Per gestire le app mobile per l'organizzazione, visita questa pagina. .
Quando gli utenti accedono ad app di terze parti utilizzando l'opzione "Accedi con Google" (Single Sign-On), puoi controllare in che modo queste app accedono ai dati di Google della tua organizzazione. Le impostazioni della Console di amministrazione Google consentono di gestire l'accesso ai servizi di Google Workspace tramite OAuth 2.0. Alcune app utilizzano gli ambiti OAuth 2.0, un meccanismo che limita l'accesso all'account di un utente.
Puoi anche personalizzare il messaggio visualizzato dagli utenti quando tentano di installare un'app non autorizzata.
Nota: per Google Workspace for Education, ulteriori limitazioni potrebbero impedire agli utenti degli istituti di istruzione primaria e secondaria di accedere ad alcune app di terze parti.
In Controllo accesso app, puoi esaminare le seguenti app di terze parti:
- App configurate: app configurate con un'impostazione di accesso (Attendibile, Con restrizioni, Dati di Google specifici o Bloccato).
- App con accesso ai dati: app utilizzate dagli utenti che hanno avuto accesso ai dati di Google.
- App in attesa di revisione (versioni Education): app a cui gli utenti minori di 18 o dell'età minima richiesta nel paese di residenza hanno richiesto l'accesso.
In genere i dettagli sulle app di terze parti vengono visualizzati entro 24-48 ore dall'autorizzazione.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella home page della Console di amministrazione, vai a SicurezzaControlli API.
- Fai clic su Gestisci l'accesso delle app di terze parti per visualizzare le app configurate. Per filtrare l'elenco di app, fai clic su Aggiungi un filtro e seleziona un'opzione.
L'elenco delle app mostra il nome, il tipo e l'ID dell'app, oltre alle seguenti informazioni per ogni app:
- Stato verificato: le app verificate sono state esaminate da Google per garantire la conformità a determinati criteri. Molte app note potrebbero non essere verificate in questo modo. Per maggiori dettagli, vedi Che cos'è un'app di terze parti verificata?
- Accesso: indica quali unità organizzative hanno un criterio di accesso configurato per l'app. Posiziona il puntatore del mouse su un'app e fai clic su Visualizza dettagli per vedere i livelli di accesso (Attendibile, Con restrizioni Dati di Google specifici o Bloccato). Fai clic su Modifica accesso per modificare il livello di accesso ai dati dell'app.
Nota: se applichi il livello di accesso "A" a un'unità organizzativa specifica e poi applichi il livello di accesso "B" all'intera organizzazione, il livello di accesso "A" rimane attivo per l'unità organizzativa.
- Per visualizzare le app con accesso ai dati, nella sezione App con accesso ai dati, fai clic su Visualizza elenco.
In App con accesso ai dati, puoi anche verificare:
- Utenti: numero di utenti che accedono all'app.
- Servizi richiesti: API dei servizi Google (ambiti OAuth2) utilizzate da ciascuna app (ad esempio, Gmail, Google Calendar o Google Drive). I servizi non Google richiesti sono contrassegnati come Altro.
- Nell'elenco App configurate o App con accesso ai dati, fai clic su un'app per accedere alle funzionalità che seguono.
- Determinare se la tua app può accedere ai servizi Google: mostra se l'app è contrassegnata con accesso Attendibile, Con restrizioni, Dati di Google specifici o Bloccato. Se modifichi la configurazione dell'accesso, fai clic su Salva.
- Visualizzare informazioni sull'app: l'ID client OAuth2 completo dell'app, il numero di utenti, le norme sulla privacy e le informazioni di assistenza.
- Visualizzare le API dei servizi Google (ambiti OAuth) richieste dall'app: visualizza l'elenco degli ambiti OAuth richiesti da ogni app. Per visualizzare ciascuno degli ambiti OAuth, espandi la riga della tabella o fai clic su Espandi tutto.
- (Facoltativo) Per scaricare le informazioni sulle app in un file CSV, nella parte superiore dell'elenco App configurate o App con accesso ai dati fai clic su Scarica l'elenco.
- Verranno scaricati tutti i dati della tabella (inclusi quelli che non hai visualizzato).
