Informacje na temat zarządzania aplikacjami mobilnymi w organizacji znajdziesz tutaj .
Możesz kontrolować dostęp aplikacji do danych Google Workspace Twojej organizacji. Za pomocą ustawień w konsoli administracyjnej Google możesz zarządzać dostępem przez OAuth 2.0 do usług Google Workspace. Niektóre aplikacje korzystają z zakresów protokołu OAuth 2.0 – mechanizmu ograniczającego dostęp do konta użytkownika.
Możesz też dostosować komunikat o błędzie, który wyświetla się, kiedy użytkownik próbuje zainstalować nieautoryzowaną aplikację.
Uwaga: w przypadku Google Workspace for Education dodatkowe ograniczenia mogą uniemożliwiać użytkownikom w szkołach podstawowych i średnich dostęp do określonych aplikacji innych firm.
Kontrolowanie dostępu aplikacji do danych Google Workspace
Rozwiń wszystko | Zwiń wszystko
Zanim zastosujesz ustawienia kontroli, przejrzyj listę aplikacji, którym został przyznany dostęp do danych Google Workspace. Szczegółowe informacje o aplikacjach innych firm pojawiają się zwykle w ciągu 24–48 godzin po autoryzacji.
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
Na stronie głównej w konsoli administracyjnej kliknij Zabezpieczenia
Dostęp do interfejsów API.
Możesz sprawdzić liczbę skonfigurowanych aplikacji i aplikacji z dostępem do danych.
- Skonfigurowane aplikacje to aplikacje z zasadami dostępu (zaufane lub zablokowane). Jeśli nie masz żadnych zaufanych lub zablokowanych aplikacji, zobaczysz zero (0) skonfigurowanych aplikacji.
- Aplikacje z dostępem do danych to aplikacje innych firm wykorzystywane przez użytkowników, którzy mają dostęp do danych Google.
- Kliknij Zarządzanie dostępem aplikacji innych firm.
Skonfigurowane aplikacje są wyświetlane domyślnie. Możesz sprawdzić te informacje:- Nazwa aplikacji
- Typ
- Identyfikator
- Stan weryfikacji – zweryfikowane aplikacje zostały sprawdzone przez Google w celu zapewnienia zgodności z określonymi zasadami. Wiele znanych aplikacji może nie być zweryfikowanych w ten sposób. Więcej informacji znajdziesz w artykule Co to jest zweryfikowana aplikacja innej firmy.
- Dostęp – określa uprawnienia dostępu: Zaufane lub Zablokowane.
- (Opcjonalnie) Aby wyświetlić aplikacje z dostępem do danych, w sekcji Aplikacje z dostępem do danych kliknij Wyświetl listę.
W przypadku aplikacji z dostępem do danych możesz też sprawdzić te informacje:
- Użytkownicy – liczba użytkowników korzystających z aplikacji.
- Żądane usługi – interfejsy API usług Google (zakresy OAuth2) używane przez poszczególne aplikacje (na przykład przez Gmaila, Kalendarz Google lub Dysk Google). Żądane usługi firm innych niż Google są wymienione jako Inne.
- Na liście Skonfigurowane aplikacje lub Aplikacje z dostępem do danych kliknij aplikację, którą chcesz sprawdzić:
- Określ, czy aplikacja może korzystać z usług Google – sprawdź, czy aplikacja jest oznaczona jako zaufana, zablokowana lub mająca dostęp tylko do wybranych usług. Jeśli zmienisz konfigurację dostępu, kliknij Zapisz.
- Wyświetl informacje o aplikacji – wyświetl pełny identyfikator klienta OAuth2 aplikacji, liczbę użytkowników, politykę prywatności i informacje o pomocy technicznej.
- Wyświetl interfejsy API usług Google (zakresy OAuth), których żąda aplikacja – wyświetl listę zakresów OAuth żądanych przez poszczególne aplikacje. Aby zobaczyć poszczególne zakresy OAuth, rozwiń wiersz tabeli lub kliknij Rozwiń wszystko.
