Pour gérer les applications mobiles pour votre organisation, consultez cette page.
Lorsque les utilisateurs se connectent à des applications tierces à l'aide de l'option "Se connecter avec Google" (authentification unique), vous pouvez contrôler la manière dont ces applications accèdent aux données Google de votre organisation. Les paramètres de la console d'administration Google vous permettent de gérer l'accès aux services Google Workspace avec OAuth 2.0. Certaines applications utilisent les habilitations OAuth 2.0, un mécanisme permettant de limiter l'accès au compte d'un utilisateur.
Vous pouvez également personnaliser le message que les utilisateurs voient lorsqu'ils tentent d'installer une application non autorisée.
Remarque : Pour Google Workspace for Education, des restrictions supplémentaires peuvent empêcher les utilisateurs des établissements d'enseignement primaire et secondaire d'accéder à certaines applications tierces.
Avant de commencer : Passez en revue les applications tierces pour votre organisation
Dans "Contrôle de l'accès des applications", vous pouvez passer en revue les applications tierces suivantes :
- Applications configurées : applications configurées avec un paramètre d'accès ("Approuvée", "Limitée", "Données Google spécifiques" ou "Bloquée")
- Applications utilisées : applications utilisées par les utilisateurs qui ont accédé aux données Google
- Applications en attente d'examen (éditions Education) : applications auxquelles des utilisateurs de moins de 18 ans ont demandé à accéder
Les détails qui concernent les applications tierces apparaissent généralement 24 à 48 heures après leur autorisation.
-
Connectez-vous à la Console d'administration Google avec un compte
administrateur.
Si vous n'utilisez pas de compte administrateur, vous ne pouvez pas accéder à la console d'administration.
-
- Cliquez sur Gérer l'accès des applications tierces pour afficher les applications configurées. Pour filtrer la liste des applications, cliquez sur Ajouter un filtre et sélectionnez une option.
La liste des applications affiche le nom, le type et l'ID, ainsi que les informations suivantes pour chaque application :
- État de validation : les applications validées ont été examinées par Google afin de s'assurer qu'elles respectent certaines règles. De nombreuses applications bien connues ne bénéficient pas forcément d'une telle validation. Pour en savoir plus, consultez Qu'est-ce qu'une application tierce validée.
- Accès : unités organisationnelles disposant d'une règle d'accès configurée pour l'application. Pointez sur une application, puis cliquez sur Afficher les détails pour voir les niveaux d'accès ("Approuvée", "Limitée", "Données Google spécifiques" ou "Bloquée"). Cliquez sur Modifier l'accès pour modifier le niveau d'accès aux données de l'application.
Remarque : Si vous appliquez le niveau d'accès "A" à une unité organisationnelle spécifique, puis appliquez le niveau d'accès "B" à l'ensemble de l'organisation, le niveau d'accès "A" reste actif pour l'unité organisationnelle.
- Pour afficher les applications utilisées, cliquez sur Afficher la liste dans la section Applications utilisées.
Pour les applications utilisées, vous pouvez également passer en revue les éléments suivants :
- Utilisateurs : nombre d'utilisateurs accédant à l'application.
- Services demandés : API des services Google (habilitations OAuth2) utilisées par les applications (par exemple, Gmail, Google Agenda et Google Drive). Les services demandés autres que Google sont listés dans la catégorie Autre.
- Dans la liste Applications configurées ou Applications utilisées, cliquez sur une application pour accéder aux options suivantes :
- Définir si votre application peut accéder aux services Google : indique si l'application est marquée comme "Approuvée", "Limitée", "Données Google spécifiques" ou "Bloquée". Si vous modifiez la configuration de l'accès, cliquez sur Enregistrer.
- Afficher les informations concernant l'application : indique l'ID client OAuth2 complet de l'application, le nombre d'utilisateurs, les règles de confidentialité et les informations d'assistance.
- Afficher les API de service Google (habilitations OAuth) demandées par l'application : présente la liste des habilitations OAuth demandées par chaque application. Pour afficher toutes les habilitations OAuth, développez la ligne du tableau ou cliquez sur Tout développer.
