Para gestionar las aplicaciones móviles de tu organización, consulta este otro artículo .
Cuando los usuarios inician sesión en aplicaciones de terceros mediante la opción "Iniciar sesión con Google" (inicio de sesión único), puedes controlar cómo acceden esas aplicaciones a los datos de Google de tu organización. Con los ajustes de la consola de administración de Google, puedes gestionar el acceso a los servicios de Google Workspace a través de OAuth 2.0. Algunas aplicaciones utilizan permisos de OAuth 2.0, un mecanismo para limitar el acceso a las cuentas de los usuarios.
También puedes personalizar el mensaje que se muestra a los usuarios cuando intentan instalar una aplicación no autorizada.
Nota: Si se aplican restricciones adicionales a Google Workspace for Education, es posible que los usuarios de centros de educación primaria y secundaria no puedan acceder a ciertas aplicaciones de terceros.
Antes de empezar: Revisa las aplicaciones de terceros de tu organización
En Control de acceso de aplicaciones, puedes revisar las siguientes aplicaciones de terceros:
- Aplicaciones configuradas: aplicaciones que tienen definido un ajuste de acceso (De confianza, Con acceso restringido, Datos específicos de Google o Bloqueado).
- Aplicaciones a las que se ha accedido: aplicaciones utilizadas por los usuarios que han accedido a datos de Google.
- Aplicaciones pendientes de revisión: aplicaciones a las que han solicitado acceso usuarios menores de 18 años (solo para ediciones de Education).
Por lo general, una vez obtenida la autorización, los detalles de las aplicaciones de terceros suelen tardar entre 24 y 48 horas en mostrarse.
-
Inicia sesión con una cuenta de
administrador en consola de administración de Google.
Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.
-
- Haz clic en Gestionar acceso de aplicaciones de terceros para ver las aplicaciones configuradas. Para filtrar la lista de aplicaciones, haz clic en Añadir un filtro y selecciona una opción.
En la lista de aplicaciones se muestra el nombre, el tipo y el ID de cada aplicación, así como la siguiente información:
- Estado verificado: las aplicaciones con este estado han sido revisadas por Google para comprobar que cumplen determinadas políticas. Hay muchas aplicaciones populares que podrían no haber pasado por esta verificación. Puedes consultar más información en el artículo ¿Qué es una aplicación de terceros verificada?
- Acceso: qué unidades organizativas tienen configurada una política de acceso a la aplicación. Coloca el cursor sobre una aplicación y haz clic en Ver detalles para consultar los niveles de acceso (De confianza, Con acceso restringido, Datos específicos de Google o Bloqueado). Haz clic en Cambiar acceso para modificar el nivel de acceso a los datos de la aplicación.
Nota: Si aplicas el nivel de acceso "A" a una unidad organizativa específica y, a continuación, el "B" a toda la organización, el nivel de acceso "A" seguirá vigente para esa unidad organizativa concreta.
- Para ver las aplicaciones a las que se ha accedido, haz clic en la opción Ver lista de la sección Aplicaciones a las que se ha accedido.
También puedes consultar la siguiente información sobre las aplicaciones a las que se ha accedido:
- Usuarios: número de usuarios que acceden a la aplicación.
- Servicios solicitados: APIs de servicios de Google (permisos de OAuth2) que utiliza cada aplicación (por ejemplo, Gmail, Google Calendar o Google Drive). Los servicios solicitados que no son de Google aparecen como Otros.
- En la lista Aplicaciones configuradas o Aplicaciones a las que se ha accedido, haz clic en una aplicación para hacer lo siguiente:
- Gestionar si tu aplicación puede acceder a los servicios de Google: verás si la aplicación está marcada como De confianza, Con acceso restringido, Datos específicos de Google o Bloqueado. Si cambias la configuración de acceso, haz clic en Guardar.
- Ver información sobre la aplicación: verás el ID de cliente de OAuth2 completo de la aplicación, el número de usuarios, la política de privacidad e información de asistencia.