- (Opcjonalnie) Aby pobrać plik CSV z informacjami o aplikacji, u góry listy Skonfigurowane aplikacje lub Aplikacje z dostępem do danych kliknij Pobierz listę.
- Zostaną pobrane wszystkie dane z tabeli (również dane, które nie zostały wyświetlone).
- W przypadku skonfigurowanych aplikacji plik CSV zawiera dodatkowe kolumny niewidoczne w tabeli: Liczba użytkowników, Żądane usługi i Zakresy interfejsu API powiązane z każdą usługą. Jeśli nikt nie uzyskał dostępu do skonfigurowanej aplikacji, liczba jej użytkowników będzie wynosić 0, a pozostałe 2 kolumny będą puste.
Weryfikacja aplikacji to program Google, w ramach którego aplikacje innych firm, które uzyskują dostęp do poufnych danych klientów, są sprawdzane pod kątem bezpieczeństwa i prywatności. Możesz uniemożliwić użytkownikom aktywowanie niezweryfikowanych i niezaufanych aplikacji (szczegółowe informacje o oznaczaniu aplikacji jako zaufanych znajdziesz niżej na tej stronie). Więcej informacji na temat weryfikowania aplikacji znajdziesz w artykule Autoryzowanie niezweryfikowanych aplikacji innych firm.
Możesz ograniczyć dostęp (lub pozostawić go bez ograniczeń) do większości usług Google Workspace. Dotyczy to między innymi usług Google Cloud, takich jak systemy uczące się. W przypadku Gmaila i Dysku Google możesz ograniczyć dostęp do usług wysokiego ryzyka (takich jak wysyłanie poczty lub usuwanie plików z Dysku). Użytkownicy są pytani o zgodę na dostęp aplikacji. Nie mogą jednak dodać aplikacji, jeśli prosi ona o dostęp do usługi, do której dostęp został ograniczony, a nie została określona przez Ciebie jako zaufana.
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
Na stronie głównej w konsoli administracyjnej kliknij Zabezpieczenia
Dostęp do interfejsów API.
- Kliknij Zarządzaj usługami Google.
- Na liście usług zaznacz pola obok usług, którymi chcesz zarządzać.
Aby zaznaczyć wszystkie pola, zaznacz pole Usługa. - (Opcjonalnie) Aby przefiltrować tę listę, kliknij Dodaj filtr i wybierz spośród z tych kryteriów:
- Usługi Google – wybierz z listy usługę, na przykład Dysk lub Gmail, i kliknij Zastosuj.
- Dostęp do usług Google – wybierz Bez ograniczeń lub Ograniczone i kliknij Zastosuj.
- Aplikacje dozwolone – określ zakres liczby dozwolonych aplikacji i kliknij Zastosuj.
- Użytkownicy – określ zakres liczby użytkowników i kliknij Zastosuj.
- U góry kliknij Zmień uprawnienia i wybierz Bez ograniczeń lub Ograniczone.
Po zmianie dostępu na ograniczony wszystkie wcześniej zainstalowane aplikacje, którym nie ufasz, przestaną działać, a tokeny zostaną unieważnione. Gdy użytkownik spróbuje zainstalować aplikację z ograniczonymi prawami dostępu, zobaczy powiadomienie, że zakres jest zablokowany. Ograniczenie dostępu do usługi Dysk powoduje też ograniczenie dostępu do interfejsu Google Forms API.
