Controlar quais apps internos e de terceiros acessam os dados do Google Workspace

Para gerenciar apps para dispositivos móveis na organização, acesse este link como alternativa.

Quando os usuários fazem login em apps de terceiros com a opção "Fazer login com o Google" (Logon único), você pode controlar como esses apps acessam os dados do Google da sua organização. Use as configurações no Google Admin Console para gerenciar o acesso aos serviços do Google Workspace com o OAuth 2.0. Alguns apps usam os escopos do OAuth 2.0, um mecanismo que limita o acesso à conta de um usuário.

Você também pode personalizar a mensagem que os usuários veem quando tentam instalar um app não autorizado.

Observação: no Google Workspace for Education, outras restrições podem impedir que os usuários em instituições de ensino fundamental e médio acessem determinados apps de terceiros.

Antes de começar: analise os apps de terceiros na organização

No controle de acesso dos apps, você pode analisar os seguintes apps de terceiros:

  • Apps configurados: definidos com um tipo de acesso ("Confiável", "Limitado", "Dados específicos do Google" ou "Bloqueado").
  • Apps acessados: usados por quem acessou dados do Google.
  • Apps com análise pendente (edições do Google Workspace for Education): que tiveram o acesso solicitado por usuários menores de 18 anos.

Os detalhes sobre os apps de terceiros geralmente aparecem de 24 a 48 horas após a autorização.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurançae depoisControles da API.
  3. Clique em Gerenciar o acesso de apps de terceiros para ver os apps configurados. Para filtrar a lista de apps, clique em Adicionar um filtro e selecione uma opção.

    A lista mostra o nome, o tipo e o ID do app, além das seguintes informações sobre cada um deles:

    • Status verificado: o Google analisa os apps verificados para garantir compliance com determinadas políticas. Muitos apps conhecidos talvez não sejam verificados dessa forma. Confira mais detalhes em O que é um app de terceiros verificado?
    • Acesso: mostra quais unidades organizacionais têm uma política de acesso configurada para o app. Aponte para um app e clique em Mais detalhes para ver os níveis de acesso ("Confiável", "Limitado", "Dados específicos do Google" ou "Bloqueado"). Clique em Alterar acesso para mudar o nível de acesso aos dados do app

      Observação: se você aplicar o nível de acesso A a uma unidade organizacional específica e depois aplicar o nível de acesso B a toda a organização, o nível A vai continuar em vigor para a unidade organizacional.

  4. Para conferir os apps acessados, clique em Ver lista na seção Apps acessados.

    Em Apps acessados, também é possível verificar:

    • Usuários: mostra o número de usuários que acessam o app.
    • Serviços solicitados: APIs de Serviços do Google (escopos do OAuth2) que cada app está usando (por exemplo, Gmail, Agenda ou Drive). Serviços solicitados que não são do Google são listados como Outros.
  5. Na lista Apps configurados ou Apps acessados, clique em um deles para fazer o seguinte:
    • Gerenciar se o app pode acessar Serviços do Google: mostra se o app está marcado como "Confiável", "Limitado", "Dados específicos do Google" ou "Bloqueado". Se você mudar a configuração de acesso, clique em Salvar.
    • Ver informações do app: mostra o ID completo do cliente OAuth2 do app, o número de usuários, a Política de Privacidade e as informações de suporte.
    • Ver as APIs de Serviço do Google (escopos do OAuth) solicitadas pelo app: mostra uma lista dos escopos do OAuth solicitados por cada app. Para ver cada escopo do OAuth, expanda a linha da tabela ou clique em Expandir tudo
  6. Opcional: para baixar as informações do app em um arquivo CSV, clique em Fazer download da lista na parte de cima de Apps configurados ou Apps acessados.
    • O download inclui todos os dados da tabela (inclusive os que estavam ocultos).
    • O arquivo CSV dos apps configurados tem estas colunas extras: "Status da verificação", "Número de usuários", "Unidade organizacional", "Serviços solicitados" e "Escopos da API" associados a cada serviço. Se um app configurado não tiver sido acessado, a contagem de usuários será zero (0) e as outras duas colunas vão ficar em branco.
    • O arquivo CSV dos apps acessados tem estas colunas extras: "Status da verificação", "Unidade organizacional" e "Escopos da API" associados a cada serviço.

