviços solicitados" e "Escopos da API" associados a cada serviço. Se um app configurado não tiver sido acessado, a contagem de usuários será zero (0) e as outras duas colunas vão ficar em branco.
- Para os apps acessados, o arquivo CSV tem estas colunas adicionais: "Status da verificação", "Unidade organizacional" e "Escopos da API" associados a cada serviço.
A verificação de apps é um programa do Google para que apps de terceiros que acessam dados confidenciais de clientes passem por verificações de segurança e privacidade. Os usuários podem ser impedidos de ativar apps não verificados e identificados como não confiáveis. Confira a seguir o que fazer para marcar apps como confiáveis. Confira mais informações em Autorizar apps de terceiros não verificados.
Restringir ou cancelar a restrição de Serviços do Google
É possível restringir ou não o acesso à maioria dos serviços do Google Workspace, inclusive aos serviços do Google Cloud, como o aprendizado de máquina. Confira o que cada opção faz:
- Restrito: só os apps com uma configuração de acesso confiável podem acessar dados.
- Irrestrito: somente os apps configurados com uma configuração de acesso aos dados do Google "Confiável", "Limitado" ou "Específico" podem acessar os escopos definidos por um administrador, independentemente de o escopo ter acesso a dados restrito ou irrestrito.
Por exemplo, se você definir o acesso ao Google Agenda como restrito, somente aplicativos configurados com acesso confiável poderão acessar os dados do Google Agenda. Os apps com uma configuração de acesso limitado não podem acessar os dados da Agenda.
Observação: no Gmail, Google Drive e Google Chat, você pode restringir especificamente o acesso a serviços de alto risco, como enviar e-mails ou excluir arquivos no Drive.
-
-
Na página inicial do Admin Console, acesse SegurançaControles da API.
- Clique em Gerenciar Serviços do Google.
- Na lista, marque as caixas dos serviços ao lado daqueles que você quer gerenciar. Para marcar todas as caixas, marque a caixa Serviço.
- ((Opcional) Para filtrar essa lista, clique em Adicionar um filtro e selecione um dos seguintes critérios:
- Serviços do Google: selecione uma opção na lista de serviços e clique em Aplicar.
- Acesso aos serviços do Google: selecione Irrestrito ou Restrito e clique em Aplicar.
- Apps permitidos: especifique um intervalo para o número de apps permitidos e clique em Aplicar.
- Usuários: especifique um intervalo para o número de usuários e clique em Aplicar.
- Na parte de cima, clique em Alterar acesso e escolha Não restrito ou Restrito.
Se você mudar o acesso para "Restrito", os apps instalados que não foram marcados como confiáveis deixarão de funcionar, e os tokens serão revogados. Se um usuário tentar instalar ou fazer login em um app em que você não confia e que acessa um serviço restrito, ele vai receber uma notificação de que o app está bloqueado. Restringir o acesso ao serviço do Drive também restringe o acesso à API Google Forms.
Observação: a lista de apps acessados é atualizada 48 horas após um token ser concedido ou revogado. - (Opcional) Se você escolheu Restrito, para permitir o acesso a escopos do OAuth que não são classificados como de alto risco (por exemplo, escopos que permitem que os apps acessem arquivos selecionados pelo usuário no Drive), marque a caixa Para apps não confiáveis, permitir que os usuários concedam acesso a escopos do OAuth não classificados como de alto risco. Essa caixa é exibida para aplicativos como o Gmail e o Drive, mas não para todos os aplicativos.
- Clique em Alterar e confirme, se necessário.
- (Opcional) Para analisar quais apps têm acesso a um serviço:
- Na parte superior, em Apps acessados, clique em Ver lista.
- Clique em Adicionar um filtroServiços solicitados.
- Selecione os serviços que você está verificando e clique em Aplicar.
Restringir o acesso a escopos OAuth de alto risco
Abrir seção | Recolher tudo e voltar ao início
O Gmail, o Google Drive, os Documentos e o Chat também podem restringir o acesso a uma lista predefinida de escopos OAuth de alto risco.
