Contrôler quelles applications tierces et internes ont accès aux données Google Workspace

Pour gérer les applications mobiles de votre organisation, consultez plutôt cet article .

Lorsque les utilisateurs se connectent à des applications tierces à l'aide de l'option "Se connecter avec Google" (authentification unique), vous pouvez contrôler la manière dont ces applications accèdent aux données Google de votre organisation. Les paramètres de la console d'administration Google vous permettent de gérer l'accès aux services Google Workspace via OAuth 2.0. Certaines applications utilisent les habilitations OAuth 2.0, un mécanisme permettant de limiter l'accès au compte d'un utilisateur. 

Vous pouvez également personnaliser le message que les utilisateurs voient lorsqu'ils tentent d'installer une application non autorisée. 

Remarque : Pour Google Workspace for Education, des restrictions supplémentaires peuvent empêcher les utilisateurs des établissements d'enseignement primaire et secondaire d'accéder à certaines applications tierces.

Avant de commencer : Passez en revue les applications tierces pour votre organisation

Dans "Contrôle de l'accès des applications", vous pouvez examiner les applications tierces suivantes :

  • Applications configurées : applications configurées avec un paramètre d'accès ("Approuvée", "Limitée", "Données Google spécifiques" ou "Bloquée").
  • Applications utilisées : applications utilisées par les utilisateurs ayant accédé aux données Google.
  • Applications en attente d'examen (éditions Education) : applications auxquelles des utilisateurs de moins de 18 ans ont demandé l'accès.

Les détails qui concernent les applications tierces apparaissent généralement sous 24 à 48 heures après l'autorisation.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à SécuritépuisCommandes des API.
  3. Cliquez sur Gérer l'accès des applications tierces pour afficher les applications configurées. Pour filtrer la liste d'applications, cliquez sur Ajouter un filtre et sélectionnez une option.

    La liste des applications affiche le nom, le type et l'ID de chaque application, ainsi que les informations suivantes pour chaque application :

    • État de validation : les applications validées ont été examinées par Google afin de s'assurer qu'elles respectent certaines règles. De nombreuses applications bien connues ne bénéficient pas forcément d'une telle validation. Pour en savoir plus, consultez Qu'est-ce qu'une application tierce validée ?
    • Accès : unités organisationnelles disposant d'une règle d'accès configurée pour l'application. Pointez sur une application, puis cliquez sur Afficher les détails pour voir les niveaux d'accès ("Approuvée", "Limitée", "Données Google spécifiques" ou "Bloquée"). Cliquez sur Modifier l'accès pour modifier le niveau d'accès aux données de l'application

      Remarque : Si vous appliquez le niveau d'accès "A" à une unité organisationnelle spécifique, puis appliquez le niveau d'accès "B" à l'ensemble de l'organisation, le niveau d'accès "A" reste actif pour l'unité organisationnelle.

  4. Pour afficher les applications utilisées, cliquez sur Afficher la liste dans la section Applications utilisées.

    Pour les applications utilisées, vous pouvez également consulter les éléments suivants :