- (Facultatif) Pour télécharger les informations sur l'application dans un fichier CSV, cliquez sur Télécharger la liste en haut de la liste Applications configurées ou Applications utilisées.
- Toutes les données du tableau sont téléchargées (y compris celles que vous n'avez pas affichées).
- Pour les applications configurées, le fichier CSV comporte les colonnes supplémentaires suivantes : "État de validation", "Nombre d'utilisateurs", "Unité organisationnelle", "Services demandés" et "Champs d'application d'API" associés à chaque service. Si une application configurée n'a pas été utilisée, le nombre d'utilisateurs est égal à zéro (0) et les deux autres colonnes sont vides.
- Pour les applications utilisées, le fichier CSV comporte les colonnes supplémentaires suivantes : "État de validation", "Unité organisationnelle" et "Champs d'application d'API" associés à chaque service.
La validation des applications est un programme de Google visant à s'assurer que les applications tierces qui accèdent à des données client sensibles sont soumises à des contrôles de sécurité et de confidentialité. Il se peut que les utilisateurs ne puissent pas activer les applications non validées que vous n'avez pas autorisées (consultez les informations ci-dessous sur l'approbation des applications). Pour en savoir plus, consultez Autoriser les applications tierces non validées.
Limiter ou non l'accès aux services Google
Vous pouvez limiter ou non l'accès à la plupart des services Google Workspace, par exemple les services Google Cloud tels que Machine Learning. Voici la signification de chaque option :
- Accès limité : seules les applications configurées avec le paramètre d'accès "Approuvée" peuvent accéder aux données.
- Pas de restriction : seules les applications configurées avec le paramètre d'accès "Approuvée", "Limitée" ou "Données Google spécifiques" ont accès aux habilitations configurées par un administrateur, que l'habilitation dispose ou non d'un accès aux données limité.
Par exemple, si vous définissez l'accès à Agenda comme limité, seules les applications configurées avec le paramètre d'accès "Approuvée" peuvent accéder aux données d'Agenda. Les applications avec le paramètre d'accès "Limitée" ne peuvent pas accéder aux données d'Agenda.
Remarque : Pour Gmail, Google Drive et Google Chat, vous pouvez restreindre spécifiquement l'accès aux services à haut risque (par exemple, envoyer des messages depuis Gmail ou supprimer des fichiers dans Drive).
-
Connectez-vous à la Console d'administration Google avec un compte
administrateur.
Si vous n'utilisez pas de compte administrateur, vous ne pouvez pas accéder à la console d'administration.
-
- Cliquez sur Gérer les services Google.
- Dans la liste des services, cochez les cases à côté des services que vous souhaitez gérer. Pour cocher toutes les cases, cochez la case Service.
- (Facultatif) Pour filtrer cette liste, cliquez sur Ajouter un filtre, puis sélectionnez l'un des critères suivants :
- Services Google : sélectionnez un service dans la liste, puis cliquez sur Appliquer.
- Accès aux services Google : sélectionnez Pas de restriction ou Accès limité, puis cliquez sur Appliquer.
- Applications autorisées : spécifiez une plage de valeurs pour le nombre d'applications autorisées, puis cliquez sur Appliquer.
- Utilisateurs : spécifiez une plage de valeurs pour le nombre d'utilisateurs, puis cliquez sur Appliquer.
- En haut de la page, cliquez sur Modifier l'accès et sélectionnez Pas de restriction ou Accès limité.
Si vous changez l'accès pour le définir sur "Accès limité", les applications déjà installées que vous n'avez pas approuvées cessent de fonctionner, et les jetons sont révoqués. Si un utilisateur tente d'installer (ou de se connecter à) une application que vous n'avez pas approuvée et qui accède à un service limité, il est informé que l'application est bloquée. Les restrictions d'accès au service Drive limitent également l'accès à l'API Google Forms.
Remarque : La liste des applications utilisées est mise à jour 48 heures après l'attribution ou la révocation d'un jeton.