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Veja mais detalhes sobre os escopos do Gmail em Escolher escopos da API Gmail.
- https://www.googleapis.com/auth/documents
- https://www.googleapis.com/auth/documents.readonly
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.activity
- https://www.googleapis.com/auth/drive.activity.readonly
- https://www.googleapis.com/auth/drive.admin
- https://www.googleapis.com/auth/drive.admin.labels
- https://www.googleapis.com/auth/drive.admin.labels.readonly
- https://www.googleapis.com/auth/drive.admin.readonly
- https://www.googleapis.com/auth/drive.admin.shareddrive
- https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
- https://www.googleapis.com/auth/drive.apps
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.categories.readonly
- https://www.googleapis.com/auth/drive.labels.readonly
- https://www.googleapis.com/auth/drive.meet.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.photos.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/drive.teams
- https://www.googleapis.com/auth/forms.body
- https://www.googleapis.com/auth/forms.body.readonly
- https://www.googleapis.com/auth/forms.currentonly
- https://www.googleapis.com/auth/forms.responses.readonly
- https://www.googleapis.com/auth/presentations
- https://www.googleapis.com/auth/presentations.readonly
- https://www.googleapis.com/auth/script.addons.curation
- https://www.googleapis.com/auth/script.projects
- https://www.googleapis.com/auth/sites
- https://www.googleapis.com/auth/sites.readonly
- https://www.googleapis.com/auth/spreadsheets
- https://www.googleapis.com/auth/spreadsheets.readonly
Para mais detalhes sobre os escopos, acesse:
- https://www.googleapis.com/auth/chat.delete
- https://www.googleapis.com/auth/chat.import
- https://www.googleapis.com/auth/chat.messages
- https://www.googleapis.com/auth/chat.messages.readonly
Confira mais detalhes sobre os escopos do Chat em Escopos da API Chat.
Gerenciar o acesso de apps de terceiros aos Serviços do Google e adicionar apps
Para gerenciar o acesso a determinados apps, basta bloqueá-los ou marcá-los como "Confiável", "Dados específicos do Google" ou "Limitado":
- Confiável: um app confiável tem acesso a todos os serviços do Google Workspace (escopos do OAuth), inclusive os restritos. Você pode colocar na lista de permissões os apps configurados usando IDs do cliente OAuth para manter o acesso da API aos serviços do Google Workspace, mesmo quando esses serviços tiverem políticas de acesso baseado no contexto aplicáveis ao acesso da API.
- Dados específicos do Google: pode solicitar acesso a dados apenas aos escopos que você especifica ao configurar o app.
- Limitado— Um app limitado só pode acessar serviços irrestritos. Você pode alterar a configuração de acesso aos dados de um aplicativo na lista de aplicativos ou na página de informações do aplicativo.
Abrir seção | Recolher tudo e voltar ao início
-
Em Controles de API Controle de acesso de apps, clique em Gerenciar o acesso de apps de terceiros.
- Na lista de apps configurados ou na lista de apps acessados, aponte para um app e clique em Alterar acesso. Ou marque as caixas ao lado de vários apps e clique em Alterar acesso na parte de cima da lista.
- Selecione as unidades organizacionais para configurar o acesso:
- Para aplicar a configuração a todos os usuários, deixe a unidade organizacional de nível superior selecionada.
- Para aplicar a unidades organizacionais específicas, clique em Selecionar unidades organizacionaisIncluir organizações e selecione as unidades organizacionais.
- Clique em Próxima.
- Escolha uma opção:
- Confiável: o app pode acessar todos os Serviços do Google, tanto restritos quanto irrestritos. Os apps do Google, como o navegador Chrome, são identificados automaticamente como confiáveis e não podem ser configurados como confiáveis.
(Opcional) Para que os apps selecionados mantenham o acesso da API aos serviços do Google Workspace, mesmo quando eles tiverem políticas de acesso baseado no contexto aplicáveis ao acesso da API, selecione Colocar na lista de permissões de isenção dos bloqueios de acesso à API no acesso baseado no contexto. Só é possível selecionar essa opção para apps da Web, Android ou iOS adicionados usando IDs do cliente OAuth. Selecionar esta opção não isenta automaticamente o app dos bloqueios de acesso por API. Você também precisa isentar o app durante as atribuições de nível do acesso baseado no contexto. Essa lista de permissões se aplica apenas às unidades organizacionais especificadas na etapa 3. - Limitado: acessa só os Serviços do Google sem restrições.
