Verbundene Apps auf die weiße Liste setzen

OAuth-basierten Zugriff auf verbundene Apps verwalten

Wenn Sie als Super Admin keine vertraulichen Inhalte von Google Drive oder Gmail außerhalb der Domain Ihrer Organisation mithilfe von OAuth-Apps oder Add-ons von Drittanbietern freigeben möchten, widerrufen Sie OAuth-Zugriffstokens.

Jetzt können Sie auch mehrere API-Bereiche für alle G Suite-Dienste deaktivieren. Dazu gehören Gmail-, Drive-, Google Kalender- und Google Cloud Platform-Dienste wie maschinelles Lernen. Zusätzlich haben Sie die Möglichkeit, eine weiße Liste der Drittanbieter-Apps zu erstellen, mit denen auf diese Bereiche zugegriffen werden darf. In Drive Enterprise gelten die Einstellungen für den API-Zugriff nicht für Gmail und Google Kalender.

Wenn Sie für einen G Suite-Dienst, z. B. Kalender, einen API-Bereich deaktivieren oder eine Dittanbieter-App für vertrauenswürdig erklären, betrifft dies alle Bereiche, die damit zusammenhängen. Das gilt auch für OAuth-Bereiche. Einige Apps, z. B. Gmail, ermöglichen eine strengere Zugriffskontrolle für vordefinierte Bereiche mit hohem Risiko. 

Wenn Sie Anwendungen auf die weiße Liste setzen möchten, legen Sie zuerst fest, auf welche API-Bereiche der G Suite die Drittanbieter-Apps zugreifen dürfen. Erstellen Sie als Nächstes unter Sicherheit mit den Einstellungen für API-Berechtigungen weiße Listen, mit denen festgelegt wird, welche Apps auf den blockierten Bereich zugreifen dürfen.

So setzen Sie eine App auf die weiße Liste

Schritt 1: Zugriff von Drittanbieter-Apps auf API-Bereiche überprüfen
  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Sicherheit" angezeigt wird.

  3. Klicken Sie auf API-Berechtigungen.
  4. Untersuchen Sie den API-Zugriff für einen der folgenden Hauptdienste:
    • G Suite:
      • Gmail
      • Drive
        • Hier können Sie festlegen, dass auf einem Gerät installierte Apps nur auf Drive für Android zugreifen dürfen, wenn sie auf einer weißen Liste stehen.
      • Kalender
      • Kontakte
      • Admin
      • Vault
      • Apps Script-Laufzeit: Hiermit steuern Sie, welche Aktionen bei Apps Script-Projekten ausgeführt werden können, z. B. bei App Maker-Apps, Add-ons und Skripts innerhalb und außerhalb Ihrer Domain.
      • Apps Script API: Damit steuern Sie, ob bei Clients die Apps Script API eingesetzt werden kann, um Projekte zu verwalten. 
    • Google Cloud Platform:
      • Cloud Platform: umfasst alle Dienste der Google Cloud Platform außer maschinelles Lernen und Cloud Billing
      • Maschinelles Lernen: umfasst Cloud Video Intelligence, Cloud Speech API, Cloud Natural Language API, Cloud Translation API und Cloud Vision API
      • Cloud Billing
  5. Optional: Installierte Apps können nach API-Berechtigungen, Name oder Nutzerzahl gefiltert werden.
  6. Klicken Sie auf den Link Apps, um zu überprüfen, welche Apps derzeit auf die Hauptdienste zugreifen dürfen.
  7. Überprüfen Sie die Apps, bevor Sie im nächsten Schritt die weiße Liste erstellen.
Schritt 2: Weiße Liste vertrauenswürdiger Apps erstellen
  1. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann API-Berechtigungen.
  2. Klicken Sie unten in der App-Liste auf den Link Vertrauenswürdige Apps.
  3. Klicken Sie auf "App auf die weiße Liste setzen" Hinzufügen
    Das Fenster App der Liste vertrauenswürdiger Apps hinzufügen wird geöffnet.
  4. Wählen Sie aus der Liste App-Typ auswählen eine Option aus:
    • Android
    • iOS
    • Webanwendungen: Geben Sie hier die OAuth2-Client-ID ein.
  5. Geben Sie unter Android oder iOS® einen App-Namen ein und klicken Sie auf Suchen, um sich eine Liste verfügbarer Apps anzeigen zu lassen.
  6. Scrollen Sie nach unten, um weitere Apps aufzurufen.
  7. Sobald die ganze Liste angezeigt wird, drücken Sie Strg + F oder ⌘ + F (Mac) und geben mindestens einen Teil eines App-Namens ein.
  8. Klicken Sie auf das Kästchen neben der App, die Sie hinzufügen möchten, und anschließend auf Hinzufügen.
  9. Optional: Um internen Apps Zugriff auf die eingeschränkten G Suite-APIs zu gewähren:
    1. Gehen Sie zurück zur Seite "Sicherheit".
    2. Klicken Sie unten auf der Seite neben Interne App-Einstellungen auf das Kästchen Apps der Domain vertrauen und anschließend auf Speichern.