A verificação de apps é um programa do Google para que apps de terceiros que acessam dados sensíveis de clientes passem por verificações de segurança e privacidade. Os usuários podem ser impedidos de ativar apps não verificados e identificados como não confiáveis. Confira mais adiante o que fazer para marcar apps como confiáveis. Confira mais informações em Autorizar apps de terceiros não verificados.

Restringir ou não restringir o acesso aos Serviços do Google

Você pode restringir ou não restringir o acesso à maioria dos serviços do Google Workspace, inclusive aos serviços do Google Cloud, como o aprendizado de máquina. Veja detalhes de cada opção:

  • Restrito: só os apps com a configuração "Confiável" podem acessar dados.
  • Não restrito: só os apps com a configuração "Confiável", "Limitado" ou "Dados específicos do Google" podem acessar os escopos definidos por um administrador, não importando se o acesso aos dados é restrito ou não.

Por exemplo, se você definir o acesso ao Google Agenda como "Restrito", só os apps definidos como "Confiável" vão poder acessar os dados do Google Agenda. Os apps definidos como "Limitado" não vão ter acesso aos dados. 

Observação: no Gmail, Google Drive e Google Chat, você pode impedir o acesso especificamente aos serviços de alto risco, como enviar e-mails ou excluir arquivos no Drive. 

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurançae depoisControles da API.
  3. Clique em Gerenciar serviços do Google.
  4. Na lista, marque as caixas ao lado dos serviços que você quer gerenciar. Para selecionar todos os serviços, marque a caixa Serviço
  5. Opcional: para filtrar essa lista, clique em Adicionar um filtro e escolha um destes critérios:
    • Serviços do Google: selecione uma opção na lista de serviços e clique em Aplicar.
    • Acesso aos Serviços do Google: selecione Não restrito ou Restrito e clique em Aplicar.
    • Apps permitidos: defina um intervalo para o número de apps permitidos e clique em Aplicar.
    • Usuários: defina um intervalo para o número de usuários e clique em Aplicar.
  6. Na parte de cima, clique em Alterar acesso e escolha Não restrito ou Restrito.
    Se você mudar o acesso para "Restrito", os apps já instalados que não forem marcados como confiáveis vão parar de funcionar, e os tokens serão revogados. Se um usuário tentar instalar ou fazer login em um app não definido como confiável que acessa um serviço restrito, vai receber uma notificação de que o app está bloqueado. Restringir o acesso ao serviço do Drive também restringe o acesso à API Google Forms.
    Observação: a lista dos apps acessados é atualizada 48 horas após um token ser concedido ou revogado.
  7. Opcional: se você escolheu "Restrito", para permitir o acesso a escopos OAuth não classificados como de alto risco (por exemplo, os que permitem que os apps acessem arquivos selecionados pelo usuário no Drive), marque a caixa Para apps não confiáveis, permitir que os usuários concedam acesso a escopos OAuth não classificados como de alto risco. Essa caixa não aparece para todos os apps, mas só para apps como o Gmail e o Drive.
  8. Clique em Alterar e confirme, se necessário.
  9. Opcional: para analisar quais apps têm acesso a um serviço: 
    1. Na parte de cima, em Apps acessados, clique em Ver lista.
    2. Clique em Adicionar um filtro e depois Serviços solicitados.
    3. Selecione os serviços que você está verificando e clique em Aplicar.

Restringir o acesso a escopos do OAuth de alto risco

Abrir seção  |  Recolher tudo e voltar ao início

Os apps Gmail, Drive, Documentos e Chat também podem restringir o acesso a uma lista predefinida de escopos do OAuth de alto risco.

Escopos do OAuth de alto risco do Gmail
  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

Confira mais detalhes sobre os escopos do Gmail em Escolher escopos da API Gmail.