Uwaga: lista aplikacji z dostępem do danych jest aktualizowana po 48 godzinach od przyznania lub unieważnienia tokena. - (Opcjonalnie), Jeśli wybierzesz Ograniczone, a chcesz zezwolić na dostęp do zakresów OAuth, które nie są sklasyfikowane jako zakresy o wysokim ryzyku (na przykład zakresy umożliwiające aplikacjom dostęp do plików wybranych przez użytkowników na Dysku), zaznacz pole W przypadku niezaufanych aplikacji zezwól użytkownikom na przyznawanie dostępu do zakresów OAuth, które nie są sklasyfikowane jako zakresy o wysokim ryzyku. (To pole wyboru będzie widoczne w przypadku takich aplikacji jak Gmail i Dysk, ale nie w przypadku wszystkich aplikacji).
- Kliknij Zmień i w razie potrzeby potwierdź.
- (Opcjonalnie) Aby sprawdzić, które aplikacje mają dostęp do usługi:
- U góry w sekcji Aplikacje z dostępem do danych kliknij Wyświetl listę.
- Kliknij Dodaj filtr
Żądane usługi.
- Wybierz usługi, które sprawdzasz, i kliknij Zastosuj.
Ograniczanie dostępu do zakresów OAuth wysokiego ryzyka
Gmail i Dysk także mogą ograniczać dostęp do wstępnie zdefiniowanej listy zakresów OAuth o wysokim ryzyku.
Zakresy OAuth wysokiego ryzyka Gmaila:
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Szczegółowe informacje o zakresach dotyczących Gmaila znajdziesz w artykule na temat wybierania zakresów uwierzytelniania (w języku angielskim).
Zakresy OAuth wysokiego ryzyka Dysku:
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/documents
Szczegółowe informacje o zakresach dotyczących Dysku znajdziesz w informacjach na temat autoryzacji i uwierzytelniania w interfejsie API (w języku angielskim).
Możesz zarządzać dostępem do określonych aplikacji, blokując je, oznaczając jako zaufane lub przyznając im dostęp tylko do usług Google z nieograniczonym dostępem. Aplikacja zaufana ma dostęp do wszystkich usług Google Workspace (zakresów OAuth), w tym usług objętych ograniczeniami. Niezaufane aplikacje mają dostęp tylko do usług nieobjętych ograniczeniami.
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
Na stronie głównej w konsoli administracyjnej kliknij Zabezpieczenia
Dostęp do interfejsów API.
- W sekcji Kontrola dostępu aplikacji kliknij Zarządzanie dostępem aplikacji innych firm.
- W przypadkuSkonfigurowanych aplikacji kliknij Wyświetl listę.
- (Opcjonalnie), Aby przefiltrować listę, kliknij Dodaj filtr i wybierz opcję:
- Nazwa aplikacji – wpisz nazwę aplikacji i kliknij Zastosuj.
- Typ – wybierz Aplikacja internetowa, iOS lub Android i kliknij Zastosuj.
- Identyfikator – wpisz identyfikator aplikacji i kliknij Zastosuj.
- Stan weryfikacji – wybierz Zweryfikowane przez Google i kliknij Zastosuj, aby wyświetlić aplikacje sprawdzone przez Google i zgodne z określonymi zasadami. Więcej informacji znajdziesz w artykule Co to jest zweryfikowana aplikacja innej firmy.
- Dostęp – zaznacz opcję Zaufane lub Zablokowane i kliknij Zastosuj.
- Najedź kursorem na aplikację i kliknij Zmień uprawnienia. Możesz też zaznaczyć pola obok kilku aplikacji u góry i kliknąć Zmień uprawnienia. Możesz oznaczyć wszystkie aplikacje należące do domeny jako zaufane lub zablokować aplikacje, aby nie miały dostępu do żadnej usługi Google Workspace.
- Wybierz odpowiednią opcję:
- Zaufane – oznaczenie aplikacji jako zaufanej zastępuje ograniczenie usługi. Aplikacje należące do Google, takie jak przeglądarka Chrome, są automatycznie uznawane za zaufane i nie można ich skonfigurować jako aplikacji zaufanych.
- Wybrane usługi – dostęp tylko do usług Google z nieograniczonym dostępem.
- Zablokowane – brak dostępu do usług Google.
