控制哪些第三方应用和内部应用可以访问 Google Workspace 数据

如需管理贵组织的移动应用，请改而参阅此处。

在用户通过“使用 Google 账号登录”选项（单点登录）登录第三方应用时，您可以控制这些应用如何访问贵组织的 Google 数据。为此，需要使用 Google 管理控制台中的设置来管理它们通过 OAuth 2.0 访问 Google Workspace 服务的权限。部分应用使用的是 OAuth 2.0 范围，这种机制可以限制对用户账号的访问权限。

此外，您还可以自定义消息，在用户尝试安装未经授权的应用时向其显示。

注意：对于 Google Workspace 教育版，可能有其他限制会阻止中小学校的用户访问某些第三方应用。

准备工作：检查贵组织的第三方应用

在“应用访问权限控制”中，您可以检查以下类型的第三方应用：

• 已配置的应用 - 已配置访问权限设置（“受信任”“受限”“特定 Google 数据”或“已屏蔽”）的应用。
• 访问过的应用 - 用户使用这些应用访问过 Google 数据。
• 待审核的应用（适用于教育版）- 有未满 18 周岁的用户申请了对这些应用的访问权限。

第三方应用的详细信息通常会在授权后的 24 - 48 小时内显示。

1. 使用管理员账号登录 Google 管理控制台。

   如果您使用的不是管理员账号，则无法访问管理控制台。

2. 转到安全性 > API 控件。

   需要拥有安全设置管理员权限。

   
3. 点击管理第三方应用的访问权限即可查看您已配置的应用。如需过滤应用列表，请点击添加过滤条件，并选择一个选项。

   应用列表会显示各应用的应用名称、类型和 ID，以及如下信息：

   • 验证状态 - 经过验证的应用都已通过 Google 审核。Google 通过审核来确保应用符合特定政策。许多广为人知的应用可能并未以这种方式获得验证。有关详情，请参阅什么是已经过验证的第三方应用？
   • 访问权限 - 显示哪些组织部门已为应用配置访问权限政策。将光标指向某个应用，然后点击查看详细信息即可查看访问权限级别（“受信任”“受限”“特定 Google 数据”或“已屏蔽”）。点击更改访问权限可更改应用的数据访问权限级别。 

     注意：如果您将访问权限级别“A”应用于特定组织部门，然后将访问权限级别“B”应用于整个组织，那么访问权限级别“A”对该组织部门仍然有效。

4. 如需查看访问过的应用，请在访问过的应用部分，点击查看列表。

   对于访问过的应用，您还可以检查：

   • 用户数 - 访问该应用的用户数量。
   • 请求的服务 - 各应用当前正在使用的 Google 服务 API（OAuth2 范围），如 Gmail、Google 日历或 Google 云端硬盘。请求的非 Google 服务会被列为其他。
5. 在已配置的应用或访问过的应用列表中，点击一款应用可执行以下操作：
   • 管理您的应用是否可以访问 Google 服务 - 显示该应用是被标记为“受信任”“受限”“特定 Google 数据”还是“已屏蔽”。如果您更改了访问权限配置，请点击保存。
   • 查看应用的相关信息 - 显示该应用的完整 OAuth2 客户端 ID、用户数量、隐私权政策和支持信息。
   • 查看应用请求的 Google 服务 API（OAuth 范围）- 提供各应用请求的 OAuth 范围列表。如需查看各个 OAuth 范围，请展开表格中的相应行或点击全部展开。
6. （可选）如需将应用信息下载到 CSV 文件中，请点击已配置的应用或访问过的应用列表顶部的下载列表。
   • 系统会下载表格中的全部数据（包括未显示的数据）。
   • 对于已配置的应用，CSV 文件中包含以下额外的列：验证状态、用户数量、组织部门、请求的服务、与每项服务关联的 API 范围。如果已配置的应用未被访问过，其用户数将为零 (0)，其他两列则为空白。
   • 对于访问过的应用，CSV 文件中包含以下额外的列：验证状态、组织部门、与每项服务关联的 API 范围。