Escopos do OAuth de alto risco do Drive e Documentos Google
  • https://www.googleapis.com/auth/documents
  • https://www.googleapis.com/auth/documents.readonly
  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.activity
  • https://www.googleapis.com/auth/drive.activity.readonly
  • https://www.googleapis.com/auth/drive.admin
  • https://www.googleapis.com/auth/drive.admin.labels
  • https://www.googleapis.com/auth/drive.admin.labels.readonly
  • https://www.googleapis.com/auth/drive.admin.readonly
  • https://www.googleapis.com/auth/drive.admin.shareddrive
  • https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
  • https://www.googleapis.com/auth/drive.apps
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.categories.readonly
  • https://www.googleapis.com/auth/drive.labels.readonly
  • https://www.googleapis.com/auth/drive.meet.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.photos.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/drive.teams
  • https://www.googleapis.com/auth/forms.body
  • https://www.googleapis.com/auth/forms.body.readonly
  • https://www.googleapis.com/auth/forms.currentonly
  • https://www.googleapis.com/auth/forms.responses.readonly
  • https://www.googleapis.com/auth/presentations
  • https://www.googleapis.com/auth/presentations.readonly
  • https://www.googleapis.com/auth/script.addons.curation
  • https://www.googleapis.com/auth/script.projects
  • https://www.googleapis.com/auth/sites
  • https://www.googleapis.com/auth/sites.readonly
  • https://www.googleapis.com/auth/spreadsheets
  • https://www.googleapis.com/auth/spreadsheets.readonly

Veja mais detalhes sobre os escopos em:

Escopos do OAuth de alto risco do Chat
  • https://www.googleapis.com/auth/chat.delete
  • https://www.googleapis.com/auth/chat.import
  • https://www.googleapis.com/auth/chat.messages
  • https://www.googleapis.com/auth/chat.messages.readonly

Confira mais detalhes sobre os escopos do Chat em Escopos da API Chat.

Gerenciar o acesso de apps de terceiros aos Serviços do Google e adicionar apps

Para gerenciar o acesso a determinados apps, você pode bloquear ou marcar esses apps como "Confiável", "Dados específicos do Google" ou "Limitado":

  • Confiável: apps confiáveis têm acesso a todos os serviços do Google Workspace (escopos do OAuth), inclusive aos restritos. Você pode colocar apps configurados na lista de permissões usando IDs do cliente OAuth para manter o acesso da interface de programação do aplicativo (API) aos serviços do Google Workspace, mesmo quando esses serviços têm políticas de acesso baseado no contexto aplicáveis ao acesso da API.
  • Dados específicos do Google: o app só pode solicitar acesso aos dados dos escopos que você especificou na configuração dele.
  • Limitado: o app só pode acessar serviços não restritos. Você pode mudar a configuração de acesso aos dados na lista de apps ou na página de informações do app.

Abrir seção  |  Recolher tudo e voltar ao início

Alterar o acesso na lista de apps
  1. Em Controles de API e depois Controle de acesso de apps, clique em Gerenciar o acesso de apps de terceiros.

  2. Na lista de apps configurados ou na lista de apps acessados, aponte para um app e clique em Alterar acesso. Ou marque as caixas ao lado de vários apps e clique em Alterar acesso na parte de cima da lista. 
  3. Selecione as unidades organizacionais para configurar o acesso:
    • Para aplicar a configuração a todos os usuários, deixe a unidade organizacional de nível superior selecionada.
    • Para a configuração valer para unidades organizacionais específicas, clique em Selecionar unidades organizacionais e depois Incluir organizações e selecione as unidades organizacionais.
  4. Clique em Próxima.
  5. Escolha uma opção:
    • Confiável: o app acessa todos os Serviços do Google, tanto os restritos quanto os não restritos. Apps do Google, como o navegador Chrome, são identificados automaticamente como confiáveis e não podem ser configurados. 
      Opcional: para que os apps selecionados mantenham o acesso da API aos serviços do Google Workspace mesmo quando eles tiverem políticas de acesso baseado no contexto aplicáveis ao acesso da API, selecione Lista de permissões para isenção de bloqueios de acesso à API no acesso baseado no contexto. Só é possível selecionar essa opção para apps da Web, Android ou iOS adicionados com o uso de IDs do cliente OAuth. Selecionar essa opção não isenta o app automaticamente dos bloqueios de acesso à API. Você também precisa autorizar o app durante as atribuições de nível do acesso baseado no contexto. Essa lista de permissões só vale para as unidades organizacionais especificadas na etapa 3.
    • Limitado: o app acessa só os Serviços do Google não restritos.
    • Dados específicos do Google: o app só pode solicitar acesso aos escopos que você especificou na configuração dele.
      Observação: é necessário incluir os escopos do Login do Google exigidos pelo app para permitir que os usuários façam login com a Conta do Google.
    • Bloqueado: o app não acessa nenhum serviço do Google.
      Se você adicionar um app para dispositivos em uma lista de permissões e bloquear esse app usando controles de API, ele será bloqueado. O bloqueio com o uso de controles de API substitui a colocação do app na lista de permissões.