- Ver las APIs de servicios de Google (permisos de OAuth) que solicita la aplicación: verás la lista de permisos de OAuth que solicita cada aplicación. Para ver los detalles de cada permiso de OAuth, amplía la fila correspondiente de la tabla o haz clic en Mostrar todo.
- (Opcional) Para descargar la información de las aplicaciones en un archivo CSV, haz clic en la opción Descargar lista, que se encuentra en la parte superior de la lista Aplicaciones configuradas o Aplicaciones a las que se ha accedido.
- Se descargarán todos los datos de la tabla, incluidos los que no se estén mostrando.
- En el caso de las aplicaciones configuradas, el archivo CSV incluye estas columnas adicionales: Estado de verificación, Número de usuarios, Unidad organizativa, Servicios solicitados y los permisos de la API asociados a cada servicio. Si no se ha accedido a una aplicación configurada, el número de usuarios será cero (0) y las otras dos columnas estarán en blanco.
- En el caso de las aplicaciones a las que se ha accedido, el archivo CSV incluye estas columnas adicionales: Estado de verificación, Unidad organizativa y los permisos de la API asociados a cada servicio.
Mediante la verificación, Google se asegura de que las aplicaciones de terceros que van a acceder a datos sensibles de los clientes superen una serie de controles de seguridad y privacidad. Por este motivo, es posible que se te impida activar aplicaciones no verificadas en las que no confíes. Consulta más abajo los detalles sobre cómo indicar que determinadas aplicaciones son de confianza. Para obtener más información, consulta el artículo Autorizar aplicaciones de terceros no verificadas.
Restringir o dejar de restringir servicios de Google
Puedes restringir o permitir el acceso a la mayoría de los servicios de Google Workspace, incluidos servicios de Google Cloud como la tecnología de aprendizaje automático. A continuación encontrarás una descripción de cada opción:
- Restringido: solo las aplicaciones configuradas con el ajuste de acceso De confianza pueden acceder a los datos.
- Sin restricción: solo las aplicaciones configuradas con los ajustes de acceso De confianza, Con acceso restringido o Datos específicos de Google pueden acceder a los permisos configurados por un administrador, independientemente de si el permiso tiene acceso restringido o no restringido a los datos.
Por ejemplo, si configuras el acceso a Calendar como Restringido, solo las aplicaciones configuradas con el ajuste De confianza pueden acceder a los datos de Calendar. Las aplicaciones con el ajuste Con acceso restringido no pueden acceder a los datos de Calendar.
Nota: En Gmail, Google Drive y Google Chat, puedes restringir específicamente el acceso a servicios de alto riesgo (por ejemplo, el envío de correo o la eliminación de archivos en Drive).
-
Inicia sesión con una cuenta de
administrador en consola de administración de Google.
Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.
-
- Haz clic en Gestionar servicios de Google.
- En la lista de servicios, marca las casillas de los que quieras gestionar. Para que se seleccionen todas las casillas, marca la casilla Servicio.
- (Opcional) Para filtrar la lista, haz clic en Añadir un filtro y selecciona uno de los siguientes criterios:
- Servicios de Google: selecciona un servicio de la lista y haz clic en Aplicar.
- Acceso a los servicios de Google: selecciona Sin restricción o Restringido y haz clic en Aplicar.
- Aplicaciones permitidas: especifica un intervalo para indicar el número de aplicaciones permitidas y haz clic en Aplicar.
- Usuarios: especifica un intervalo para indicar el número de usuarios y haz clic en Aplicar.
- Arriba, haz clic en Cambiar acceso y selecciona Sin restricción o Restringido.
Si cambias el acceso a Restringido, todas las aplicaciones ya instaladas que no sean de confianza dejarán de funcionar y se revocarán sus tokens. Si un usuario intenta instalar o iniciar sesión en una aplicación que no sea de confianza y que acceda a un servicio restringido, recibirá una notificación de que la aplicación tiene el acceso bloqueado. Al restringir el acceso al servicio Drive, también se restringe el acceso a la API de Formularios de Google.
