如要管理貴機構的行動應用程式,請改為參閱這篇文章 。
當使用者透過「使用 Google 帳戶登入」選項登入第三方應用程式時,您可以控管這些應用程式存取貴機構 Google 資料的方式。使用 Google 管理控制台中的設定,即可控管透過 OAuth 2.0 存取 Google Workspace 服務的權限。部分應用程式採用 OAuth 2.0 範圍,這項機制可限制使用者帳戶的存取權。
此外,您也可以針對使用者嘗試安裝未經授權應用程式的情況,自訂要向他們顯示的訊息。
注意:針對 Google Workspace for Education,您可以設定額外限制,禁止初等和中等教育機構的使用者存取特定第三方應用程式。
事前準備:查看貴機構的第三方應用程式
在應用程式存取權控制選項中,您可以查看下列第三方應用程式:
- 已設定的應用程式:設有存取權設定的應用程式 (「可信任」、「受限」、「特定 Google 資料」或「已封鎖」)。
- 已存取資料的應用程式:已存取 Google 資料的使用者所用的應用程式。
- 應用程式尚待審核 (Education 版本):未滿 18 歲的使用者要求存取的應用程式。
第三方應用程式通常會在授權完成後的 24 到 48 小時內顯示。
-
-
在管理控制台首頁中,依序點選 [安全性] [API 控制項]。
- 按一下「管理第三方應用程式存取權」,查看您已設定的應用程式。如要篩選應用程式清單,請按一下「新增篩選器」,然後選取所需選項。
應用程式清單會顯示應用程式名稱、類型和 ID,以及個別應用程式的以下資訊:
- 驗證狀態:如果應用程式狀態為通過驗證,表示該應用程式確實遵守特定政策,已通過 Google 審查。不過,許多知名的應用程式可能並未通過這項驗證。詳情請參閱「什麼是通過驗證的第三方應用程式?」
- 存取權:哪些機構單位已設定應用程式的存取權政策。將滑鼠游標指向應用程式,然後按一下「查看詳細資料」,即可查看存取層級 (「可信任」、「受限」、「特定 Google 資料」或「已封鎖」)。按一下「變更存取權」即可變更應用程式的資料存取層級。
注意:如果將存取層級「A」套用至特定機構單位,再將存取層級「B」套用至整個機構,存取層級「A」仍會套用至特定機構單位。
- 如要查看已存取資料的應用程式,請在「已存取資料的應用程式」部分中點選「查看清單」。
已存取資料的應用程式部分還會顯示下列資料:
- 使用者人數:存取該應用程式的使用者人數。
- 要求的服務:各應用程式使用的 Google 服務 API (OAuth2 範圍),例如 Gmail、日曆或 Google 雲端硬碟。系統會將非 Google 要求的服務列為「其他」。
- 在「已設定的應用程式」或「已存取資料的應用程式」清單中,按一下應用程式,即可執行以下操作:
- 管理您的應用程式可否存取 Google 服務:顯示應用程式是標示為「可信任」、「受限」、「特定 Google 資料」或「已封鎖」。如果您變更了存取權設定,請按一下「儲存」。
- 查看應用程式相關資訊:顯示應用程式的完整 OAuth2 用戶端 ID、使用者人數、隱私權政策以及支援資訊。
- 查看應用程式要求的 Google 服務 API (OAuth 範圍):提供各個應用程式要求的 OAuth 範圍清單。如要查看個別 OAuth 範圍,請展開表格列,或按一下「全部展開」。
- (選用) 如要將應用程式資訊下載為 CSV 檔案,請在「已設定的應用程式」或「已存取資料的應用程式」清單頂端按一下「下載清單」。
- 下載的檔案會有表格中所有資料,包括您未顯示的資料。
- 如果您匯出「已設定的應用程式」清單,CSV 檔案會包含這些額外欄:驗證狀態、使用者人數、機構單位、要求的服務,以及與各服務相關聯的 API 範圍。如果沒有人存取過某個已設定的應用程式,該應用程式的使用者人數會顯示為 0,其他兩欄則會留空。
- 如果您匯出「已存取資料的應用程式」清單,CSV 檔案會包含這些額外欄:驗證狀態、機構單位,以及與各服務相關聯的 API 範圍。
應用程式驗證是 Google 的一項計畫,旨在確保存取客戶機密資料的第三方應用程式皆能通過安全性與隱私權檢查。系統可能會禁止使用者啟用您不信任的未驗證應用程式 (詳情請參閱本頁下方,進一步瞭解如何信任應用程式)。詳情請參閱「授權未經驗證的第三方應用程式」。