- Per le app configurate, il file CSV contiene le seguenti colonne aggiuntive: Stato verifica, Numero di utenti, Unità organizzativa, Servizi richiesti e Ambiti API associati a ciascun servizio. Se non è stato eseguito l'accesso a un'app configurata, il numero di utenti è zero (0) e le altre due colonne sono vuote.
- Per le app a cui è stato eseguito l'accesso, il file CSV contiene le seguenti colonne aggiuntive: Stato verifica, Unità organizzativa e ambiti API associati a ciascun servizio.
La verifica app è un programma di Google per garantire che le app di terze parti che accedono ai dati sensibili dei clienti superino i controlli per la sicurezza e per la privacy. Agli utenti potrebbe essere impedita l'attivazione di app non verificate che non hai impostato come attendibili (vedi qui sotto sulla pagina i dettagli sull'impostazione delle app come attendibili). Per maggiori informazioni, vedi Autorizzare app di terze parti non verificate.
Puoi limitare o lasciare senza restrizioni l'accesso alla maggior parte dei servizi Google Workspace, inclusi i servizi Google Cloud come, ad esempio, il machine learning. Di seguito è indicato il significato di ciascuna opzione.
- Con restrizioni: solo le app configurate con un'impostazione di accesso Attendibile possono accedere ai dati.
- Senza restrizioni: solo le app configurate con un'impostazione di accesso Attendibile, Con restrizioni o Dati di Google specifici possono accedere agli ambiti configurati da un amministratore, indipendentemente dal fatto che l'ambito abbia un accesso ai dati con o senza restrizioni.
Ad esempio, se imposti l'accesso di Calendar come Con restrizioni, solo le app configurate con un accesso Attendibile possono accedere ai dati di Calendar. Le app con accesso Con restrizioni non possono accedere ai dati di Calendar.
Nota: per Gmail, Google Drive e Google Chat, puoi limitare specificamente l'accesso ai servizi ad alto rischio (ad esempio l'invio di posta o l'eliminazione di file su Drive).
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella home page della Console di amministrazione, vai a SicurezzaControlli API.
- Fai clic su Gestisci i servizi Google.
- Dall'elenco dei servizi, seleziona le caselle in corrispondenza dei servizi che vuoi gestire. Per selezionare tutte le caselle, seleziona la casella Servizio.
- (Facoltativo) Per filtrare questo elenco, fai clic su Aggiungi un filtro e seleziona uno dei seguenti criteri:
- Servizi Google: selezionali dall'elenco dei servizi, quindi fai clic su Applica.
- Accesso ai servizi Google: seleziona Senza restrizioni o Con restrizioni e fai clic su Applica.
- App consentite: specifica un intervallo per il numero di app consentite e fai clic su Applica.
- Utenti: specifica un intervallo per il numero di utenti e fai clic su Applica.
- Nella parte superiore della schermata, fai clic su Cambia accesso e scegli Senza restrizioni o Con restrizioni.
Se modifichi l'accesso a Con restrizioni, tutte le app installate in precedenza che non hai impostato come attendibili smetteranno di funzionare e i token verranno revocati. Se un utente tenta di installare (o accedere a) un'app che non hai impostato come attendibile e che accede a un servizio limitato, viene avvisato che l'app è bloccata. La limitazione dell'accesso al servizio Drive limita anche l'accesso all'API Google Forms.
Nota: l'elenco delle app con accesso ai dati viene aggiornato 48 ore dopo la concessione o la revoca di un token. - (Facoltativo) Se hai scelto Con restrizioni, per consentire l'accesso agli ambiti OAuth non classificati come ad alto rischio (ad esempio, quelli che consentono alle app di accedere a file selezionati dall'utente su Drive), seleziona la casella Per le app non attendibili, consenti agli utenti di concedere l'accesso agli ambiti OAuth non classificati come ad alto rischio.. (Questa casella viene visualizzata per app come Gmail e Drive, ma non per tutte le app.)
- Fai clic su Cambia e conferma, se necessario.
- (Facoltativo) Per rivedere quali app possono accedere a un servizio:
- In alto, per App con accesso ai dati, fai clic su Visualizza elenco.
- Fai clic su Aggiungi un filtroServizi richiesti.
- Seleziona i servizi che stai controllando e fai clic su Applica.
Limitare l'accesso agli ambiti OAuth ad alto rischio
Gmail, Google Drive e Google Chat possono anche limitare l'accesso a un elenco predefinito di ambiti OAuth ad alto rischio.