- (Facultatif) Si vous avez choisi "Accès limité", pour autoriser l'accès aux habilitations OAuth qui ne sont pas classées comme à haut risque (par exemple, les habilitations autorisant les applications à accéder aux fichiers sélectionnés par l'utilisateur dans Drive), cochez la case Pour les applications non approuvées, autoriser les utilisateurs à accorder un accès aux habilitations OAuth ne présentant pas un risque élevé. Cette case s'affiche par exemple pour Gmail et Drive, mais pas pour toutes les applications.
- Cliquez sur Modifier et confirmez, si nécessaire.
- (Facultatif) Pour vérifier quelles applications ont accès à un service :
- En haut, pour Applications utilisées, cliquez sur Afficher la liste.
- Cliquez sur Ajouter un filtre
Services demandés.
- Sélectionnez les services que vous voulez vérifier, puis cliquez sur Appliquer.
Limiter l'accès aux habilitations OAuth à haut risque
Ouvrir la section | Tout réduire et revenir en haut de la page
Dans Gmail, Google Drive, Docs et Chat, il est également possible de limiter l'accès à une liste prédéfinie d'habilitations OAuth à haut risque.
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Pour en savoir plus sur les habilitations de Gmail, consultez Choisir les habilitations de l'API Gmail.
- https://www.googleapis.com/auth/documents
- https://www.googleapis.com/auth/documents.readonly
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.activity
- https://www.googleapis.com/auth/drive.activity.readonly
- https://www.googleapis.com/auth/drive.admin
- https://www.googleapis.com/auth/drive.admin.labels
- https://www.googleapis.com/auth/drive.admin.labels.readonly
- https://www.googleapis.com/auth/drive.admin.readonly
- https://www.googleapis.com/auth/drive.admin.shareddrive
- https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
- https://www.googleapis.com/auth/drive.apps
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.categories.readonly
- https://www.googleapis.com/auth/drive.labels.readonly
- https://www.googleapis.com/auth/drive.meet.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.photos.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/drive.teams
- https://www.googleapis.com/auth/forms.body
- https://www.googleapis.com/auth/forms.body.readonly
- https://www.googleapis.com/auth/forms.currentonly
- https://www.googleapis.com/auth/forms.responses.readonly
- https://www.googleapis.com/auth/presentations
- https://www.googleapis.com/auth/presentations.readonly
- https://www.googleapis.com/auth/script.addons.curation
- https://www.googleapis.com/auth/script.projects
- https://www.googleapis.com/auth/sites
- https://www.googleapis.com/auth/sites.readonly
- https://www.googleapis.com/auth/spreadsheets
- https://www.googleapis.com/auth/spreadsheets.readonly
Pour en savoir plus sur les habilitations, consultez :
- https://www.googleapis.com/auth/chat.delete
- https://www.googleapis.com/auth/chat.import
- https://www.googleapis.com/auth/chat.messages
- https://www.googleapis.com/auth/chat.messages.readonly
Pour en savoir plus sur les habilitations de Chat, consultez Habilitations de l'API Chat.
Gérer l'accès des applications tierces aux services Google et en ajouter
Vous pouvez gérer l'accès à certaines applications en les bloquant ou en leur attribuant un paramètre d'accès ("Approuvée", "Limitée", "Données Google spécifiques" ou "Bloquée") :
- Approuvée : l'application a accès à tous les services Google Workspace (habilitations OAuth), y compris aux services restreints. Vous pouvez ajouter des applications configurées à l'aide d'ID client OAuth à la liste d'autorisation pour conserver l'accès aux API (interfaces de programmation d'application) à des services Google Workspace, même si ces services sont soumis à des règles d'accès contextuel s'appliquant à l'accès aux API.
- Données Google spécifiques : l'application ne peut demander l'accès aux données que pour les habilitations que vous spécifiez lors de la configuration de l'application.
- Limitée : l'application ne peut accéder qu'aux services non restreints. Vous pouvez modifier le paramètre d'accès aux données pour une application à partir de la liste des applications ou de la page d'informations de l'application.