Hinweis: Wenn Sie Apps der Domain vertrauen deaktivieren, können interne Apps nicht auf die eingeschränkten G Suite-APIs zugreifen. Zu den Apps der Domain gehören:

  • Alle Google Apps Script-Projekte, die von Nutzern innerhalb der Domain erstellt wurden
  • Apps, die in der Google Cloud Platform Console mit der Organisation verknüpft sind und der Domain gehören 
Schritt 3: Bestimmte API-Bereiche blockieren
  1. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann API-Berechtigungen.
  2. Klicken Sie auf den Link Apps und bestätigen Sie, welche Apps betroffen sind.
    Wenn Sie den Zugriff einer App aufheben, dauert es bis zu 24 Stunden, bis die App nicht mehr in der Liste angezeigt wird.
  3. Mit einem Klick auf das Optionsfeld Deaktivieren können Sie den API-Zugriff für die folgenden Hauptdienste blockieren:
    • G Suite:
      • Gmail
      • Drive
        • Optional: Möchten Sie unter Android den Zugriff von Apps auf Google Drive einschränken, wählen Sie Deaktivieren aus und klicken Sie dann auf das Kästchen Bei Gerätezugriff blockieren (Drive). Dadurch wird der Zugriff auf Google Drive blockiert. Dies gilt nicht für Android-Apps, die auf der weißen Liste stehen oder wie Gmail direkt von Google bereitgestellt werden.
      • Kalender
      • Kontakte
      • Admin
      • Vault
    • Google Cloud Platform:
      • Cloud Platform: umfasst alle Dienste der Google Cloud Platform außer maschinelles Lernen und Cloud Billing
      • Maschinelles Lernen: umfasst Cloud Video Intelligence, Cloud Speech API, Cloud Natural Language API, Cloud Translation API und Cloud Vision API
      • Cloud Billing

Hinweis: Verwenden Sie für Gmail- und Drive-APIs das Menü, um alle Zugriffe oder nur Hochrisiko-Zugriffe zu deaktivieren. Unter hohes Risiko fällt es, wenn Anwendungen im Namen eines Nutzers E-Mails senden oder der Zugriff auf sensible Daten zugelassen wird.

Wenn Sie den API-Zugriff deaktivieren:

  • Nach dem Blockieren der Bereiche funktionieren alle bereits installierten Apps nicht mehr und Tokens werden widerrufen.
  • Wenn ein Nutzer versucht, eine App zu installieren, deren Bereich auf der schwarzen Liste steht, wird die folgende Fehlermeldung angezeigt:

    Der Zugriff auf Ihre Kontodaten ist aufgrund der Richtlinien Ihrer Organisation eingeschränkt. Wenden Sie sich bitte an den Administrator, um weitere Informationen zu erhalten. 

Schritt 4: Apps von der weißen Liste entfernen
  1. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann API-Berechtigungen.
  2. Klicken Sie unten in der App-Liste auf den Link Vertrauenswürdige Apps.
  3. Klicken Sie neben der App, die Sie von der weißen Liste entfernen möchten, auf das Dreipunkt-Menü Action menu und wählen Sie Entfernen aus.
War dieser Artikel hilfreich?
Wie können wir die Seite verbessern?