- Dados específicos do Google: pode solicitar acesso a dados apenas para os escopos especificados ao configurar o app.
Observação: é necessário incluir os escopos do Login do Google exigidos pelo app para permitir que os usuários façam login com a própria Conta do Google. - Bloqueado: não acessa nenhum Serviço do Google.
Se você adicionar um app para dispositivos em uma lista de permissões e também bloquear esse app usando controles de API, ele será bloqueado. O bloqueio do app usando controles de API substitui a posição na lista de permissões.
Dica: para remover a configuração de um app, use a opção de upload de CSV descrita em Adicionar e configurar apps de terceiros em massa.
- Confiável: o app pode acessar todos os Serviços do Google, tanto restritos quanto irrestritos. Os apps do Google, como o navegador Chrome, são identificados automaticamente como confiáveis e não podem ser configurados como confiáveis.
- Clique em Próxima.
- Revise o escopo e a configuração de acesso e clique em Alterar acesso.
Assista ao vídeo
Change access from the app information page
Mudar o acesso do app
- Clique em um app na lista e em Acesso aos dados do Google.
- Clique no grupo ou na unidade organizacional para definir o acesso aos dados. Por padrão, a unidade organizacional mãe é selecionada e a alteração é aplicada em toda a organização.
- Escolha um nível de acesso aos dados.
- Clique em Salvar.
- (Opcional) Aplique configurações diferentes para cada unidade organizacional, se necessário. Por exemplo:
- Para bloquear o acesso de um app a todos os dados dos seus usuários, selecione a unidade organizacional superior e escolha Bloqueado.
- Para bloquear o acesso de apps apenas aos dados de alguns usuários, defina o acesso como Confiável na unidade organizacional mãe e Bloqueado para uma unidade organizacional filha que contém esses usuários. Clique em Salvar após cada configuração de unidade organizacional.
- Em Controle de acesso de apps, clique em Gerenciar o acesso de apps de terceiros.
- Em Apps configurados, clique em Adicionar app.
- Selecione Nome ou ID do cliente do app OAuth (selecione esta opção para colocar o aplicativo na lista de permissões da isenção da API), Android ou IOS.
- Digite o nome do app ou o ID do cliente e clique em Pesquisar.
- Aponte para o app e clique em Selecionar.
- Marque as caixas dos IDs do cliente que você quer configurar e clique em Selecionar.
- Selecione para quem você quer configurar o acesso:
- Por padrão, a unidade organizacional principal é selecionada. Deixe essa opção selecionada para definir o acesso de todos os usuários na sua organização.
- Para configurar o acesso a unidades organizacionais específicas, clique em Selecionar unidades organizacionais e em "+" para conferir as unidades. Marque as unidades organizacionais e clique em Selecionar.
- Clique em Continuar.
- Escolha uma opção:
- Confiável: o app pode acessar todos os Serviços do Google, tanto restritos quanto irrestritos.
(Opcional) Para que os apps selecionados mantenham o acesso da API aos serviços do Google Workspace, mesmo quando eles tiverem políticas de acesso baseado no contexto aplicáveis ao acesso da API, selecione Colocar na lista de permissões de isenção dos bloqueios de acesso à API no acesso baseado no contexto. Só é possível selecionar essa opção para apps da Web, Android ou iOS adicionados usando IDs do cliente OAuth. Selecionar esta opção não isenta automaticamente o app dos bloqueios de acesso por API. Você também precisa isentar o app durante as atribuições de nível do acesso baseado no contexto. Essa lista de permissões se aplica apenas às unidades organizacionais especificadas na etapa 7. - Limitado: só acessa os serviços irrestritos do Google.
- Dados específicos do Google: pode solicitar acesso a dados apenas para os escopos especificados ao configurar o app.