Nota: La lista de aplicaciones a las que se ha accedido se actualiza a las 48 horas de haberse concedido o revocado un token.
- (Opcional) Si seleccionas Restringido, para permitir el acceso a permisos de OAuth que no estén clasificados como de alto riesgo (por ejemplo, los que permiten que las aplicaciones accedan a archivos seleccionados por el usuario en Drive), marca la casilla En el caso de las aplicaciones que no son de confianza, permite que los usuarios concedan acceso a permisos de OAuth que no estén clasificados como de alto riesgo. Esta casilla aparece en algunas aplicaciones, como Gmail y Drive, pero no en todas.
- Haz clic en Cambiar y confirma la acción si es necesario.
- (Opcional) Para saber qué aplicaciones tienen acceso a un servicio:
- Arriba, ve a Aplicaciones a las que se ha accedido y haz clic en Ver lista.
- Haz clic en Añadir un filtro
Servicios solicitados.
- Selecciona los servicios que quieres comprobar y haz clic en Aplicar.
Restringir el acceso a los permisos de OAuth de alto riesgo
Abrir sección | Ocultar todo y volver al principio
Gmail, Google Drive, Documentos y Chat también pueden restringir el acceso a una lista predefinida de permisos de OAuth de alto riesgo.
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Para obtener más información sobre los permisos de Gmail, consulta la guía Elige los permisos de la API de Gmail.
- https://www.googleapis.com/auth/documents
- https://www.googleapis.com/auth/documents.readonly
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.activity
- https://www.googleapis.com/auth/drive.activity.readonly
- https://www.googleapis.com/auth/drive.admin
- https://www.googleapis.com/auth/drive.admin.labels
- https://www.googleapis.com/auth/drive.admin.labels.readonly
- https://www.googleapis.com/auth/drive.admin.readonly
- https://www.googleapis.com/auth/drive.admin.shareddrive
- https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
- https://www.googleapis.com/auth/drive.apps
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.categories.readonly
- https://www.googleapis.com/auth/drive.labels.readonly
- https://www.googleapis.com/auth/drive.meet.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.photos.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/drive.teams
- https://www.googleapis.com/auth/forms.body
- https://www.googleapis.com/auth/forms.body.readonly
- https://www.googleapis.com/auth/forms.currentonly
- https://www.googleapis.com/auth/forms.responses.readonly
- https://www.googleapis.com/auth/presentations
- https://www.googleapis.com/auth/presentations.readonly
- https://www.googleapis.com/auth/script.addons.curation
- https://www.googleapis.com/auth/script.projects
- https://www.googleapis.com/auth/sites
- https://www.googleapis.com/auth/sites.readonly
- https://www.googleapis.com/auth/spreadsheets
- https://www.googleapis.com/auth/spreadsheets.readonly
Para obtener más información sobre los permisos, consulta los siguientes recursos:
- https://www.googleapis.com/auth/chat.delete
- https://www.googleapis.com/auth/chat.import
- https://www.googleapis.com/auth/chat.messages
- https://www.googleapis.com/auth/chat.messages.readonly
Para obtener más información sobre los permisos de Chat, consulta la guía Permisos de la API de Chat.
Gestionar el acceso de aplicaciones de terceros a los servicios de Google y añadir aplicaciones
Para gestionar el acceso a determinadas aplicaciones, puedes bloquearlas o marcarlas como De confianza, Datos específicos de Google o Con acceso restringido:
- De confianza: la aplicación tiene acceso a todos los servicios de Google Workspace (permisos de OAuth), incluidos los restringidos. Puedes incluir en la lista de permitidas las aplicaciones configuradas mediante IDs de cliente de OAuth para mantener el acceso de la interfaz de programación de aplicaciones (API) a los servicios de Google Workspace, aunque esos servicios tengan políticas de acceso contextual que se apliquen al acceso de la API.
- Datos específicos de Google: la aplicación puede solicitar acceso a los datos únicamente con los permisos que especifiques al configurarla.