    Dica: para remover a configuração de um app, use a opção de upload de CSV descrita em Adicionar e configurar apps de terceiros em massa.

  6. Clique em Próxima.
  7. Revise o escopo e a configuração de acesso e clique em Alterar acesso.
Mudar o acesso na página de informações do app

Assista ao vídeo

Change access from the app information page

Mudar o acesso do app

  1. Clique em um app na lista e em Acesso aos dados do Google.
  2. Clique no grupo ou na unidade organizacional para definir o acesso aos dados. Por padrão, a unidade organizacional mãe é selecionada e a mudança vale para toda a organização.
  3. Escolha um nível de acesso aos dados.
  4. Clique em Salvar.
  5. Opcional: defina configurações diferentes para cada unidade organizacional, se necessário. Por exemplo:
    • Para impedir que um app acesse os dados de todos os usuários, selecione a unidade organizacional mãe e escolha Bloqueado.
    • Para bloquear o acesso de um app apenas aos dados de alguns usuários, defina o acesso como Confiável na unidade organizacional mãe e como Bloqueado na unidade organizacional filha em que esses usuários estão. Clique em Salvar depois de configurar cada unidade organizacional.
Adicionar um novo app
  1. Em Controle de acesso de apps, clique em Gerenciar o acesso de apps de terceiros.
  2. Em Apps configurados, clique em Adicionar app.
  3. Selecione Nome ou ID do cliente do app OAuth (para colocar o app na lista de permissões de isenção da API), Android ou iOS.
  4. Digite o nome do app ou o ID do cliente e clique em Pesquisar.
  5. Aponte para o app e clique em Selecionar.
  6. Marque as caixas dos IDs do cliente que você quer configurar e clique em Selecionar.
  7. Selecione para quem você quer configurar o acesso:
    1. A unidade organizacional mãe é selecionada por padrão. Deixe essa opção selecionada para definir o acesso de todos os usuários na organização.
    2. Para configurar o acesso a unidades organizacionais específicas, clique em Selecionar unidades organizacionais e em "+" para ver as unidades. Marque as unidades organizacionais e clique em Selecionar.
  8. Clique em Continuar.
  9. Escolha uma opção:
    • Confiável: o app acessa todos os Serviços do Google, tanto os restritos quanto os não restritos.
      Opcional: para que os apps selecionados mantenham o acesso da API aos serviços do Google Workspace mesmo quando eles tiverem políticas de acesso baseado no contexto aplicáveis ao acesso da API, selecione Lista de permissões para isenção de bloqueios de acesso por API em acesso baseado no contexto. Só é possível selecionar essa opção para apps da Web, Android ou iOS adicionados com o uso de IDs do cliente OAuth. Selecionar essa opção não isenta o app automaticamente dos bloqueios de acesso à API. Você também precisa autorizar o app durante as atribuições de nível do acesso baseado no contexto. Essa lista de permissões vale apenas para as unidades organizacionais especificadas na etapa 7. 
    • Limitado: o app só pode acessar Serviços do Google não restritos.
    • Dados específicos do Google: o app só pode solicitar acesso aos escopos que você especificou na configuração dele.
      Observação: é necessário incluir os escopos do Login do Google exigidos pelo app para permitir que os usuários façam login com a Conta do Google.
    • Bloqueado: o app não acessa nenhum serviço do Google.
      Se você adicionar um app para dispositivos em uma lista de permissões e bloquear esse app usando controles de API, ele será bloqueado. O bloqueio com o uso de controles de API substitui a colocação do app na lista de permissões.
  10. Revise as configurações do novo app e clique em Concluir.

Os usuários precisam permitir que apps da Web sejam adicionados. Você pode ignorar a tela de permissão no Google Workspace Marketplace (somente para apps aprovados) na instalação no domínio.