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Per maggiori dettagli sugli ambiti di Gmail, vedi Scegliere gli ambiti delle API Gmail.
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/documents
Per maggiori dettagli sugli ambiti di Drive, vedi Scegliere gli ambiti di API Google Drive.
- https://www.googleapis.com/auth/chat.delete
- https://www.googleapis.com/auth/chat.import
- https://www.googleapis.com/auth/chat.messages
- https://www.googleapis.com/auth/chat.messages.readonly
Per maggiori dettagli sugli ambiti di Chat, vedi Ambiti di API Chat.
Gestire l'accesso delle app di terze parti ai servizi Google e aggiungere le app
Puoi gestire l'accesso a determinate app bloccandole o contrassegnandole con accesso Attendibile, Dati di Google specifici o Con restrizioni.
- Attendibile: l'app ha accesso a tutti i servizi Google Workspace (ambiti OAuth), inclusi i servizi con restrizioni. Puoi inserire nella lista consentita le app configurate utilizzando gli ID client OAuth per mantenere l'accesso all'API (interfaccia di programmazione di un'applicazione) ai servizi Google Workspace anche quando questi servizi hanno criteri di accesso sensibile al contesto che si applicano all'accesso tramite API.
- Dati di Google specifici: puoi richiedere l'accesso ai dati solo agli ambiti da te specificati durante la configurazione dell'app.
- Con restrizioni: l'app può accedere soltanto ai servizi senza restrizioni. Puoi modificare l'impostazione di accesso ai dati di un'app dall'elenco delle app o dalla pagina delle informazioni sull'app.
-
In Controlli API Controllo accesso app, fai clic su Gestisci l'accesso delle app di terze parti.
- Nell'elenco di app configurate o nell'elenco di app a cui è stato eseguito l'accesso, posiziona il puntatore del mouse su un'app e fai clic su Modifica accesso. In alternativa, seleziona le caselle accanto a più app e fai clic su Modifica accesso in cima all'elenco.
- Seleziona le unità organizzative per cui vuoi configurare l'accesso:
- Per applicare l'impostazione a tutti gli utenti, lascia selezionata l'unità organizzativa di primo livello.
- Per applicare l'impostazione a unità organizzative specifiche, fai clic su Seleziona unità organizzativeIncludi organizzazioni, quindi seleziona le unità organizzative specifiche.
- Fai clic su Avanti.
- Scegli un'opzione tra le seguenti.
- Attendibile: l'app può accedere a tutti i servizi Google, sia a quelli soggetti a restrizioni che a quelli non soggetti a restrizioni. Le app di proprietà di Google, come il browser Chrome, sono automaticamente considerate attendibili e non possono essere configurate come app attendibili.
(Facoltativo) Affinché le app selezionate mantengano l'accesso API ai servizi Google Workspace anche quando hanno criteri di accesso sensibile al contesto che si applicano all'accesso API, seleziona Lista consentita per l'esenzione dai blocchi di accesso API in accesso sensibile al contesto. Questa opzione è selezionabile solo per le app web, Android o iOS aggiunte utilizzando gli ID client OAuth. Se selezioni questa opzione, l'app non verrà esclusa automaticamente dai blocchi di accesso alle API. Devi inoltre escludere l'app durante le assegnazioni dei livelli di accesso sensibile al contesto. Questa lista consentita si applica solo alle unità organizzative specificate nel passaggio 3. - Con restrizioni: sono accessibili solo i servizi Google non soggetti a restrizioni.
- Dati di Google specifici: puoi richiedere l'accesso ai dati solo agli ambiti da te specificati durante la configurazione dell'app.
Nota: devi includere gli ambiti di Accedi con Google richiesti dall'app per consentire agli utenti di accedere con il proprio Account Google. - Bloccato: non è consentito l'accesso ad alcun servizio Google.
Se aggiungi un'app per dispositivi a una lista consentita e blocchi la stessa app tramite i controlli API, l'app sarà bloccata. Il blocco dell'app tramite controlli API prevale sull'inserimento nella lista consentita.
Suggerimento: per annullare la configurazione di un'app, utilizza l'opzione di caricamento di file CSV descritta in Aggiungere e configurare le app di terze parti collettivamente.