    • Utilisateurs : nombre d'utilisateurs accédant à l'application.
    • Services demandés : API des services Google (habilitations OAuth2) utilisées par les applications (par exemple, Gmail, Agenda et Google Drive). Les services demandés non-Google sont listés dans la catégorie Autre.
  5. Dans la liste Applications configurées ou Applications utilisées, cliquez sur l'une d'entre elles pour accéder aux options suivantes :
    • Définir si votre application peut accéder aux services Google. : indique le niveau d'accès de l'application ("Approuvée", "Limitée", "Données Google spécifiques" ou "Bloquée"). Si vous modifiez la configuration d'accès, cliquez sur Enregistrer.
    • Afficher les informations concernant l'application : indique l'ID client OAuth2 complet de l'application, le nombre d'utilisateurs, les règles de confidentialité et les informations d'assistance.
    • Afficher les API de service Google (habilitations OAuth) demandées par l'application : présente la liste des habilitations OAuth demandées par chaque application. Pour afficher toutes les habilitations OAuth, développez la ligne du tableau ou cliquez sur Tout développer
  6. (Facultatif) Pour télécharger les informations sur l'application dans un fichier CSV, cliquez sur Télécharger la liste en haut de la liste Applications configurées ou Applications utilisées.
    • Toutes les données du tableau sont téléchargées (y compris celles que vous n'avez pas affichées).
    • Pour les applications configurées, le fichier CSV comporte les colonnes supplémentaires suivantes : "État de validation", "Nombre d'utilisateurs", "Unité organisationnelle", "Services demandés" et "Champs d'application d'API" associés à chaque service. Si une application configurée n'a pas été utilisée, le nombre d'utilisateurs est égal à zéro (0) et les deux autres colonnes sont vides.
    • Pour les applications utilisées, le fichier CSV comporte les colonnes supplémentaires suivantes : "État de validation", "Unité organisationnelle" et "Champs d'application d'API" associés à chaque service.

La validation des applications est un programme de Google visant à garantir que les applications tierces qui accèdent à des données client sensibles sont soumises à des contrôles de sécurité et de confidentialité. Il se peut que les utilisateurs ne puissent pas activer les applications non validées que vous n'avez pas autorisées. Pour en savoir plus, consultez les informations ci-dessous sur l'approbation des applications. Pour en savoir plus, consultez Autoriser les applications tierces non validées.

Limiter l'accès à des services Google

Vous pouvez restreindre l'accès à la plupart des services Google Workspace, par exemple les services Google Cloud tels que Machine Learning. Signification de chaque option :

  • Accès limité : seules les applications configurées avec le paramètre d'accès "Approuvée" peuvent accéder aux données.
  • Pas de restriction : seules les applications configurées avec le paramètre d'accès "Approuvée", "Limitée" ou "Données Google spécifiques" ont accès aux habilitations configurées par un administrateur, que l'habilitation dispose ou non d'un accès aux données limité.

Par exemple, si vous définissez l'accès à Agenda comme limité, seules les applications configurées avec le paramètre d'accès "Approuvée" peuvent accéder aux données d'Agenda. Les applications avec le paramètre d'accès "Limitée" ne peuvent pas accéder aux données d'Agenda. 

Remarque : Pour Gmail, Google Drive et Google Chat, vous pouvez restreindre spécifiquement l'accès aux services à haut risque (par exemple, envoyer des messages depuis Gmail ou supprimer des fichiers dans Drive). 

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à SécuritépuisCommandes des API.
  3. Cliquez sur Gérer les services Google.
  4. Dans la liste des services, cochez les cases correspondant aux services que vous souhaitez gérer. Pour cocher toutes les cases, cochez la case Service
  5. (Facultatif) Pour filtrer cette liste, cliquez sur Ajouter un filtre, puis sélectionnez l'un des critères suivants :
    • Services Google : sélectionnez un service dans la liste, puis cliquez sur Appliquer.
    • Accès aux services Google : sélectionnez Pas de restriction ou Accès limité, puis cliquez sur Appliquer.
    • Applications autorisées : spécifiez une plage de valeurs pour le nombre d'applications autorisées, puis cliquez sur Appliquer.
    • Utilisateurs : spécifiez une plage de valeurs pour le nombre d'utilisateurs, puis cliquez sur Appliquer.
  6. En haut de la page, cliquez sur Modifier l'accès et sélectionnez Pas de restriction ou Accès limité.
    Si vous changez l'accès pour le définir sur "Accès limité", les applications déjà installées que vous n'avez pas approuvées cessent de fonctionner, et les jetons sont révoqués. Si un utilisateur tente d'installer (ou de se connecter à) une application que vous n'avez pas approuvée et qui accède à un service limité, il est informé que l'application est bloquée. Les restrictions d'accès au service Drive limitent également l'accès à l'API Google Forms.
    Remarque : La liste des applications consultées est mise à jour 48 heures après l'attribution ou la révocation d'un jeton.
  7. (Facultatif) Si vous avez choisi "Accès limité", pour autoriser l'accès aux habilitations OAuth qui ne sont pas classées comme à haut risque (par exemple, les habilitations autorisant les applications à accéder aux fichiers sélectionnés par l'utilisateur dans Drive), cochez la case Pour les applications non approuvées, autoriser les utilisateurs à accorder un accès aux habilitations OAuth ne présentant pas un risque élevé. Cette case s'affiche par exemple pour Gmail et Drive, mais pas pour toutes les applications.
  8. Cliquez sur Modifier et confirmez, si nécessaire.
  9. (Facultatif) Pour vérifier quelles applications ont accès à un service : 
    1. En haut, pour Applications utilisées, cliquez sur Afficher la liste.
    2. Cliquez sur Ajouter un filtrepuisServices demandés.
    3. Sélectionnez les services que vous consultez, puis cliquez sur Appliquer.

