控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料

如要管理貴機構的行動應用程式，請改為參閱這篇文章 。

使用者登入第三方應用程式時若選擇「使用 Google 帳戶登入」(單一登入)，您便可以控管這些應用程式存取貴機構 Google 資料的方式。只要使用 Google 管理控制台中的設定，即可控管透過 OAuth 2.0 存取 Google Workspace 服務的權限。部分應用程式採用 OAuth 2.0 範圍，這項機制可限制使用者帳戶的存取權。

此外，您也可以自訂訊息，在使用者嘗試安裝未經授權的應用程式時，向他們顯示。

注意：針對 Google Workspace for Education，您可以設定額外限制，防止中小學機構的使用者存取特定第三方應用程式。

事前準備：檢視貴機構的第三方應用程式

在應用程式存取控管設定中，您可以查看下列第三方應用程式：

• 已設定的應用程式：設有存取權設定的應用程式 (「可信任」、「受限制」、「特定 Google 資料」或「已封鎖」)。
• 已存取資料的應用程式：已存取 Google 資料的使用者所用的應用程式。
• 應用程式尚待審核 (Education 版本)：未滿 18 歲的使用者要求存取的應用程式。

一般來說，第三方應用程式的詳細資料會在授權後的 24 到 48 小時內顯示。

1. 請使用「管理員」帳戶登入 Google 管理控制台。

   如果您不是使用管理員帳戶，就無法存取管理控制台。

2. 依序前往 [安全性] > [API 控制項]。

   必須擁有安全性設定管理員權限。

   
3. 按一下「管理第三方應用程式存取權」，查看您已設定的應用程式。如要篩選應用程式清單，請按一下「新增篩選器」並選取所需選項。

   應用程式清單會顯示各應用程式的名稱、類型和 ID，以及下列資訊：

   • 驗證狀態：如果應用程式狀態為「已驗證」，表示該應用程式確實遵守特定政策，已通過 Google 審查。請注意，許多知名的應用程式可能並未通過這項驗證。詳情請參閱「什麼是通過驗證的第三方應用程式？」
   • 存取權：指出哪些機構單位已設定應用程式的存取權政策。將游標移至所需的應用程式，然後按一下「查看詳細資料」，即可查看存取層級 (「可信任」、「受限制」、「特定 Google 資料」或「已封鎖」)。若要變更應用程式的資料存取層級，請按一下「變更存取權」。 

     注意：如果將存取層級「A」套用至特定機構單位，再將存取層級「B」套用至整個機構，則該特定機構單位套用的存取層級「A」仍會維持有效。

4. 如要查看已存取資料的應用程式，請在「已存取資料的應用程式」部分點選「查看清單」。

   「已存取資料的應用程式」部分也會顯示下列資訊：

   • 使用者人數：存取該應用程式的使用者人數。
   • 要求的服務：各應用程式使用的 Google 服務 API (OAuth2 範圍)，例如 Gmail、Google 日曆或 Google 雲端硬碟。系統會將非 Google 要求的服務列為「其他」。
5. 在「已設定的應用程式」或「已存取資料的應用程式」清單中，按一下應用程式，即可執行以下操作：
   • 管理您的應用程式可否存取 Google 服務：顯示應用程式是標示為「可信任」、「受限制」、「特定 Google 資料」或「已封鎖」。如果您變更了存取權設定，請按一下「儲存」。
   • 查看應用程式相關資訊：顯示應用程式的完整 OAuth2 用戶端 ID、使用者人數、隱私權政策及支援資訊。
   • 查看應用程式要求的 Google 服務 API (OAuth 範圍)：提供各個應用程式要求的 OAuth 範圍清單。如要查看個別 OAuth 範圍，請展開表格列或按一下「全部展開」。
6. (選用) 如要將應用程式資訊下載為 CSV 檔案，請在「已設定的應用程式」或「已存取資料的應用程式」清單頂端，點選「下載清單」。
   • 下載的檔案中會有表格內的全部資料，包含您未顯示的資料。
   • 如果您匯出「已設定的應用程式」清單，CSV 檔案將另含以下資料欄：驗證狀態、使用者人數、機構單位、要求的服務，以及與各服務相關聯的 API 範圍。如果沒人存取過某個已設定的應用程式，該應用程式的使用者人數將顯示為零 (0)，其他 2 欄則會留空。
   • 如果您匯出「已存取資料的應用程式」清單，CSV 檔案將另含以下資料欄：驗證狀態、機構單位，以及與各服務相關聯的 API 範圍。