- Attendibile: l'app può accedere a tutti i servizi Google, sia a quelli soggetti a restrizioni che a quelli non soggetti a restrizioni. Le app di proprietà di Google, come il browser Chrome, sono automaticamente considerate attendibili e non possono essere configurate come app attendibili.
- Fai clic su Avanti.
- Rivedi l'impostazione di ambito e accesso, poi fai clic su Modifica accesso.
Guarda il video
Change access from the app information page
Modificare l'accesso alle app
- Fai clic su un'app nell'elenco, quindi su Accesso ai dati di Google.
- Fai clic sul gruppo o sull'unità organizzativa per cui vuoi impostare l'accesso ai dati. Per impostazione predefinita, è selezionata l'unità organizzativa di primo livello e la modifica si applica all'intera organizzazione.
- Scegli un livello di accesso ai dati.
- Fai clic su Salva.
- (Facoltativo) Applica impostazioni diverse a unità organizzative diverse, a seconda delle esigenze. Ad esempio:
- Per bloccare l'accesso di un'app a tutti i dati degli utenti, seleziona l'unità organizzativa di primo livello e scegli Bloccato.
- Per bloccare l'accesso di un'app solo ai dati di alcuni utenti, imposta l'accesso su Attendibile per l'unità organizzativa di primo livello e su Bloccato per un'unità organizzativa secondaria che contiene quegli utenti. Fai clic su Salva dopo ogni impostazione dell'unità organizzativa.
- In Controllo accesso app, fai clic su Gestisci l'accesso delle app di terze parti.
- In App configurate, fai clic su Aggiungi app.
- Scegli Nome app o ID client OAuth(seleziona questa opzione per inserire l'app in un'altra lista consentita dall'esenzione API), Android o iOS.
- Inserisci il nome o l'ID client dell'app, quindi fai clic su Cerca.
- Posiziona il cursore del mouse sull'app e fai clic su Seleziona.
- Seleziona le caselle corrispondenti agli ID client che vuoi configurare e fai clic su Seleziona.
- Seleziona per chi desideri configurare l'accesso:
- Per impostazione predefinita, è selezionata l'unità organizzativa di primo livello. Lascia questa opzione selezionata per impostare l'accesso per tutti gli utenti della tua organizzazione.
- Per configurare l'accesso per unità organizzative specifiche, fai clic su Seleziona unità organizzative, quindi fai clic su + per visualizzare le unità organizzative. Seleziona le unità organizzative desiderate, quindi fai clic su Seleziona.
- Fai clic su Continua.
- Scegli un'opzione tra le seguenti.
- Attendibile: l'app può accedere a tutti i servizi Google, sia a quelli soggetti a restrizioni che a quelli non soggetti a restrizioni.
(Facoltativo) Affinché le app selezionate mantengano l'accesso API ai servizi Google Workspace anche quando hanno criteri di accesso sensibile al contesto che si applicano all'accesso API, seleziona Lista consentita per l'esenzione dai blocchi di accesso API in accesso sensibile al contesto. Questa opzione è selezionabile solo per le app web, Android o iOS aggiunte utilizzando gli ID client OAuth. Se selezioni questa opzione, l'app non verrà esclusa automaticamente dai blocchi di accesso alle API. Devi inoltre escludere l'app durante le assegnazioni dei livelli di accesso sensibile al contesto. Questa lista consentita si applica solo alle unità organizzative specificate nel passaggio 7. - Con restrizioni: può accedere solo a servizi Google non soggetti a restrizioni.
- Dati di Google specifici: puoi richiedere l'accesso ai dati solo agli ambiti da te specificati durante la configurazione dell'app.
Nota: devi includere gli ambiti di Accedi con Google richiesti dall'app per consentire agli utenti di accedere con il proprio Account Google. - Bloccato: non è consentito l'accesso ad alcun servizio Google.
Se aggiungi un'app per dispositivi a una lista consentita e blocchi la stessa app tramite i controlli API, l'app sarà bloccata. Il blocco dell'app tramite controlli API prevale sull'inserimento nella lista consentita.
- Attendibile: l'app può accedere a tutti i servizi Google, sia a quelli soggetti a restrizioni che a quelli non soggetti a restrizioni.
- Controlla le impostazioni della nuova app, poi fai clic su Fine.