Limiter l'accès aux habilitations OAuth à haut risque

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Dans Gmail, Google Drive, Docs et Chat, il est également possible de limiter l'accès à une liste prédéfinie d'habilitations OAuth à haut risque.

Habilitations OAuth à haut risque de Gmail
  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

Pour en savoir plus sur les habilitations de Gmail, consultez Choisir les habilitations de l'API Gmail.

Habilitations OAuth à haut risque de Drive et Docs
  • https://www.googleapis.com/auth/documents
  • https://www.googleapis.com/auth/documents.readonly
  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.activity
  • https://www.googleapis.com/auth/drive.activity.readonly
  • https://www.googleapis.com/auth/drive.admin
  • https://www.googleapis.com/auth/drive.admin.labels
  • https://www.googleapis.com/auth/drive.admin.labels.readonly
  • https://www.googleapis.com/auth/drive.admin.readonly
  • https://www.googleapis.com/auth/drive.admin.shareddrive
  • https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
  • https://www.googleapis.com/auth/drive.apps
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.categories.readonly
  • https://www.googleapis.com/auth/drive.labels.readonly
  • https://www.googleapis.com/auth/drive.meet.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.photos.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/drive.teams
  • https://www.googleapis.com/auth/forms.body
  • https://www.googleapis.com/auth/forms.body.readonly
  • https://www.googleapis.com/auth/forms.currentonly
  • https://www.googleapis.com/auth/forms.responses.readonly
  • https://www.googleapis.com/auth/presentations
  • https://www.googleapis.com/auth/presentations.readonly
  • https://www.googleapis.com/auth/script.addons.curation
  • https://www.googleapis.com/auth/script.projects
  • https://www.googleapis.com/auth/sites
  • https://www.googleapis.com/auth/sites.readonly
  • https://www.googleapis.com/auth/spreadsheets
  • https://www.googleapis.com/auth/spreadsheets.readonly

Pour en savoir plus sur les habilitations, consultez :

Habilitations OAuth à haut risque de Chat
  • https://www.googleapis.com/auth/chat.delete
  • https://www.googleapis.com/auth/chat.import
  • https://www.googleapis.com/auth/chat.messages
  • https://www.googleapis.com/auth/chat.messages.readonly

Pour en savoir plus sur les habilitations de Chat, consultez Habilitations de l'API Chat.