应用验证是 Google 的一项举措，旨在确保要访问敏感客户数据的第三方应用通过安全和隐私权检查。用户可能会被禁止激活您不信任的未经验证的应用（本页后文详细介绍了关于信任应用的话题）。如需了解详情，请参阅授权未经验证的第三方应用。

限制或取消限制 Google 服务

您可以限制或不限制（默认不限制）对大多数 Google Workspace 服务（包括机器学习一类的 Google Cloud 服务）的访问权限。各选项的含义如下：

• 受限 - 只有访问权限设置配置为“受信任”的应用才能访问数据。
• 不受限 - 只有访问权限设置配置为“受信任”“受限”或“特定 Google 数据”的应用才能访问管理员配置的范围，无论该范围的数据访问权限是“受限”还是“不受限”，情况都是如此。

例如，如果您将日历访问权限设为“受限”，则只有访问权限设置配置为“受信任”的应用才能访问日历数据。访问权限设置配置为“受限”的应用无法访问日历数据。

注意：对于 Gmail、Google 云端硬盘和 Google Chat，您可以专门限制对高风险服务（例如发送邮件或删除云端硬盘中的文件）的访问权限。

1. 使用管理员账号登录 Google 管理控制台。

   如果您使用的不是管理员账号，则无法访问管理控制台。

2. 转到安全性 > API 控件。

   需要拥有安全设置管理员权限。

3. 点击管理 Google 服务。
4. 在服务列表中，勾选您要管理的服务所对应的复选框。如需勾选所有复选框，请勾选服务复选框。
5. （可选）如需过滤此列表，请点击添加过滤条件，然后从以下条件中进行选择：
   • Google 服务 - 从服务列表中进行选择，然后点击应用。
   • Google 服务访问权限 - 选择不受限或受限，然后点击应用。
   • 允许的应用数 - 指定允许的应用数量范围，然后点击应用。
   • 用户数 - 指定用户数量范围，然后点击应用。
6. 点击顶部的更改访问权限，然后选择不受限或受限。
   如果您将访问权限更改为“受限”，则之前安装的任何不受信任的应用都会停止运行，且令牌会被撤消。如果用户尝试安装（或登录）不受信任并访问受限服务的应用，系统会通知用户该应用已被屏蔽。如果限制对云端硬盘服务的访问权限，那么对 Google Forms API 的访问权限也会受到限制。
   注意：系统会在授予或撤消令牌 48 小时后更新访问过的应用列表。
7. （可选）如果您选择“受限”，那么如要允许访问未归类为高风险的 OAuth 范围（例如，允许应用访问用户选择的云端硬盘文件的范围），请勾选对于不受信任的应用，允许用户授权其访问未被归类为高风险的 OAuth 范围复选框。（对于 Gmail 和云端硬盘之类的应用，会显示此复选框；对于其他一些应用，则不显示）。
8. 点击更改并按需进行确认。
9. （可选）如需查看哪些应用可以访问某项服务，请执行以下操作： 
   1. 在顶部的访问过的应用部分，点击查看列表。
   2. 依次点击添加过滤条件 请求的服务。
   3. 选择您要查看的服务，然后点击应用。

限制对高风险 OAuth 范围的访问权限

打开此部分  |  全部收起并转至页首

Gmail、Google 云端硬盘、Google 文档和 Google Chat 还可以限制对预定义的一系列高风险 OAuth 范围的访问权限。

管理第三方应用对 Google 服务的访问权限并添加应用

通过屏蔽特定应用、将应用标记为“受信任”“特定 Google 数据”或“受限”，您可以管理对这些应用的访问权限：

• 受信任 - 应用可以访问所有 Google Workspace 服务（OAuth 范围），包括受限的服务。您可以将使用 OAuth 客户端 ID 配置的应用列入许可名单，以保留应用编程接口 (API) 对 Google Workspace 服务的访问权限，即使在这些服务具有适用于 API 访问权限的情境感知访问权限政策时也是如此。
• 特定 Google 数据 - 只能请求访问您在配置应用时指定的范围内的数据。
• 受限 - 应用只能访问不受限的服务。您可以通过应用列表或应用信息页面更改应用的数据访问权限设置。

打开此部分  |  全部收起并转至页首