- Con acceso restringido: la aplicación solo puede acceder a servicios que no tengan restricciones. Puedes cambiar el ajuste de acceso a los datos de una aplicación desde la lista de aplicaciones o en la página de información de la aplicación.
Abrir sección | Ocultar todo y volver al principio
-
En Controles de APIs Control de acceso de aplicaciones, haz clic en Gestionar acceso de aplicaciones de terceros.
- En la lista de aplicaciones configuradas o en la de aplicaciones a las que se ha accedido, coloca el cursor sobre una aplicación y haz clic en Cambiar acceso. También puedes marcar las casillas de varias aplicaciones y hacer clic en Cambiar acceso en la parte superior de la lista.
- Selecciona las unidades organizativas en las que quieres configurar el acceso:
- Para aplicar el ajuste a todos los usuarios, deja seleccionada la unidad organizativa de nivel superior.
- Para aplicarlo a unidades organizativas concretas, haz clic en Seleccionar unidades organizativas Incluir organizaciones y, a continuación, selecciona unidades organizativas específicas.
- Haz clic en Siguiente.
- Elige una opción:
- De confianza: la aplicación puede acceder a todos los servicios de Google, tanto restringidos como sin restricciones. Las aplicaciones que pertenecen a Google, como el navegador Chrome, se consideran de confianza automáticamente y no se pueden configurar como aplicaciones de confianza.
(Opcional) Para que las aplicaciones seleccionadas mantengan el acceso de la API a los servicios de Google Workspace, aunque esos servicios tengan políticas de acceso contextual que se apliquen al acceso de la API, selecciona Lista de aplicaciones permitidas para la exención de los bloqueos de acceso mediante APIs en el acceso contextual . Solo se puede seleccionar esta opción en el caso de aplicaciones web, Android o iOS añadidas mediante IDs de cliente de OAuth. Seleccionar esta opción no hará que la aplicación quede exenta automáticamente de los bloqueos de acceso mediante APIs. También debes eximir de forma explícita la aplicación durante las asignaciones de niveles de acceso contextual. Esta lista de permitidas solo se aplica a las unidades organizativas que especifiques en el paso 3.
- Con acceso restringido: la aplicación solo puede acceder a servicios de Google que no tengan restricciones.
- Datos específicos de Google: la aplicación puede solicitar acceso a los datos únicamente con los permisos que especifiques al configurarla.
Nota: Debes incluir los permisos de inicio de sesión de Google que requiere la aplicación para que los usuarios puedan iniciar sesión con su cuenta de Google.
- Bloqueado: la aplicación no puede acceder a ningún servicio de Google.
Si incluyes una aplicación en la lista de aplicaciones permitidas, pero también la bloqueas con controles de APIs, la aplicación quedará bloqueada, puesto que el bloqueo mediante controles de APIs prevalece sobre la lista de aplicaciones permitidas.
Nota: Para modificar la configuración de una aplicación, hazlo subiendo un archivo CSV tal y como se describe en el artículo Añadir y configurar aplicaciones de terceros en bloque.
- Haz clic en Siguiente.
- Revisa el ajuste de permiso y de acceso. A continuación, haz clic en Cambiar acceso.
Reproduce el vídeo
Cambiar el acceso de las aplicaciones
- Haz clic en una aplicación de la lista y, a continuación, en Acceso a datos de Google.
- Haz clic en el grupo o en la unidad organizativa donde quieras configurar el acceso a los datos. De forma predeterminada, se selecciona la unidad organizativa superior y el cambio se aplica a toda la organización.
- Elige un nivel de acceso a los datos.
- Haz clic en Guardar.
- (Opcional) Aplica ajustes diferentes para cada unidad organizativa según sea necesario. Por ejemplo:
- Para bloquear el acceso de una aplicación a los datos de todos tus usuarios, selecciona tu unidad organizativa principal y elige Bloqueado.
- Si quieres bloquear el acceso de una aplicación solo a los datos de algunos usuarios, ajusta el acceso en De confianza en la unidad organizativa principal y en Bloqueado en las unidades organizativas secundarias que contengan los usuarios en cuestión. Haz clic en Guardar después de configurar cada unidad organizativa.
- En Control de acceso de aplicaciones, haz clic en Gestionar acceso de aplicaciones de terceros.
- En Aplicaciones configuradas, haz clic en Añadir aplicación.
- Elige Nombre de aplicación OAuth o ID de cliente (selecciona esta opción para incluir más adelante la aplicación en la lista de permitidas de forma que no se excluya de las APIs), Android o iOS.
- Introduce el nombre de la aplicación o el ID de cliente y, a continuación, haz clic en Buscar.
- Coloca el cursor sobre la aplicación y haz clic en Seleccionar.
- Marca las casillas de los IDs de cliente que quieras configurar y haz clic en Seleccionar.
- Selecciona para quién quieres configurar el acceso:
- De forma predeterminada, está seleccionada la unidad organizativa principal. Deja esta opción seleccionada para configurar el acceso de todos los usuarios de tu organización.
- Para configurar el acceso de unidades organizativas específicas, haz clic en Seleccionar unidades organizativas y, a continuación, en "+" para que se muestren. Marca las unidades organizativas que quieras y haz clic en Seleccionar.
- Haz clic en Continuar.
- Elige una opción:
- De confianza: la aplicación puede acceder a todos los servicios de Google, tanto restringidos como sin restricciones.
(Opcional) Para que las aplicaciones seleccionadas mantengan el acceso de la API a los servicios de Google Workspace, aunque esos servicios tengan políticas de acceso contextual que se apliquen al acceso de la API, selecciona Lista de aplicaciones permitidas para la exención de los bloqueos de acceso mediante APIs en el acceso contextual . Solo se puede seleccionar esta opción en el caso de aplicaciones web, Android o iOS añadidas mediante IDs de cliente de OAuth. Seleccionar esta opción no hará que la aplicación quede exenta automáticamente de los bloqueos de acceso mediante APIs. También debes eximir de forma explícita la aplicación durante las asignaciones de niveles de acceso contextual. Esta lista de permitidas solo se aplica a las unidades organizativas que especifiques en el paso 7.
- Con acceso restringido: la aplicación solo puede acceder a servicios de Google que no tengan restricciones.
- Datos específicos de Google: la aplicación puede solicitar acceso a los datos únicamente con los permisos que especifiques al configurarla.
Nota: Debes incluir los permisos de inicio de sesión de Google que requiere la aplicación para que los usuarios puedan iniciar sesión con su cuenta de Google.
- Bloqueado: la aplicación no puede acceder a ningún servicio de Google.
Si incluyes una aplicación en la lista de aplicaciones permitidas, pero también la bloqueas con controles de APIs, la aplicación quedará bloqueada, puesto que el bloqueo mediante controles de APIs prevalece sobre la lista de aplicaciones permitidas.
- Revisa la configuración de la nueva aplicación y haz clic en Finalizar.
Se pide a los usuarios que den su consentimiento para añadir aplicaciones web. Puedes omitir la pantalla de consentimiento de Google Workspace Marketplace (solo en el caso de las aplicaciones aprobadas) instalando la aplicación en un dominio.
Elegir los ajustes de las aplicaciones sin configurar
Las aplicaciones de terceros que no hayas configurado como De confianza, Datos específicos de Google, Con acceso restringido o Bloqueado (tal como se describe en Gestionar el acceso de aplicaciones de terceros a los servicios de Google y añadir aplicaciones) se consideran aplicaciones sin configurar. Puedes controlar lo que ocurre cuando los usuarios intentan iniciar sesión en aplicaciones sin configurar con su cuenta de Google.
Reproduce el vídeo
Localizar los ajustes
-
Inicia sesión con una cuenta de
administrador en consola de administración de Google.
Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.
-
- Haz clic en Configuración para ver los ajustes.
- (Opcional) Para aplicar el ajuste a un departamento o un equipo, selecciona en el lateral una unidad organizativa. Ver cómo
- Selecciona los ajustes que quieras. Consulta más información en Ajustes de aplicaciones sin configurar.
- Haz clic en Guardar.
Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información
Ajustes de aplicaciones sin configurar
Abrir sección | Ocultar todo y volver al principio
Se trata de un mensaje personalizado que se mostrará a los usuarios cuando no puedan acceder a una aplicación bloqueada. Para crear un mensaje personalizado, selecciona Activado y escribe el mensaje.
Si el mensaje personalizado está desactivado o no se puede mostrar, los usuarios verán un mensaje predeterminado.
Este ajuste determina lo que ocurre cuando los usuarios intentan iniciar sesión en aplicaciones sin configurar con su cuenta de Google. Independientemente de este ajuste, los usuarios podrán seguir accediendo a las aplicaciones que se hayan configurado con el acceso De confianza, Con acceso restringido o Datos específicos de Google.
Elige una opción:
- Permitir que los usuarios accedan a aplicaciones de terceros (opción predeterminada): los usuarios pueden iniciar sesión con Google en cualquier aplicación de terceros. Las aplicaciones a las que se ha accedido pueden solicitar datos de Google sin restricción para esos usuarios.
- Permitir que los usuarios accedan a aplicaciones de terceros que solo soliciten la información básica necesaria para iniciar sesión con Google: los usuarios pueden iniciar sesión con Google en aplicaciones de terceros que solo soliciten información básica del perfil, como el nombre, la dirección de correo electrónico o la imagen de perfil de la cuenta de Google del usuario.
- No permitir que los usuarios accedan a aplicaciones de terceros: los usuarios no pueden iniciar sesión con Google en aplicaciones ni sitios web de terceros hasta que asignes una opción de acceso a esos sitios y aplicaciones. Consulta más información en la sección Gestionar el acceso de aplicaciones de terceros a los servicios de Google y añadir aplicaciones.
Ediciones de Google Workspace for Education: puedes configurar diferentes opciones dependiendo de si los usuarios son mayores o menores de 18 años. Si utilizas este ajuste para bloquear aplicaciones de terceros, puedes permitir que los usuarios menores de 18 años soliciten acceso a las aplicaciones que estén bloqueadas mediante la opción Solicitudes de usuarios para acceder a aplicaciones no configuradas.
Este ajuste permite que las aplicaciones internas creadas por tu organización accedan a APIs de Google Workspace restringidas.
Si quieres permitir que todas las aplicaciones internas puedan acceder a la API, marca la casilla Confiar en las aplicaciones internas.
Estas funciones solo están disponibles en las ediciones de Google Workspace for Education.
Configuración para usuarios mayores de 18 años
Esta configuración permite a docentes y usuarios mayores de 18 años solicitar acceso a aplicaciones por sí mismos o en nombre de otros usuarios (solicitudes de proxy). Por ejemplo, un profesor puede hacer solicitudes de proxy en nombre de los alumnos. Puedes revisarlas y conceder o denegar el acceso.
Cuando las solicitudes se envíen, recibirás una notificación. Puedes configurar el acceso de los usuarios que lo hayan solicitado por sí mismos. En el caso de las solicitudes de proxy, puedes configurar el acceso de los usuarios en cuyo nombre se haya hecho la solicitud.
Para permitir que los usuarios soliciten acceso por sí mismos, marca la casilla Permitir que los usuarios soliciten acceso a las aplicaciones por sí mismos.
Para permitir que los usuarios envíen solicitudes de proxy, marca la casilla Permitir que los usuarios envíen solicitudes en nombre de otros usuarios (solicitudes de proxy).
Nota: Comparte este enlace con los docentes para que puedan hacer solicitudes de proxy en nombre de otros usuarios.
Configuración para usuarios menores de 18 años
Esta configuración permite a los usuarios menores de 18 años solicitar acceso a aplicaciones por sí mismos.
Para que puedan hacerlo, marca la casilla Permitir que los usuarios soliciten acceso a las aplicaciones por sí mismos.
Consulta cómo acceder a esta configuración en la sección Localizar los ajustes.
Temas relacionados