Gérer l'accès des applications tierces aux services Google et ajouter des applications

Vous pouvez gérer l'accès à certaines applications en les bloquant ou en leur attribuant un paramètre d'accès ("Approuvée", "Limitée", "Données Google spécifiques" ou "Bloquée") :

  • Approuvée : l'application a accès à tous les services Google Workspace (habilitations OAuth), y compris aux services restreints. Vous pouvez ajouter des applications configurées à l'aide d'ID client OAuth à la liste d'autorisation pour conserver l'accès API à des services Google Workspace, même si ces services sont soumis à des règles d'accès contextuel s'appliquant à l'accès via des API.
  • Données Google spécifiques : l'application ne peut demander l'accès aux données que pour les habilitations que vous spécifiez lors de la configuration de l'application.
  • Limitée : l'application ne peut accéder qu'aux services non restreints. Vous pouvez modifier le paramètre d'accès aux données d'une application à partir de la liste des applications ou de la page d'informations de l'application.

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Modifier l'accès depuis la liste d'applications
  1. Dans Commandes des API puis Contrôle de l'accès des applications, cliquez sur Gérer l'accès des applications tierces.

  2. Dans la liste des applications configurées ou utilisées, pointez sur une application, puis cliquez sur Modifier l'accès. Vous pouvez aussi cocher les cases de plusieurs applications et cliquer sur Modifier l'accès en haut de la liste. 
  3. Sélectionnez les unités organisationnelles pour lesquelles configurer l'accès :
    • Pour appliquer le paramètre à tous les utilisateurs, vérifiez que l'unité organisationnelle racine est sélectionnée.
    • Pour l'appliquer à des unités organisationnelles spécifiques, cliquez sur Sélectionner des unités organisationnellespuisInclure les organisations, puis sélectionnez des unités organisationnelles spécifiques.
  4. Cliquez sur Suivant
  5. Sélectionnez une option :
    • Approuvée : l'application peut accéder à tous les services Google (restreints ou non). Les applications appartenant à Google, telles que le navigateur Chrome, sont automatiquement approuvées. Elles ne peuvent donc pas être configurées en tant que telles. 
      (Facultatif) Pour que les applications sélectionnées conservent l'accès via les API pour les services Google Workspace, même si ces services sont soumis à des règles d'accès contextuel s'appliquant à l'accès via les API, sélectionnez Liste d'autorisation pour l'exemption des blocages d'accès aux API dans l'accès contextuel. Cette option ne peut être sélectionnée que pour les applications Web, Android ou iOS ajoutées à l'aide d'ID client OAuth. Si vous sélectionnez cette option, l'application ne sera pas automatiquement exclue des blocages d'accès aux API. Vous devez également exempter l'application lors des attributions de niveaux d'accès contextuel. Cette liste d'autorisation ne s'applique qu'aux unités organisationnelles que vous avez spécifiées à l'étape 3.
    • Limitée : l'application peut uniquement accéder aux services Google non restreints
    • Données Google spécifiques : l'application peut demander l'accès aux données uniquement pour les habilitations que vous spécifiez lors de la configuration de l'application.
      Remarque : Vous devez inclure les habilitations Google Sign-In requises par l'application pour permettre aux utilisateurs de se connecter avec leur compte Google.
    • Bloquée : l'application ne peut accéder à aucun service Google
      Si vous ajoutez une application pour les appareils à la liste d'autorisation, mais que vous la bloquez également à l'aide de commandes d'API, cette application est bloquée. Le blocage de l'application sur la page des commandes des API prévaut sur la liste d'autorisation.

    Conseil : Pour annuler la configuration d'une application, utilisez l'option d'importation CSV décrite dans la section Ajouter et configurer des applications tierces de manière groupée.

  6. Cliquez sur Suivant.
  7. Vérifiez l'habilitation et le paramètre d'accès, puis cliquez sur Modifier l'accès
Modifier l'accès à partir de la page d'informations de l'application