限制或解除限制 Google 服務
您可以限制 (或不限制) 大多數 Google Workspace 服務的存取權,包括機器學習等 Google Cloud 服務。以下說明各選項代表的意思:
- 受限:只有已配置「可信任」設定的應用程式才能存取資料。
- 未限制:無論資料存取權的範圍有無限制,只有設為「可信任」、「受限」或「特定 Google 資料」存取權的應用程式,才能存取管理員設定範圍的資料。
舉例來說,如果您將日曆存取權設為「受限制」,則只有已配置「可信任」設定的應用程式才能存取日曆資料。如果應用程式的存取權設定為「受限」,就無法存取日曆資料。
注意:如果是 Gmail、Google 雲端硬碟和 Google Chat,您可以明確限制高風險服務的存取權 (例如傳送郵件或刪除雲端硬碟中的檔案)。
-
-
在管理控制台首頁中,依序點選 [安全性] [API 控制項]。
- 按一下「管理 Google 服務」。
- 在服務清單中找到您要管理的服務,然後勾選對應的方塊。 如要勾選所有方塊,請勾選「服務」方塊。
- (選用) 若要篩選這份清單,請按一下「新增篩選器」,然後選取下列條件:
- Google 服務:選取清單中的服務,然後按一下「套用」。
- Google 服務存取權:選取「未限制」或「受限制」,然後按一下「套用」。
- 允許的應用程式:指定允許的應用程式數量範圍,然後按一下「套用」。
- 使用者人數:指定使用者人數範圍,然後按一下「套用」。
- 按一下頂端的「變更存取權」,然後選擇「未限制」或「受限制」。
如果您將存取權變更為「受限制」,先前安裝的應用程式如未獲得信任,會全數停止運作,憑證也會遭到撤銷。如果使用者嘗試安裝 (或登入) 您未信任且會存取受限服務的應用程式,系統會通知他們該應用程式已遭封鎖。如果限制雲端硬碟服務的存取權,Google Forms API 的存取權也會受到限制。
注意:系統會在授予或撤銷權杖的 48 小時後,更新存取的應用程式清單。 - (選用) 假設您選取「受限制」,如要允許不屬於高風險 OAuth 範圍的存取權 (例如,允許應用程式存取雲端硬碟中使用者所選的檔案),請勾選「對於不信任的應用程式,允許使用者授予不屬於高風險 OAuth 範圍的存取權」方塊。(這個方塊只會在部分應用程式上顯示,例如 Gmail 和雲端硬碟)。
- 按一下「變更」,然後視需要確認變更。
- (選用) 如要查看哪些應用程式有權存取服務,請按照以下步驟操作:
- 在「已存取資料的應用程式」部分的頂端,按一下「查看清單」。
- 依序點選「新增篩選器」「要求的服務」。
- 選取您要查看的服務,然後按一下「套用」。
限制高風險 OAuth 範圍的存取權
如果使用 Gmail、Google 雲端硬碟、Google 文件 和 Google Chat,您也可以設定預先定義的高風險 OAuth 範圍清單,限制這些應用程式的存取權。
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
如要進一步瞭解 Gmail 範圍,請參閱「選擇 Gmail API 範圍」。
- https://www.googleapis.com/auth/documents
- https://www.googleapis.com/auth/documents.readonly
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.activity
- https://www.googleapis.com/auth/drive.activity.readonly
- https://www.googleapis.com/auth/drive.admin
- https://www.googleapis.com/auth/drive.admin.labels
- https://www.googleapis.com/auth/drive.admin.labels.readonly
- https://www.googleapis.com/auth/drive.admin.readonly
- https://www.googleapis.com/auth/drive.admin.shareddrive