Observação: é necessário incluir os escopos do Login do Google exigidos pelo app para permitir que os usuários façam login com a própria Conta do Google. - Bloqueado: não acessa nenhum Serviço do Google.
Se você adicionar um app para dispositivos em uma lista de permissões e também bloquear esse app usando controles de API, ele será bloqueado. Bloquear o app usando controles de API modifica a posição na lista de permissões.
- Confiável: o app pode acessar todos os Serviços do Google, tanto restritos quanto irrestritos.
- Revise as configurações do novo app e clique em Concluir.
Os usuários precisam permitir a adição de apps da Web. Você pode ignorar a tela de permissão no Google Workspace Marketplace (somente para apps aprovados) com a instalação no domínio.
Escolher configurações para apps não configurados
Os apps de terceiros que não foram configurados como Confiáveis, Limitados, dados do Google específicos ou Bloqueados (conforme descrito na seção Gerenciar o acesso de apps de terceiros aos Serviços do Google e adicionar apps) são considerados não configurados. É possível controlar o que acontece quando os usuários tentam fazer login em apps não configurados com a Conta do Google.
Assista ao vídeo
Find the settings for unconfigured apps
Encontrar as configurações
-
-
Na página inicial do Admin Console, acesse SegurançaControles da API.
- Clique em Configurações para expandir o grupo de configurações.
- (Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral. Mostrar como
- Selecione suas configurações. Vá para Configurações de apps não configurados para saber mais.
- Clique em Salvar.
As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais
Configurações não definidas de apps
Abrir seção | Recolher tudo e voltar ao início
Esta é uma mensagem personalizada que será mostrada aos usuários quando eles não puderem acessar um app bloqueado. Para criar uma mensagem personalizada, selecione Ativado e digite uma mensagem.
Os usuários veem uma mensagem padrão quando não é possível mostrar a personalizada ou ela está desativada.
Esta configuração controla o que acontece quando os usuários tentam fazer login com a Conta do Google em apps não configurados. Os usuários ainda poderão acessar os apps com o acesso "Confiável", "Limitado" ou "Específico" do Google, seja qual for essa configuração.
Escolha uma opção:
- Permitir que os usuários acessem apps de terceiros (padrão): os usuários podem fazer login com o Google em qualquer app de terceiros. Os apps acessados podem solicitar dados irrestritos do Google para esse usuário.
- Permitir que os usuários acessem apps de terceiros que solicitam apenas informações básicas necessárias para fazer login com o Google: os usuários podem fazer login com o Google em apps de terceiros que solicitam apenas informações básicas de perfil: o nome da Conta do Google do usuário, endereço de e-mail e foto do perfil.
- Não permitir que os usuários acessem apps de terceiros: os usuários não poderão fazer login com o Google em apps e sites de terceiros se você não definir uma configuração de acesso para eles. Saiba mais em Gerenciar o acesso de apps de terceiros aos Serviços do Google e adicionar apps.
Edições do Google Workspace for Education : é possível escolher configurações diferentes para usuários maiores e menores de 18 anos. Se você usar essa configuração para bloquear apps de terceiros, poderá permitir que usuários menores de 18 anos solicitem acesso a apps bloqueados com a configuração Solicitações de usuários para acessar apps não configurados.
Isso permite que apps internos criados pela sua organização acessem APIs restritas do Google Workspace.
Para permitir o acesso à API para todos os apps internos, marque a caixa Confiar em apps internos.
Este recurso só está disponível nas edições do Google Workspace for Education.
Isso permite que usuários menores de 18 anos solicitem acesso a apps bloqueados com a configuração Apps de terceiros não configurados.
Quando um usuário solicita acesso a um app, os administradores são notificados e podem definir uma configuração que permita o acesso aos apps.
Marque a caixa Permitir que os usuários solicitem acesso a apps de terceiros não configurados.
Temas relacionados
- Escopos do OAuth 2.0 para APIs do Google.
- Tenha cuidado ao preparar seu app para a verificação do OAuth (blog Google Developers, em inglês)