Ouvrir la section | Tout réduire et revenir en haut de la page
-
Dans Commandes des API Contrôle de l'accès des applications, cliquez sur Gérer l'accès des applications tierces.
- Dans la liste des applications configurées ou utilisées, pointez sur une application, puis cliquez sur Modifier l'accès. Vous pouvez aussi cocher les cases de plusieurs applications et cliquer sur Modifier l'accès en haut de la liste.
- Sélectionnez les unités organisationnelles pour lesquelles configurer l'accès :
- Pour appliquer le paramètre à tous les utilisateurs, laissez l'unité organisationnelle racine sélectionnée.
- Pour l'appliquer à des unités organisationnelles spécifiques, cliquez sur Sélectionner des unités organisationnellesInclure les organisations, puis sélectionnez des unités organisationnelles spécifiques.
- Cliquez sur Suivant.
- Sélectionnez une option :
- Approuvée : l'application peut accéder à tous les services Google (restreints ou non). Les applications appartenant à Google, telles que le navigateur Chrome, sont automatiquement approuvées. Elles ne peuvent donc pas être configurées en tant que telles.
(Facultatif) Pour que les applications sélectionnées conservent l'accès aux API pour les services Google Workspace, même si ces services sont soumis à des règles d'accès contextuel s'appliquant à l'accès aux API, sélectionnez Ajoutez l'application à la liste d'autorisation pour l'exempter des blocages d'accès aux API dans l'accès contextuel. Cette option ne peut être sélectionnée que pour les applications Web, Android ou iOS ajoutées à l'aide d'ID client OAuth. Si vous sélectionnez cette option, l'application ne sera pas automatiquement exclue des blocages d'accès aux API. Vous devez également exempter l'application lors des attributions de niveaux d'accès contextuel. Cette liste d'autorisation ne s'applique qu'aux unités organisationnelles que vous avez spécifiées à l'étape 3.
- Limitée : peut uniquement accéder aux services Google non restreints.
- Données Google spécifiques : peut demander l'accès aux données uniquement pour les habilitations que vous spécifiez lors de la configuration de l'application.
Remarque : Vous devez inclure les habilitations Google Sign-In requises par l'application pour permettre aux utilisateurs de se connecter avec leur compte Google.
- Bloquée : ne peut accéder à aucun service Google.
Si vous ajoutez une application pour les appareils à la liste d'autorisation, mais que vous la bloquez également à l'aide des commandes des API, cette application est bloquée. Le blocage de l'application à l'aide des commandes des API prévaut sur la liste d'autorisation.
Remarque : Pour annuler la configuration d'une application, utilisez l'option d'importation CSV décrite dans Ajouter et configurer des applications tierces de manière groupée.
- Cliquez sur Suivant.
- Vérifiez l'habilitation et le paramètre d'accès, puis cliquez sur Modifier l'accès.
Regarder la vidéo
Modifier l'accès d'une application
- Cliquez sur une application de la liste, puis sur Accès aux données Google.
- Cliquez sur le groupe ou l'unité organisationnelle pour lesquels vous souhaitez définir l'accès aux données. Par défaut, l'unité organisationnelle racine est sélectionnée, et la modification s'applique à l'ensemble de votre organisation.
- Choisissez un niveau d'accès aux données.
- Cliquez sur Enregistrer.
- (Facultatif) Appliquez des paramètres différents pour différentes unités organisationnelles, si nécessaire. Exemple :
- Par exemple, pour bloquer l'accès d'une application aux données de tous vos utilisateurs, sélectionnez votre unité organisationnelle racine et choisissez Bloquée.
- Pour bloquer l'accès d'une application aux données de certains utilisateurs uniquement, définissez l'accès sur Approuvée pour l'unité organisationnelle racine et sur Bloquée pour l'unité organisationnelle enfant dans laquelle se trouvent ces utilisateurs. (Cliquez sur Enregistrer après chaque paramètre d'unité organisationnelle.)