- https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
- https://www.googleapis.com/auth/drive.apps
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.categories.readonly
- https://www.googleapis.com/auth/drive.labels.readonly
- https://www.googleapis.com/auth/drive.meet.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.photos.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/drive.teams
- https://www.googleapis.com/auth/forms.body
- https://www.googleapis.com/auth/forms.body.readonly
- https://www.googleapis.com/auth/forms.currentonly
- https://www.googleapis.com/auth/forms.responses.readonly
- https://www.googleapis.com/auth/presentations
- https://www.googleapis.com/auth/presentations.readonly
- https://www.googleapis.com/auth/script.addons.curation
- https://www.googleapis.com/auth/script.projects
- https://www.googleapis.com/auth/sites
- https://www.googleapis.com/auth/sites.readonly
- https://www.googleapis.com/auth/spreadsheets
- https://www.googleapis.com/auth/spreadsheets.readonly
如要進一步瞭解範圍,請參閱:
- https://www.googleapis.com/auth/chat.delete
- https://www.googleapis.com/auth/chat.import
- https://www.googleapis.com/auth/chat.messages
- https://www.googleapis.com/auth/chat.messages.readonly
如要進一步瞭解 Chat 範圍,請參閱「Chat API 範圍」。
管理第三方應用程式對 Google 服務及新增應用程式的存取權
如要管理特定應用程式的存取權,您可以封鎖應用程式、將應用程式標示為「可信任」、「特定 Google 資料」或「受限」:
- 可信任:應用程式可以存取所有 Google Workspace 服務 (OAuth 範圍),包括受限制的服務。您可以將使用 OAuth 用戶端 ID 進行設定的應用程式加入許可清單,以確保應用程式設計介面 (API) 可以存取 Google Workspace 服務,即使這些服務具備適用於 API 存取權的情境感知存取權政策也一樣。
- 特定 Google 資料:可要求的資料存取權,僅限您在設定應用程式時指定的範圍。
- 受限:應用程式只能存取未受限制的服務。您可以從應用程式清單或應用程式資訊頁面中,變更應用程式的資料存取權設定。
-
依序前往「API 控制項」「應用程式存取權控制項」,按一下「管理第三方應用程式存取權」。
- 在「已設定的應用程式」清單或「已存取資料的應用程式」清單中,將滑鼠游標懸停在所需應用程式上,然後按一下「變更存取權」。如要變更多個應用程式的存取權,請勾選所需應用程式旁邊的方塊,然後按一下清單頂端的「變更存取權」。
- 選取要設定存取權的機構單位:
- 如要為所有使用者套用設定,請選取頂層機構單位。