Agli utenti viene chiesto di acconsentire all'aggiunta di app web. Puoi ignorare la schermata per il consenso in Google Workspace Marketplace (solo per le app approvate) tramite l'installazione nel dominio.
Scegliere le impostazioni per le app non configurate
Le app di terze parti per cui non hai configurato l'accesso Attendibile, Con restrizioni, Dati di Google specifici o Bloccato (come descritto nella sezione Gestire l'accesso delle app di terze parti ai servizi Google e aggiungere le app) sono considerate app non configurate. Puoi controllare cosa succede quando gli utenti tentano di accedere ad app non configurate con il proprio Account Google.
Guarda il video
Find the settings for unconfigured apps
Trovare le impostazioni
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella home page della Console di amministrazione, vai a SicurezzaControlli API.
- Fai clic su Impostazioni per espandere il gruppo di impostazioni.
- (Facoltativo) Per applicare l'impostazione a un reparto o a un team, seleziona un'unità organizzativa a lato Mostrami come fare
- Seleziona le impostazioni. Per scoprire di più, vai a Impostazioni di app non configurate.
- Fai clic su Salva.
Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più
Impostazioni di app non configurate
Questo è un messaggio personalizzato da mostrare agli utenti quando non possono accedere a un'app bloccata. Per creare un messaggio personalizzato, seleziona On e inserisci un messaggio.
Se il messaggio personalizzato è disattivato o non può essere mostrato, gli utenti visualizzeranno un messaggio predefinito.
Questa impostazione controlla cosa succede quando gli utenti tentano di accedere ad app non configurate con il proprio Account Google. Gli utenti possono comunque accedere alle app configurate con accesso Attendibile, Con restrizioni o Dati di Google specifici, indipendentemente da questa impostazione.
Scegli un'opzione tra quelle che seguono.
- Consenti agli utenti di accedere alle app di terze parti (impostazione predefinita): gli utenti possono accedere con Google a qualsiasi app di terze parti. Le app a cui è stato eseguito l'accesso possono richiedere dati di Google senza restrizioni per l'utente in questione.
- Consenti agli utenti di accedere ad app di terze parti che richiedono solo le informazioni di base necessarie per Accedi con Google: gli utenti possono accedere con Google alle app di terze parti che richiedono solo le informazioni di base del profilo, ovvero il nome dell'Account Google, l'indirizzo email e l'immagine del profilo dell'utente. Per ulteriori informazioni, visita la pagina Usare l'Account Google per accedere ad altri servizi o app.
- Non consentire agli utenti di accedere alle app di terze parti: gli utenti non possono accedere con Google ad app di terze parti e a siti web finché non configuri queste app e questi siti con un'impostazione di accesso. Per maggiori dettagli, vai a Gestire l'accesso delle app di terze parti ai servizi Google e aggiungere le app.
Versioni di Google Workspace for Education : puoi scegliere impostazioni diverse per gli utenti maggiori o minori di 18 anni (o dell'età minima richiesta nel proprio paese). Se utilizzi questa impostazione per bloccare le app di terze parti, puoi consentire agli utenti minori di 18 anni (o dell'età minima richiesta nel proprio paese) di richiedere l'accesso a queste app bloccate tramite l'impostazione Richieste di accesso ad app non configurate da parte degli utenti.
In questo modo le app interne create dalla tua organizzazione possono accedere alle API Google Workspace con restrizioni.
Per consentire l'accesso API a tutte le app interne, seleziona la casella Considera attendibili le app interne.
Questa funzionalità è disponibile solo con le versioni di Google Workspace for Education.
Questa opzione consente agli utenti minori di 18 anni (o dell'età minima richiesta nel proprio paese) di richiedere l'accesso alle app bloccate con l'impostazione App di terze parti non configurate.
Quando un utente richiede l'accesso a un'app, gli amministratori ricevono una notifica e possono scegliere di configurare un'impostazione di accesso che consenta agli utenti di accedere alle app.
Per consentire agli utenti di richiedere l'accesso, seleziona la casella Consenti agli utenti di richiedere l'accesso ad app di terze parti non configurate.
Argomenti correlati
- Ambiti OAuth 2.0 per le API di Google
- Come preparare al meglio la tua applicazione per la verifica OAuth (blog di Google Developers)