- Sous Contrôle de l'accès des applications, cliquez sur Gérer l'accès des applications tierces.
- Pour Applications configurées, cliquez sur Ajouter une application.
- Sélectionnez Nom de l'application ou ID client OAuth (sélectionnez cette option pour pouvoir ajouter ultérieurement l'application à la liste d'autorisation pour l'exemption liée aux API), Android ou iOS.
- Saisissez le nom de l'application ou l'ID client, puis cliquez sur Rechercher.
- Pointez sur l'application, puis cliquez sur Sélectionner.
- Cochez les cases des ID client que vous souhaitez configurer, puis cliquez sur Sélectionner.
- Sélectionnez les utilisateurs pour lesquels configurer l'accès :
- Par défaut, l'unité organisationnelle racine est sélectionnée. Laissez-la sélectionnée pour définir l'accès pour tous les utilisateurs de votre organisation.
- Pour configurer l'accès pour des unités organisationnelles spécifiques, cliquez sur Sélectionner des unités organisationnelles, puis sur + pour afficher vos unités organisationnelles. Cochez les unités organisationnelles souhaitées, puis cliquez sur Sélectionner.
- Cliquez sur Continuer.
- Sélectionnez une option :
- Approuvée : l'application peut accéder à tous les services Google (restreints ou non).
(Facultatif) Pour que les applications sélectionnées conservent l'accès aux API pour les services Google Workspace, même si ces services sont soumis à des règles d'accès contextuel s'appliquant à l'accès aux API, sélectionnez Ajoutez l'application à la liste d'autorisation pour l'exempter des blocages d'accès aux API dans l'accès contextuel. Cette option ne peut être sélectionnée que pour les applications Web, Android ou iOS ajoutées à l'aide d'ID client OAuth. Si vous sélectionnez cette option, l'application ne sera pas automatiquement exclue des blocages d'accès aux API. Vous devez également exempter l'application lors des attributions de niveaux d'accès contextuel. Cette liste d'autorisation ne s'applique qu'aux unités organisationnelles que vous avez spécifiées à l'étape 7.
- Limitée : l'application peut uniquement accéder aux services Google non restreints.
- Données Google spécifiques : peut demander l'accès aux données uniquement pour les habilitations que vous spécifiez lors de la configuration de l'application.
Remarque : Vous devez inclure les habilitations Google Sign-In requises par l'application pour permettre aux utilisateurs de se connecter avec leur compte Google.
- Bloquée : ne peut accéder à aucun service Google.
Si vous ajoutez une application pour les appareils à la liste d'autorisation, mais que vous la bloquez également à l'aide des commandes des API, cette application est bloquée. Le blocage de l'application à l'aide des commandes des API prévaut sur la liste d'autorisation.
- Vérifiez les paramètres pour la nouvelle application, puis cliquez sur Terminer.
Les utilisateurs doivent autoriser l'ajout des applications Web. Vous pouvez contourner cette obligation dans Google Workspace Marketplace (pour les applications approuvées uniquement) en les installant sur le domaine.
Choisir les paramètres des applications non configurées
Les applications tierces que vous n'avez pas configurées avec "Approuvée", "Limitée", "Données Google spécifiques" ou "Bloquée" (comme décrit dans Gérer l'accès des applications tierces aux services Google et en ajouter) sont considérées comme non configurées. Vous pouvez contrôler ce qui se passe lorsque les utilisateurs tentent de se connecter à des applications non configurées avec leur compte Google.
Regarder la vidéo
Accéder aux paramètres
-
Connectez-vous à la Console d'administration Google avec un compte
administrateur.
Si vous n'utilisez pas de compte administrateur, vous ne pouvez pas accéder à la console d'administration.
-
- Cliquez sur Paramètres pour développer le groupe de paramètres correspondant.
- (Facultatif) Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté. Voir la marche à suivre
- Sélectionnez vos paramètres. Pour en savoir plus, consultez Paramètres des applications non configurées.
- Cliquez sur Enregistrer.
Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus
Paramètres des applications non configurées
Ouvrir la section | Tout réduire et revenir en haut de la page
Il s'agit d'un message personnalisé qui s'affiche lorsque les utilisateurs ne peuvent pas accéder à une application bloquée. Pour créer un message personnalisé, sélectionnez Activé et saisissez un message.
Si le message personnalisé est désactivé ou ne peut pas être affiché, un message par défaut s'affiche à la place.
Ce paramètre détermine ce qui se passe lorsque les utilisateurs tentent de se connecter à des applications non configurées avec leur compte Google. Quel que soit ce paramètre, les utilisateurs peuvent toujours accéder aux applications configurées avec un accès "Approuvée", "Limitée" ou "Données Google spécifiques".
Sélectionnez une option :
- Autoriser les utilisateurs à accéder aux applications tierces (option par défaut) : les utilisateurs peuvent se connecter à n'importe quelle application tierce avec Google. Les applications utilisées peuvent demander des données Google non restreintes pour cet utilisateur.
- Autoriser les utilisateurs à accéder aux applications tierces qui ne demandent que les informations de base nécessaires pour la fonctionnalité Se connecter avec Google : les utilisateurs peuvent se connecter avec Google à des applications tierces qui ne demandent que les informations de profil de base : nom du compte Google, adresse e-mail et photo de profil de l'utilisateur.
- Ne pas autoriser les utilisateurs à accéder aux applications tierces : les utilisateurs ne peuvent pas se connecter avec Google à des applications et sites Web tiers tant que vous n'avez pas configuré ces applications et sites avec un paramètre d'accès. Pour en savoir plus, consultez Gérer l'accès des applications tierces aux services Google et en ajouter.
Éditions Google Workspace for Education : vous pouvez choisir des paramètres différents selon que les utilisateurs sont ont 18 ans et plus ou moins de 18 ans. Si vous utilisez ce paramètre pour bloquer des applications tierces, vous pouvez autoriser les utilisateurs de moins de 18 ans à demander l'accès aux applications bloquées à l'aide du paramètre Demandes utilisateur d'accès à des applications non configurées.
Les applications internes créées par votre organisation peuvent ainsi accéder aux API Google Workspace dont l'accès est limité.
Pour autoriser l'accès aux API pour toutes les applications internes, cochez la case Approuver les applications internes.
Ces fonctionnalités ne sont disponibles que dans les éditions Google Workspace for Education.
Paramètres pour les utilisateurs de 18 ans et plus
Ces paramètres permettent aux enseignants et aux utilisateurs de 18 ans et plus de demander l'accès à des applications pour eux-mêmes ou pour le compte d'autres utilisateurs (demandes par procuration). Par exemple, un enseignant peut envoyer des demandes par procuration au nom de ses élèves. Vous pouvez examiner ces demandes et accorder ou refuser l'accès.
Vous recevez une notification lorsqu'une demande est envoyée. Vous pouvez configurer l'accès pour les utilisateurs qui ont demandé l'accès pour eux-mêmes. Pour les demandes par procuration, vous pouvez configurer l'accès pour les utilisateurs pour lesquels la demande a été effectuée.
Pour autoriser les utilisateurs à envoyer une demande pour eux-mêmes, cochez la case Autoriser les utilisateurs à envoyer leurs propres demandes d'accès à des applications.
Pour autoriser les utilisateurs à envoyer une demande par procuration, cochez la case Autoriser les utilisateurs à envoyer des demandes au nom d'autres utilisateurs (demandes de proxy).
Remarque : Partagez ce lien avec les enseignants pour leur permettre d'envoyer des demandes par procuration au nom d'autres utilisateurs.
Paramètres pour les utilisateurs de moins de 18 ans
Les utilisateurs de moins de 18 ans peuvent ainsi demander l'accès à des applications pour eux-mêmes.
Pour autoriser les utilisateurs à envoyer leurs propres demandes d'accès à des applications, cochez l'option Autoriser les utilisateurs à envoyer leurs propres demandes d'accès à des applications.
Pour accéder à ces paramètres, consultez Accéder aux paramètres.
Articles associés