Jeśli dodasz aplikację do listy dozwolonych dla urządzeń, ale jednocześnie zablokujesz ją za pomocą ustawień dostępu do interfejsów API, aplikacja ta zostanie zablokowana. Zablokowanie aplikacji za pomocą ustawień dostępu do interfejsów API ma pierwszeństwo przed listą dozwolonych.
- Kliknij Zmień.
Jeśli zmienisz dostęp aplikacji na Zaufane lub Zablokowane, aplikacja zostanie dodana do listy skonfigurowanych aplikacji. Jeśli zmienisz dostęp na Wybrane usługi, aplikacja zostanie usunięta z listy skonfigurowanych aplikacji. Jeśli zmienisz dostęp na Wybrane usługi, a aplikacja nie ma aktywnych użytkowników, nie zobaczysz jej na liście, dopóki nie aktywuje jej użytkownik.
Dodawanie nowej aplikacji
- W sekcji Kontrola dostępu aplikacji kliknij Zarządzanie dostępem aplikacji innych firm.
- W przypadku Skonfigurowanych aplikacji kliknij Dodaj aplikację.
- Wybierz Nazwa aplikacji OAuth lub identyfikator klienta, Android lub iOS.
- Wpisz nazwę aplikacji lub identyfikator klienta i kliknij Szukaj.
- Wskaż aplikację i kliknij Wybierz.
- Zaznacz pola obok identyfikatorów klienta, które chcesz skonfigurować, i kliknij Wybierz.
- Wybierz Zaufane lub Zablokowane i kliknij Skonfiguruj.
Użytkownicy są pytani o zgodę na dodanie aplikacji internetowych, ale w przypadku zatwierdzonych aplikacji z Google Workspace Marketplace możesz pominąć ten ekran, używając instalacji w domenie.
Dostosowywanie komunikatu dotyczącego nieautoryzowanej aplikacji
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
Na stronie głównej w konsoli administracyjnej kliknij Zabezpieczenia
Dostęp do interfejsów API.
- W obszarze Kontrola dostępu aplikacji w sekcji Ustawienia wpisz komunikat i kliknij Zapisz.
Zablokuj innym firmom dostęp przez interfejs API
Możesz zablokować dostęp innych firm przez interfejs API, przez co żądania aplikacji i stron internetowych innych firm nie będą mogły uzyskać dostępu do danych użytkowników. To ustawienie blokuje wszystkie zakresy OAuth (także zakresy logowania). Oznacza to, że użytkownicy nie będą mogli zalogować się za pomocą konta Google na stronach internetowych lub w aplikacjach innych firm.
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
Na stronie głównej w konsoli administracyjnej kliknij Zabezpieczenia
Dostęp do interfejsów API.
- W obszarze Kontrola dostępu aplikacji w sekcji Ustawienia zaznacz pole Zablokuj innym firmom dostęp przez interfejs API
kliknij Zapisz.
Niektóre ustawienia zastępują ustawienia dotyczące interfejsów API. Jeśli na przykład jakaś aplikacja jest oznaczona jako zaufana, użytkownik będzie mieć do niej dostęp, nawet jeśli zaznaczysz pole Zablokuj innym firmom dostęp przez interfejs API.
Zezwalanie aplikacjom wewnętrznym na dostęp do ograniczonych interfejsów Google Workspace API
Jeśli tworzysz aplikacje wewnętrzne (należące do Twojej organizacji), możesz oznaczyć je wszystkie jako zaufane, aby miały dostęp do interfejsów Google Workspace API objętych ograniczeniami. Dzięki temu nie będzie trzeba oznaczać ich jako zaufanych pojedynczo.
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
Na stronie głównej w konsoli administracyjnej kliknij Zabezpieczenia
Dostęp do interfejsów API.
- W sekcji Kontrola dostępu aplikacji zaznacz pole Oznacz aplikacje wewnętrzne (należące do domeny) jako zaufane
kliknij Zapisz.