Regarder la vidéo

Change access from the app information page

Modifier l'accès d'une application

  1. Cliquez sur une application de la liste, puis sur Accès aux données Google.
  2. Cliquez sur le groupe ou l'unité organisationnelle pour lesquels vous souhaitez définir l'accès aux données. Par défaut, l'unité organisationnelle racine est sélectionnée, et la modification s'applique à l'ensemble de votre organisation.
  3. Choisissez un niveau d'accès aux données.
  4. Cliquez sur Enregistrer.
  5. (Facultatif) Appliquez des paramètres différents pour différentes unités organisationnelles, si nécessaire. Exemple :
    • Pour bloquer l'accès d'une application aux données de tous vos utilisateurs, sélectionnez votre unité organisationnelle racine et choisissez Bloquée.
    • Pour bloquer l'accès d'une application aux données de certains utilisateurs uniquement, définissez l'accès sur Approuvée pour l'unité organisationnelle racine et sur Bloquée pour l'unité organisationnelle enfant dans laquelle se trouvent ces utilisateurs. (Cliquez sur Enregistrer après chaque paramètre d'unité organisationnelle.)
Ajouter une application
  1. Pour Contrôle de l'accès des applications, cliquez sur Gérer l'accès des applications tierces.
  2. Pour Applications configurées, cliquez sur Ajouter une application.
  3. Sélectionnez Nom de l'application ou ID client OAuth(sélectionnez cette option pour pouvoir ajouter ultérieurement l'application à la liste d'autorisation pour l'exemption d'API), Android ou iOS.
  4. Saisissez le nom de l'application ou l'ID client, puis cliquez sur Rechercher.
  5. Pointez sur l'application, puis cliquez sur Sélectionner.
  6. Cochez les cases des ID client que vous souhaitez configurer, puis cliquez sur Sélectionner.
  7. Sélectionnez les utilisateurs pour lesquels configurer l'accès :
    1. Par défaut, l'unité organisationnelle racine est sélectionnée. Laissez l'option sélectionnée pour définir l'accès pour tous les utilisateurs de votre organisation.
    2. Pour configurer l'accès pour des unités organisationnelles spécifiques, cliquez sur Sélectionner des unités organisationnelles, puis sur + pour afficher vos unités organisationnelles. Cochez les unités organisationnelles souhaitées, puis cliquez sur Sélectionner.
  8. Cliquez sur Continuer.
  9. Sélectionnez une option :
    • Approuvée : l'application peut accéder à tous les services Google (restreints ou non).
      (Facultatif) Pour que les applications sélectionnées conservent l'accès API à des services Google Workspace, même si ces services sont soumis à des règles d'accès contextuel s'appliquant à l'accès API, sélectionnez Liste d'autorisation pour l'exemption des blocages d'accès aux API dans l'accès contextuel. Cette option ne peut être sélectionnée que pour les applications Web, Android ou iOS ajoutées à l'aide d'ID client OAuth. Si vous sélectionnez cette option, l'application ne sera pas automatiquement exclue des blocages d'accès aux API. Vous devez également exempter l'application lors des attributions de niveaux d'accès contextuel. Cette liste d'autorisation ne s'applique qu'aux unités organisationnelles que vous avez spécifiées à l'étape 7. 
    • Limitée : l'application peut uniquement accéder aux services Google non restreints.
    • Données Google spécifiques : l'application peut demander l'accès aux données uniquement pour les habilitations que vous spécifiez lors de la configuration de l'application.
      Remarque : Vous devez inclure les habilitations Google Sign-In requises par l'application pour permettre aux utilisateurs de se connecter avec leur compte Google.
    • Bloquée : l'application ne peut accéder à aucun service Google
      Si vous ajoutez une application pour les appareils à la liste d'autorisation, mais que vous la bloquez également à l'aide de commandes d'API, cette application est bloquée. Le blocage de l'application sur la page des commandes des API prévaut sur la liste d'autorisation.
  10. Vérifiez les paramètres de la nouvelle application, puis cliquez sur Terminer.

Les utilisateurs doivent autoriser l'ajout des applications Web. Vous pouvez contourner cette obligation dans Google Workspace Marketplace (pour les applications approuvées uniquement) en installant un domaine.