- 如要套用至特定機構單位,請依序按一下「選取機構單位」「包含機構」,然後選取特定機構單位。
- 點選「下一步」。
- 選擇下列其中一種做法:
- 可信任:可以存取所有 Google 服務,包括受限制和不受限制的服務。 Google 擁有的應用程式 (例如 Chrome 瀏覽器) 會自動視為可信任,且無法設為可信任的應用程式。
(選用) 如要讓所選應用程式保有透過 API 存取 Google Workspace 服務的權限 (即使 Google Workspace 應用程式具有適用於 API 存取權的情境感知存取權政策),請選取「加入許可清單,即可不受情境感知存取權的 API 存取封鎖限制」。這個選項僅適用於使用 OAuth 用戶端 ID 新增的網頁版、Android 版或 iOS 版應用程式。選取這個選項後,系統不會自動將應用程式免除 API 存取權的封鎖限制。您也必須在指派情境感知存取權層級時排除應用程式。這份許可清單僅適用於您在步驟 3 指定的機構單位。 - 有限:只能存取未受限制的 Google 服務。
- 特定 Google 資料:能要求的資料存取權僅限您在設定應用程式時指定的範圍。
注意:您必須加入應用程式所需的 Google 登入範圍,使用者才能透過自己的 Google 帳戶登入。 - 已封鎖:無法存取任何 Google 服務。
如果您將裝置的應用程式加入許可清單,且同時使用 API 控制項封鎖這個應用程式,系統便會封鎖該應用程式。這表示使用 API 控制項的應用程式封鎖設定會覆寫許可清單設定。
提示:如要取消設定應用程式,請參閱「大量新增及設定第三方應用程式」的說明,使用 CSV 上傳選項。
- 可信任:可以存取所有 Google 服務,包括受限制和不受限制的服務。 Google 擁有的應用程式 (例如 Chrome 瀏覽器) 會自動視為可信任,且無法設為可信任的應用程式。
- 點選 [下一步]。
- 檢查範圍和存取權設定,然後按一下「變更存取權」。
觀看影片
Change access from the app information page
變更應用程式存取權
- 按一下清單中的應用程式,然後點選「Google 資料存取權」。
- 按一下要設定資料存取權的群組或機構單位。根據預設,系統會選取頂層機構單位,並對整個機構套用您所做的變更。
- 選擇資料存取層級。
- 按一下「儲存」。
- (選用) 視需要為不同機構單位套用不同設定。例如:
- 如要禁止應用程式存取所有使用者資料,請選取頂層機構單位,然後選擇「已封鎖」。
- 如果只要禁止應用程式存取部分使用者的資料,請將頂層機構單位設為「可信任」,並將包含這些使用者的子機構單位的存取權設為「已封鎖」。(對各機構單位設定完畢後,請按一下「儲存」)。
- 在「應用程式存取權控制項」下方,按一下「管理第三方應用程式存取權」。
- 在「已設定的應用程式」部分,按一下「新增應用程式」。
- 選擇「OAuth 應用程式名稱或用戶端 ID」(選取這個選項後,即可將應用程式從 API 豁免範圍加入許可清單)、「Android」或「iOS」。
- 輸入應用程式名稱或用戶端 ID,然後按一下「搜尋」。
- 將遊標移至該應用程式,然後按一下「選取」。
- 找出您要設定的用戶端 ID 並勾選相應方塊,然後按一下「選取」。
- 選取要設定存取權的對象:
- 根據預設,系統會選取頂層機構單位。如要為機構內所有使用者設定存取權,請不要取消選取這個選項。
- 如要設定特定機構單位的存取權,請按一下「選取機構單位」,然後點選「+」來查看機構單位。請勾選所需的機構單位,然後按一下「選取」。
- 按一下「繼續」。
- 選擇下列其中一種做法:
- 可信任:可以存取所有 Google 服務,包括受限制和不受限制的服務。
(選用) 如要讓所選應用程式保有透過 API 存取 Google Workspace 服務的權限 (即使 Google Workspace 應用程式具有適用於 API 存取權的情境感知存取權政策),請選取「加入許可清單,即可不受情境感知存取權的 API 存取封鎖限制」。這個選項僅適用於使用 OAuth 用戶端 ID 新增的網頁版、Android 版或 iOS 版應用程式。選取這個選項後,系統不會自動將應用程式免除 API 存取權的封鎖限制。您也必須在指派情境感知存取權層級時排除應用程式。這份許可清單僅適用於您在步驟 7 指定的機構單位。 - 有限:只能存取不受限的 Google 服務