「應用程式驗證」是 Google 的一項計畫，目的是確保存取機密客戶資料的第三方應用程式，皆能通過安全性與隱私權檢查。系統可能會禁止使用者啟用您不信任的未驗證應用程式 (請見本頁後續內容，進一步瞭解如何將應用程式設為「可信任」)。詳情請參閱「授權未經驗證的第三方應用程式」。

限制或解除限制 Google 服務

您可以限制 (或不限制) 大多數 Google Workspace 服務的存取權，包括機器學習等 Google Cloud 服務。以下說明各選項代表的意義：

• 受限制：只有設為「可信任」的應用程式才能存取資料。
• 未限制：無論資料存取權的範圍有無限制，只有存取權設為「可信任」、「受限制」或「特定 Google 資料」的應用程式，才能存取管理員所設範圍內的資料。

舉例來說，如果您將日曆存取權設為「受限制」，則只有設為「可信任」的應用程式才能存取日曆資料。如果應用程式的存取權設為「受限制」，就無法存取日曆資料。

注意：針對 Gmail、Google 雲端硬碟和 Google Chat，您可以明確限制高風險服務的存取權 (例如傳送郵件或刪除雲端硬碟中的檔案)。

1. 請使用「管理員」帳戶登入 Google 管理控制台。

   如果您不是使用管理員帳戶，就無法存取管理控制台。

2. 依序前往 [安全性] > [API 控制項]。

   必須擁有安全性設定管理員權限。

3. 按一下「管理 Google 服務」。
4. 在服務清單中找到您要管理的服務，然後勾選旁邊的方塊。如要勾選所有方塊，請勾選「服務」方塊。
5. (選用) 如要篩選這份清單，請按一下「新增篩選器」，然後選取下列條件：
   • Google 服務：選取清單中的服務，然後按一下「套用」。
   • Google 服務存取權：選取「未限制」或「受限制」，然後按一下「套用」。
   • 允許的應用程式：指定允許的應用程式數量範圍，然後按一下「套用」。
   • 使用者人數：指定使用者人數範圍，然後按一下「套用」。
6. 按一下頂端的「變更存取權」，然後選擇「未限制」或「受限制」。
   如果您將存取權變更為「受限制」，那麼只要是先前安裝但未獲信任的應用程式，皆會停止運作，且權杖也會遭到撤銷。如果使用者嘗試安裝 (或登入) 未獲信任但會存取受限服務的應用程式，系統會通知使用者該應用程式已遭封鎖。如果限制雲端硬碟服務的存取權，Google Forms API 的存取權也會受到限制。
   注意：系統會在授予或撤銷權杖的 48 小時後，更新「已存取資料的應用程式」清單。
7. (選用) 假設您選擇「受限制」，且想允許不屬於高風險 OAuth 範圍的存取權 (例如，允許應用程式存取使用者在雲端硬碟中選取的檔案)，請勾選「對於不信任的應用程式，允許使用者授予不屬於高風險 OAuth 範圍的存取權」方塊 (只有部分應用程式會顯示這個方塊，例如 Gmail 和雲端硬碟)。
8. 按一下「變更」，然後視需要確認變更。
9. (選用) 如要查看哪些應用程式有權存取服務，請按照以下步驟操作：
   1. 在「已存取資料的應用程式」部分的頂端，按一下「查看清單」。
   2. 依序點選「新增篩選器」「要求的服務」。
   3. 選取您要查看的服務，然後按一下「套用」。

限制高風險 OAuth 範圍的存取權

開啟區段  |  全部收合並返回頁首

如果使用 Gmail、Google 雲端硬碟、Google 文件 和 Google Chat，您也可以預先定義一份高風險 OAuth 範圍清單，然後限制這些應用程式對此範圍的存取權。

管理第三方應用程式對 Google 服務及新增應用程式的存取權

您可以封鎖應用程式、將應用程式標示為「可信任」、「特定 Google 資料」或「受限制」，藉此管理特定應用程式的存取權：

• 可信任：應用程式可以存取所有 Google Workspace 服務 (OAuth 範圍)，包括受限制的服務。您可以將使用 OAuth 用戶端 ID 設定的應用程式加入許可清單，確保應用程式設計介面 (API) 能存取 Google Workspace 服務，即使這些服務有適用 API 存取權的情境感知存取權政策也一樣。
• 特定 Google 資料：可要求的資料存取權僅限於您設定應用程式時，所指定的範圍。
• 受限制：應用程式只能存取未限制的服務。您可以從應用程式清單或應用程式資訊頁面，變更應用程式的資料存取權設定。

開啟區段  |  全部收合並返回頁首