Choisir les paramètres des applications non configurées

Les applications tierces que vous n'avez pas configurées avec "Approuvée", "Limitée", "Données Google spécifiques" ou "Bloquée" (comme décrit dans la section Gérer l'accès des applications tierces aux services Google et ajouter des applications) sont considérées comme non configurées. Vous pouvez contrôler ce qui se passe lorsque les utilisateurs tentent de se connecter à des applications non configurées avec leur compte Google. 

Regarder la vidéo

Find the settings for unconfigured apps

Accéder aux paramètres

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à SécuritépuisCommandes des API.
  3. Cliquez sur Paramètres pour développer le groupe de paramètres.
  4. (Facultatif) Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté. Voir la marche à suivre
  5. Sélectionnez vos paramètres. Pour en savoir plus, consultez Paramètres d'applications non configurées.
  6. Cliquez sur Enregistrer

Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus

Paramètres d'applications non configurées

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Message utilisateur personnalisé

Il s'agit d'un message personnalisé qui s'affiche lorsque les utilisateurs ne peuvent pas accéder à une application bloquée. Pour créer un message personnalisé, sélectionnez Activé et saisissez un message. 

Si le message personnalisé est désactivé ou ne peut pas être affiché, un message par défaut s'affiche à la place.

Applications tierces non configurées

Ce paramètre détermine ce qui se passe lorsque les utilisateurs tentent de se connecter à des applications non configurées avec leur compte Google. Quel que soit ce paramètre, les utilisateurs peuvent toujours accéder aux applications configurées avec un accès "Approuvée", "Limitée" ou "Données Google spécifiques". 

Sélectionnez une option :

  • Autoriser les utilisateurs à accéder aux applications tierces (option par défaut) : les utilisateurs peuvent se connecter à n'importe quelle application tierce avec Google. Les applications utilisées peuvent demander des données Google non restreintes pour cet utilisateur.
  • Autoriser les utilisateurs à accéder aux applications tierces qui ne demandent que les informations de base nécessaires pour la fonctionnalité Se connecter avec Google : les utilisateurs peuvent se connecter avec Google à des applications tierces qui ne demandent que les informations de profil de base : nom de compte Google, adresse e-mail et photo de profil de l'utilisateur.
  • Ne pas autoriser les utilisateurs à accéder aux applications tierces : les utilisateurs ne peuvent pas se connecter avec Google à des applications et sites Web tiers tant que vous n'avez pas configuré ces applications et sites avec un paramètre d'accès. Pour en savoir plus, consultez Gérez l'accès des applications tierces aux services Google et ajoutez des applications.

Éditions Google Workspace for Education : vous pouvez choisir des paramètres différents selon que les utilisateurs sont âgés de plus de 18 ans ou de moins de 18 ans. Si vous utilisez ce paramètre pour bloquer des applications tierces, vous pouvez autoriser les utilisateurs de moins de 18 ans à demander l'accès aux applications bloquées à l'aide du paramètre Demandes utilisateur d'accès aux applications non configurées.

Applications internes

Les applications internes créées par votre organisation peuvent ainsi accéder aux API Google Workspace dont l'accès est limité. 

Pour autoriser l'accès via l'API pour toutes les applications internes, cochez la case Approuver les applications internes.

Demandes utilisateur d'accès à des applications non configurées

Cette fonctionnalité n'est disponible que pour les éditions Google Workspace for Education.

Les utilisateurs de moins de 18 ans peuvent ainsi demander l'accès à des applications bloquées à l'aide du paramètre Applications tierces non configurées.

Lorsqu'un utilisateur demande à accéder à une application, les administrateurs en sont informés et peuvent choisir de configurer un paramètre d'accès permettant aux utilisateurs d'accéder aux applications. 

Pour autoriser les utilisateurs à demander l'accès, cochez l'option Autoriser les utilisateurs à demander l'accès à des applications tierces non configurées.

Articles associés

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
12293585931602845819
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false