- 特定 Google 資料:能要求的資料存取權僅限您在設定應用程式時指定的範圍。
注意:您必須加入應用程式所需的 Google 登入範圍,使用者才能透過自己的 Google 帳戶登入。 - 已封鎖:無法存取任何 Google 服務。
如果您將裝置的應用程式加入許可清單,且同時使用 API 控制項封鎖這個應用程式,系統便會封鎖該應用程式。這表示使用 API 控制項的應用程式封鎖設定會覆寫許可清單設定。
- 可信任:可以存取所有 Google 服務,包括受限制和不受限制的服務。
- 查看新應用程式的設定,然後按一下「完成」。
系統會提示使用者同意新增網頁應用程式。您可以透過網域安裝的方式,略過 Google Workspace Marketplace 的同意畫面 (僅限已核准的應用程式)。
替未設定的應用程式選擇設定
如果您並未將第三方應用程式設為「可信任」、「受限」、「特定 Google 資料」或「已封鎖」(請參閱「管理第三方應用程式對 Google 服務及新增應用程式的存取權」),系統會將其視為「未設定」的應用程式。您可以控管使用者嘗試使用 Google 帳戶登入未設定的應用程式時,會發生何種情況。
觀看影片
Find the settings for unconfigured apps
尋找設定
-
-
在管理控制台首頁中,依序點選 [安全性] [API 控制項]。
- 按一下「一般設定」,展開設定群組。
- (選用) 如要為特定部門或團隊套用設定,請選取側邊的「機構單位」。操作示範
- 選取所需設定。詳情請參閱「未設定的應用程式設定」。
- 按一下 [儲存]。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
未設定的應用程式設定
這是系統在使用者無法存取遭封鎖的應用程式時,所顯示的自訂訊息。如要建立自訂訊息,請選取「開啟」並輸入訊息內容。
如果自訂訊息處於關閉狀態或無法顯示,則使用者會看到以下預設訊息:
這項設定可以控管使用者嘗試使用 Google 帳戶登入未設定的應用程式時,會發生何種情況。無論這項設定為何,使用者仍可存取設為「可信任」、「受限」或「特定 Google 資料」存取權的應用程式。
選擇下列任一選項:
- 允許使用者存取任何第三方應用程式 (預設):使用者可使用 Google 帳戶登入任何第三方應用程式。已存取資料的應用程式可要求存取該使用者未受限制的 Google 資料。
- 允許使用者存取只索取「使用 Google 帳戶登入」功能所需基本資訊的第三方應用程式:使用者可使用 Google 帳戶登入第三方應用程式,而這些應用程式只能要求基本個人資料,也就是使用者的 Google 帳戶名稱、電子郵件地址和個人資料相片。
- 禁止使用者存取任何第三方應用程式:除非您透過存取權設定,為應用程式和網站設定存取權,否則使用者無法透過 Google 帳戶登入任何第三方應用程式和網站。詳情請參閱「管理第三方應用程式對 Google 服務及新增應用程式的存取權」。
Google Workspace for Education 版本:您可以為年滿或未滿 18 歲的使用者選擇不同設定。如果您使用這項設定封鎖第三方應用程式,可以開放未滿 18 歲的使用者要求存取遭以下設定封鎖的應用程式:「使用者要求存取未設定的應用程式」。
這可讓貴機構建立的內部應用程式存取受限制的 Google Workspace API。
如要允許所有內部應用程式存取 API,請勾選「信任內部應用程式」方塊。
此功能僅適用於 Google Workspace for Education 版本。
這可讓未滿 18 歲的使用者要求存取遭「未設定的第三方應用程式」設定封鎖的應用程式。
當使用者要求存取應用程式時,管理員會收到通知,並可選擇存取權設定,允許使用者存取應用程式。
如要允許使用者要求存取權,請勾選「允許使用者要求存取未設定的第三方應用程式」方塊。
相關主題
- Google API 適用的 OAuth 2.0 範圍
- 準備應用程式 OAuth 驗證的實用指南 (Google Developers 網誌)