Escolher configurações para apps não configurados

Os apps de terceiros que não foram definidos como "Confiáveis", "Limitados", "Dados específicos do Google" ou "Bloqueados" (conforme descrito na seção Gerenciar o acesso de apps de terceiros aos Serviços do Google e adicionar apps) são considerados não configurados. É possível controlar o que acontece quando os usuários tentam fazer login em apps não configurados com a Conta do Google deles. 

Assista ao vídeo

Find the settings for unconfigured apps

Encontrar as configurações

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurançae depoisControles da API.
  3. Clique em Configurações para expandir o grupo de configurações.
  4. (Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral. Mostrar como
  5. Selecione suas configurações. Acesse Configurações não definidas de apps para saber mais.
  6. Clique em Salvar.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Configurações não definidas de apps

Abrir seção  |  Recolher tudo e voltar ao início

Mensagem personalizada para o usuário

Essa é uma mensagem personalizada que os usuários veem quando não conseguem acessar um app bloqueado. Para criar uma mensagem personalizada, selecione Ativado e digite o texto. 

Os usuários veem uma mensagem padrão quando não é possível mostrar a personalizada ou ela está desativada.

Apps de terceiros não configurados

Essa configuração controla o que acontece quando usuários tentam fazer login com a Conta do Google em apps não configurados. Mesmo com essa configuração, os usuários podem acessar apps definidos como "Confiável", "Limitado" ou "Dados específicos do Google".

Escolha uma opção:

  • Permitir que os usuários acessem apps de terceiros (padrão): os usuários podem fazer login com o Google em qualquer app de terceiros. Os apps acessados podem solicitar dados do Google não restritos para esse usuário.
  • Permitir que os usuários acessem apps de terceiros que solicitam apenas informações básicas necessárias para fazer login com o Google: os usuários podem fazer login com o Google em apps de terceiros que solicitam apenas informações básicas do perfil, como o nome da Conta do Google, o endereço de e-mail e a foto do perfil do usuário. 
  • Não permitir o acesso de usuários a apps de terceiros: os usuários só poderão fazer login com o Google em apps e sites de terceiros se você definir uma configuração de acesso para esses apps e sites. Saiba mais em Gerenciar o acesso de apps de terceiros aos Serviços do Google e adicionar apps.

Edições do Google Workspace for Education: é possível escolher configurações diferentes para usuários maiores e menores de 18 anos. Se você usar essa configuração para bloquear apps de terceiros, poderá permitir que usuários menores de 18 anos peçam acesso a apps bloqueados com a configuração Solicitações de acesso dos usuários a apps não configurados.

Apps internos

Essa opção permite que apps internos criados pela organização acessem APIs restritas do Google Workspace. 

Para permitir o acesso de todos os apps internos à API, marque a caixa Confiar em apps internos.

Solicitações de acesso dos usuários a apps não configurados

Esses recursos estão disponíveis apenas nas edições do Google Workspace for Education.

Configurações para usuários maiores de 18 anos

Com essas configurações, educadores e usuários maiores de 18 anos podem pedir acesso a apps por conta própria ou em nome de outras pessoas (solicitações de proxy). Por exemplo, um professor pode fazer solicitações de proxy em nome de estudantes. Você pode analisar essas solicitações e conceder ou negar o acesso.

Você recebe uma notificação quando as solicitações são feitas. Você pode definir uma configuração para usuários que pediram acesso por conta própria. No caso das solicitações de proxy, é possível configurar o acesso para usuários em nome de quem a solicitação foi feita.

Para permitir que os usuários peçam acesso para si mesmos, marque a caixa Permitir que os usuários peçam acesso a apps por conta própria.

Para permitir que os usuários façam solicitações de proxy, marque a caixa Permitir que os usuários façam solicitações em nome de outras pessoas (solicitações por proxy).

Observação: compartilhe este link com educadores para que possam fazer solicitações de proxy em nome de outras pessoas.

Configurações para usuários menores de 18 anos

Essa opção permite que usuários menores de 18 anos peçam acesso a apps por conta própria.

Para permitir que os usuários peçam acesso a apps para si mesmos, marque a caixa Permitir que os usuários peçam acesso a apps por conta própria.

Para acessar essas configurações, acesse Encontrar as configurações.

Temas relacionados

Isso foi útil?

Como podemos melhorá-lo?
Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal