如要管理貴機構的行動應用程式,請改為參閱這篇文章 。
使用者登入第三方應用程式時若選擇「使用 Google 帳戶登入」(單一登入),您便可以控管這些應用程式存取貴機構 Google 資料的方式。只要使用 Google 管理控制台中的設定,即可控管透過 OAuth 2.0 存取 Google Workspace 服務的權限。部分應用程式採用 OAuth 2.0 範圍,這項機制可限制使用者帳戶的存取權。
此外,您也可以自訂訊息,在使用者嘗試安裝未經授權的應用程式時,向他們顯示。
注意:針對 Google Workspace for Education,您可以設定額外限制,防止中小學機構的使用者存取特定第三方應用程式。
事前準備:檢視貴機構的第三方應用程式
在應用程式存取控管設定中,您可以查看下列第三方應用程式:
- 已設定的應用程式:設有存取權設定的應用程式 (「可信任」、「受限制」、「特定 Google 資料」或「已封鎖」)。
- 已存取資料的應用程式:已存取 Google 資料的使用者所用的應用程式。
- 應用程式尚待審核 (Education 版本):未滿 18 歲的使用者要求存取的應用程式。
一般來說,第三方應用程式的詳細資料會在授權後的 24 到 48 小時內顯示。
-
-
在管理控制台首頁中,依序點選 [安全性]
[API 控制項]。
- 按一下「管理第三方應用程式存取權」,查看您已設定的應用程式。如要篩選應用程式清單,請按一下「新增篩選器」並選取所需選項。
應用程式清單會顯示各應用程式的名稱、類型和 ID,以及下列資訊:
- 驗證狀態:如果應用程式狀態為「已驗證」,表示該應用程式確實遵守特定政策,已通過 Google 審查。請注意,許多知名的應用程式可能並未通過這項驗證。詳情請參閱「什麼是通過驗證的第三方應用程式?」
- 存取權:指出哪些機構單位已設定應用程式的存取權政策。將游標移至所需的應用程式,然後按一下「查看詳細資料」,即可查看存取層級 (「可信任」、「受限制」、「特定 Google 資料」或「已封鎖」)。若要變更應用程式的資料存取層級,請按一下「變更存取權」。
注意:如果將存取層級「A」套用至特定機構單位,再將存取層級「B」套用至整個機構,則該特定機構單位套用的存取層級「A」仍會維持有效。
- 如要查看已存取資料的應用程式,請在「已存取資料的應用程式」部分點選「查看清單」。
「已存取資料的應用程式」部分也會顯示下列資訊:
- 使用者人數:存取該應用程式的使用者人數。
- 要求的服務:各應用程式使用的 Google 服務 API (OAuth2 範圍),例如 Gmail、Google 日曆或 Google 雲端硬碟。系統會將非 Google 要求的服務列為「其他」。
- 在「已設定的應用程式」或「已存取資料的應用程式」清單中,按一下應用程式,即可執行以下操作:
- 管理您的應用程式可否存取 Google 服務:顯示應用程式是標示為「可信任」、「受限制」、「特定 Google 資料」或「已封鎖」。如果您變更了存取權設定,請按一下「儲存」。
- 查看應用程式相關資訊:顯示應用程式的完整 OAuth2 用戶端 ID、使用者人數、隱私權政策及支援資訊。
- 查看應用程式要求的 Google 服務 API (OAuth 範圍):提供各個應用程式要求的 OAuth 範圍清單。如要查看個別 OAuth 範圍,請展開表格列或按一下「全部展開」。
- (選用) 如要將應用程式資訊下載為 CSV 檔案,請在「已設定的應用程式」或「已存取資料的應用程式」清單頂端,點選「下載清單」。
- 下載的檔案中會有表格內的全部資料,包含您未顯示的資料。
- 如果您匯出「已設定的應用程式」清單,CSV 檔案將另含以下資料欄:驗證狀態、使用者人數、機構單位、要求的服務,以及與各服務相關聯的 API 範圍。如果沒人存取過某個已設定的應用程式,該應用程式的使用者人數將顯示為零 (0),其他 2 欄則會留空。
- 如果您匯出「已存取資料的應用程式」清單,CSV 檔案將另含以下資料欄:驗證狀態、機構單位,以及與各服務相關聯的 API 範圍。
「應用程式驗證」是 Google 的一項計畫,目的是確保存取機密客戶資料的第三方應用程式,皆能通過安全性與隱私權檢查。系統可能會禁止使用者啟用您不信任的未驗證應用程式 (請見本頁後續內容,進一步瞭解如何將應用程式設為「可信任」)。詳情請參閱「授權未經驗證的第三方應用程式」。
限制或解除限制 Google 服務
您可以限制 (或不限制) 大多數 Google Workspace 服務的存取權,包括機器學習等 Google Cloud 服務。以下說明各選項代表的意義:
- 受限制:只有設為「可信任」的應用程式才能存取資料。
- 未限制:無論資料存取權的範圍有無限制,只有存取權設為「可信任」、「受限制」或「特定 Google 資料」的應用程式,才能存取管理員所設範圍內的資料。
舉例來說,如果您將日曆存取權設為「受限制」,則只有設為「可信任」的應用程式才能存取日曆資料。如果應用程式的存取權設為「受限制」,就無法存取日曆資料。
注意:針對 Gmail、Google 雲端硬碟和 Google Chat,您可以明確限制高風險服務的存取權 (例如傳送郵件或刪除雲端硬碟中的檔案)。
-
-
在管理控制台首頁中,依序點選 [安全性]
- 按一下「管理 Google 服務」。
- 在服務清單中找到您要管理的服務,然後勾選旁邊的方塊。如要勾選所有方塊,請勾選「服務」方塊。
- (選用) 如要篩選這份清單,請按一下「新增篩選器」,然後選取下列條件:
- Google 服務:選取清單中的服務,然後按一下「套用」。
- Google 服務存取權:選取「未限制」或「受限制」,然後按一下「套用」。
- 允許的應用程式:指定允許的應用程式數量範圍,然後按一下「套用」。
- 使用者人數:指定使用者人數範圍,然後按一下「套用」。
- 按一下頂端的「變更存取權」,然後選擇「未限制」或「受限制」。
如果您將存取權變更為「受限制」,那麼只要是先前安裝但未獲信任的應用程式,皆會停止運作,且權杖也會遭到撤銷。如果使用者嘗試安裝 (或登入) 未獲信任但會存取受限服務的應用程式,系統會通知使用者該應用程式已遭封鎖。如果限制雲端硬碟服務的存取權,Google Forms API 的存取權也會受到限制。
注意:系統會在授予或撤銷權杖的 48 小時後,更新「已存取資料的應用程式」清單。 - (選用) 假設您選擇「受限制」,且想允許不屬於高風險 OAuth 範圍的存取權 (例如,允許應用程式存取使用者在雲端硬碟中選取的檔案),請勾選「對於不信任的應用程式,允許使用者授予不屬於高風險 OAuth 範圍的存取權」方塊 (只有部分應用程式會顯示這個方塊,例如 Gmail 和雲端硬碟)。
- 按一下「變更」,然後視需要確認變更。
- (選用) 如要查看哪些應用程式有權存取服務,請按照以下步驟操作:
- 在「已存取資料的應用程式」部分的頂端,按一下「查看清單」。
- 依序點選「新增篩選器」
- 選取您要查看的服務,然後按一下「套用」。
限制高風險 OAuth 範圍的存取權
如果使用 Gmail、Google 雲端硬碟、Google 文件 和 Google Chat,您也可以預先定義一份高風險 OAuth 範圍清單,然後限制這些應用程式對此範圍的存取權。
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
如要進一步瞭解 Gmail 範圍,請參閱「選擇 Gmail API 範圍」。
- https://www.googleapis.com/auth/documents
- https://www.googleapis.com/auth/documents.readonly
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.activity
- https://www.googleapis.com/auth/drive.activity.readonly
- https://www.googleapis.com/auth/drive.admin
- https://www.googleapis.com/auth/drive.admin.labels
- https://www.googleapis.com/auth/drive.admin.labels.readonly
- https://www.googleapis.com/auth/drive.admin.readonly
- https://www.googleapis.com/auth/drive.admin.shareddrive
- https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
- https://www.googleapis.com/auth/drive.apps
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.categories.readonly
- https://www.googleapis.com/auth/drive.labels.readonly
- https://www.googleapis.com/auth/drive.meet.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.photos.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/drive.teams
- https://www.googleapis.com/auth/forms.body
- https://www.googleapis.com/auth/forms.body.readonly
- https://www.googleapis.com/auth/forms.currentonly
- https://www.googleapis.com/auth/forms.responses.readonly
- https://www.googleapis.com/auth/presentations
- https://www.googleapis.com/auth/presentations.readonly
- https://www.googleapis.com/auth/script.addons.curation
- https://www.googleapis.com/auth/script.projects
- https://www.googleapis.com/auth/sites
- https://www.googleapis.com/auth/sites.readonly
- https://www.googleapis.com/auth/spreadsheets
- https://www.googleapis.com/auth/spreadsheets.readonly
如要進一步瞭解範圍,請參閱:
- https://www.googleapis.com/auth/chat.delete
- https://www.googleapis.com/auth/chat.import
- https://www.googleapis.com/auth/chat.messages
- https://www.googleapis.com/auth/chat.messages.readonly
如要進一步瞭解 Chat 範圍,請參閱「Chat API 範圍」。
管理第三方應用程式對 Google 服務及新增應用程式的存取權
您可以封鎖應用程式、將應用程式標示為「可信任」、「特定 Google 資料」或「受限制」,藉此管理特定應用程式的存取權:
- 可信任:應用程式可以存取所有 Google Workspace 服務 (OAuth 範圍),包括受限制的服務。您可以將使用 OAuth 用戶端 ID 設定的應用程式加入許可清單,確保應用程式設計介面 (API) 能存取 Google Workspace 服務,即使這些服務有適用 API 存取權的情境感知存取權政策也一樣。
- 特定 Google 資料:可要求的資料存取權僅限於您設定應用程式時,所指定的範圍。
- 受限制:應用程式只能存取未限制的服務。您可以從應用程式清單或應用程式資訊頁面,變更應用程式的資料存取權設定。
-
依序前往「API 控制項」
- 在「已設定的應用程式」清單或「已存取資料的應用程式」清單中,將游標移至所需的應用程式,然後按一下「變更存取權」。您也可以勾選多個應用程式旁邊的方塊,然後按一下清單頂端的「變更存取權」。
- 選取要設定存取權的機構單位:
- 如要將設定套用至所有使用者,請選取頂層機構單位。
- 如要套用至特定機構單位,請依序點選「選取機構單位」
- 點選「下一步」。
- 選擇下列其中一種做法:
- 可信任:可以存取所有 Google 服務,包括受限制和未限制的服務。Google 自有的應用程式 (例如 Chrome 瀏覽器) 已自動視為可信任,因此無法設為可信任的應用程式。
(選用) 如要讓所選應用程式保有透過 API 存取 Google Workspace 服務的權限 (即使這些服務有適用於 API 存取權的情境感知存取權政策),請選取「加入許可清單,即可不受情境感知存取權的 API 存取封鎖限制」。這個選項僅適用於使用 OAuth 用戶端 ID 新增的網頁版、Android 版或 iOS 版應用程式。若選取這個選項,系統不會自動免除應用程式的 API 存取權封鎖限制。您仍須在指派情境感知存取權層級時排除應用程式。這份許可清單僅適用於您在步驟 3 指定的機構單位。 - 受限制:只能存取未限制的 Google 服務。
- 特定 Google 資料:可要求的資料存取權僅限於您設定應用程式時,所指定的範圍。
注意:您必須加入應用程式所需的 Google 登入範圍,使用者才能以自己的 Google 帳戶登入。 - 已封鎖:無法存取任何 Google 服務。
如果您將裝置的應用程式加入許可清單,且同時使用 API 控制項予以封鎖,系統便會封鎖該應用程式。也就是說,使用 API 控制項封鎖應用程式的設定,會覆寫許可清單的設定。
提示:如要取消設定應用程式,請參閱「大量新增及設定第三方應用程式」的說明,使用 CSV 上傳選項。
- 可信任:可以存取所有 Google 服務,包括受限制和未限制的服務。Google 自有的應用程式 (例如 Chrome 瀏覽器) 已自動視為可信任,因此無法設為可信任的應用程式。
- 點選「下一步」。
- 檢查範圍和存取權設定,然後按一下「變更存取權」。
觀看影片
Change access from the app information page
變更應用程式存取權
- 按一下清單中的應用程式,然後點選「Google 資料存取權」。
- 按一下要設定資料存取權的群組或機構單位。根據預設,系統會選取頂層機構單位,並對整個機構套用變更。
- 選擇資料存取層級。
- 按一下「儲存」。
- (選用) 視需要為不同的機構單位套用不同設定。例如:
- 如要禁止應用程式存取所有使用者資料,請選取頂層機構單位,然後選擇「已封鎖」。
- 如果只要禁止應用程式存取部分使用者資料,請將頂層機構單位的存取權設為「可信任」,至於這些使用者所屬的子機構單位,則請設為「已封鎖」 (完成各機構單位的設定後,請按一下「儲存」)。
- 在「應用程式存取控管」中,按一下「管理第三方應用程式存取權」。
- 在「已設定的應用程式」部分,按一下「新增應用程式」。
- 選擇「OAuth 應用程式名稱或用戶端 ID」(選取這個選項後,即可將免除 API 限制的應用程式加入許可清單)、「Android」或「iOS」。
- 輸入應用程式名稱或用戶端 ID,然後按一下「搜尋」。
- 將游標移至該應用程式,然後按一下「選取」。
- 找出您要設定的用戶端 ID 並勾選相應方塊,然後按一下「選取」。
- 選取要設定存取權的對象:
- 系統會預設選取頂層機構單位。如要為機構內所有使用者設定存取權,請不要變更這個選項。
- 如要設定特定機構單位的存取權,請按一下「選取機構單位」,然後點選「+」查看機構單位。請勾選所需的機構單位,然後按一下「選取」。
- 按一下「繼續」。
- 選擇下列其中一種做法:
- 可信任:可以存取所有 Google 服務,包括受限制和未限制的服務。
(選用) 如要讓所選應用程式保有透過 API 存取 Google Workspace 服務的權限 (即使這些服務有適用於 API 存取權的情境感知存取權政策),請選取「加入許可清單,即可不受情境感知存取權的 API 存取封鎖限制」。這個選項僅適用於使用 OAuth 用戶端 ID 新增的網頁版、Android 版或 iOS 版應用程式。若選取這個選項,系統不會自動免除應用程式的 API 存取權封鎖限制。您仍須在指派情境感知存取權層級時排除應用程式。這份許可清單僅適用於您在步驟 7 指定的機構單位。 - 受限制:只能存取未限制的 Google 服務。
- 特定 Google 資料:可要求的資料存取權僅限於您設定應用程式時,所指定的範圍。
注意:您必須加入應用程式所需的 Google 登入範圍,使用者才能以自己的 Google 帳戶登入。 - 已封鎖:無法存取任何 Google 服務。
如果您將裝置的應用程式加入許可清單,且同時使用 API 控制項予以封鎖,系統便會封鎖該應用程式。也就是說,使用 API 控制項封鎖應用程式的設定,會覆寫許可清單的設定。
- 可信任:可以存取所有 Google 服務,包括受限制和未限制的服務。
- 查看新應用程式的設定,然後按一下「完成」。
系統會提示使用者同意新增網頁應用程式。您可以採用網域安裝的方式,略過 Google Workspace Marketplace 的同意畫面 (僅限已核准的應用程式)。
替未設定的應用程式選擇設定
如果您未將第三方應用程式設為「可信任」、「受限制」、「特定 Google 資料」或「已封鎖」(請參閱「管理第三方應用程式對 Google 服務及新增應用程式的存取權」),系統會將其視為未設定的應用程式。當使用者嘗試以 Google 帳戶登入未設定的應用程式時,您可以控管要如何因應。
觀看影片
Find the settings for unconfigured apps
尋找設定
-
-
在管理控制台首頁中,依序點選 [安全性]
- 點選「設定」展開設定群組。
- (選用) 如要為特定部門或團隊套用設定,請選取側邊的「機構單位」。操作示範
- 選取所需設定。詳情請參閱「未設定的應用程式設定」。
- 按一下「儲存」。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
未設定的應用程式設定
使用者無法存取遭封鎖的應用程式時,就會看到這則自訂訊息。如要建立自訂訊息,請選取「開啟」並輸入訊息內容。
如果自訂訊息處於關閉狀態或無法顯示,使用者將看到以下預設訊息:
當使用者嘗試以 Google 帳戶登入未設定的應用程式時,這項設定可用來控管因應方式。請注意,無論這項設定為何,使用者仍可存取權限設為「可信任」、「受限制」或「特定 Google 資料」的應用程式。
請選擇下列任一選項:
- 允許使用者存取所有第三方應用程式 (預設):使用者可利用 Google 帳戶登入任何第三方應用程式。已存取資料的應用程式可要求存取該使用者未限制的 Google 資料。
- 允許使用者存取只索取「使用 Google 帳戶登入」功能所需基本資訊的第三方應用程式:使用者可利用 Google 帳戶登入第三方應用程式,但這些應用程式只能要求基本個人資料,也就是使用者的 Google 帳戶名稱、電子郵件地址和個人資料相片。
- 禁止使用者存取任何第三方應用程式:除非您透過存取權設定,為應用程式和網站設定存取權,否則使用者無法透過 Google 帳戶登入任何第三方應用程式和網站。詳情請參閱「管理第三方應用程式對 Google 服務及新增應用程式的存取權」。
Google Workspace for Education 版本:您可以分別為年滿或未滿 18 歲的使用者選擇不同設定。如果您使用這項設定封鎖第三方應用程式,可允許未滿 18 歲的使用者要求存取遭以下設定封鎖的應用程式:「使用者要求存取未設定的應用程式」。
這可讓貴機構建立的內部應用程式存取受限制的 Google Workspace API。
如要允許所有內部應用程式存取 API,請勾選「信任內部應用程式」方塊。
這些功能僅適用於 Google Workspace for Education 版本。
年滿 18 歲使用者的設定
這些設定可讓年滿 18 歲的教師和使用者自行要求應用程式的存取權,或代他人提出要求 (代理要求)。舉例來說,老師可代學生提出要求,您可以查看這些要求並決定是否授予存取權。
只要有人提出要求,您便會收到通知。您可以為自行要求存取權的使用者設定存取權。如果是代理要求,則可為代提要求的使用者設定存取權。
如要讓使用者自行要求存取權,請勾選「允許使用者自行要求存取應用程式」方塊。
如要讓使用者提出代理要求,請勾選「允許使用者代表他人提出要求 (代理要求)」方塊。
注意:請將這個連結提供給教師,讓他們代表他人提出要求。
未滿 18 歲使用者的設定
這可讓未滿 18 歲的使用者自行要求應用程式的存取權。
如要讓使用者自行要求應用程式存取權,請勾選「允許使用者自行要求存取應用程式」方塊。
如要存取這些設定,請參閱「尋找設定」。
相關主題
- Google API 適用的 OAuth 2.0 範圍
- 準備應用程式 OAuth 驗證的實用指南 (Google Developers 網誌)