Verbundene Apps auf die weiße Liste setzen

OAuth-basierten Zugriff verbundener Apps verwalten

Wenn Sie vertrauliche Inhalte aus Google Drive oder Gmail nicht über OAuth-Apps oder Add-ons von Drittanbietern an die Domain Ihrer Organisation weitergeben möchten, können Sie als Administrator die OAuth-Zugriffstokens aufheben.

Außerdem haben Sie die Möglichkeit, mehrere API-Bereiche für alle G Suite-Dienste zu deaktivieren. Dazu gehören Gmail, Google Drive, Google Kalender und Google Cloud Platform-Dienste wie maschinelles Lernen. Zusätzlich haben Sie die Möglichkeit, eine weiße Liste der Drittanbieter-Apps zu erstellen, mit denen auf die Bereiche zugegriffen werden darf.

Wenn Sie einen API-Bereich deaktivieren oder einer Anwendung eines Drittanbieters für einen G Suite-Dienst wie Google Kalender vertrauen, geschieht das einschließlich für alle von ihr bereitgestellten Bereiche. Das gilt auch für OAuth-Bereiche. Einige Apps, z. B. Gmail, ermöglichen eine strengere Zugriffskontrolle für vordefinierte Bereiche mit hohem Risiko. 

Apps auf die weiße Liste setzen

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

Sollten Sie Drive Enterprise nutzen, gelten die API-Zugriffseinstellungen nicht für Gmail oder Google Kalender.

Wenn Sie Anwendungen auf die weiße Liste setzen möchten, legen Sie zuerst fest, auf welche API-Bereiche der G Suite die Drittanbieter-Apps zugreifen dürfen. Erstellen Sie anschließend weiße Listen, über die Sie definieren, welche Apps auf blockierte Bereiche zugreifen dürfen. So gehts:

Schritt 1: Zugriff der Drittanbieter-App auf API-Bereiche überprüfen
  1. Anmeldung in der Google Admin-Konsole.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Sicherheit" angezeigt wird.

  3. Klicken Sie auf API-Berechtigungen.
  4. Untersuchen Sie den API-Zugriff für einen der folgenden Hauptdienste:
    • G Suite:
      • Gmail
      • Drive
      • Google Kalender
      • Kontakte
      • Admin
      • Vault
      • Apps Script-Laufzeit: Hiermit steuern Sie, welche Aktionen bei Apps Script-Projekten ausgeführt werden können. Dies wirkt sich auf App Maker-Apps, Add-ons und Skripts innerhalb und außerhalb Ihrer Domain aus.
      • Apps Script API: Damit steuern Sie, ob bei Clients die Apps Script API eingesetzt werden kann, um Projekte zu verwalten. 
    • Google Cloud Platform:
      • Cloud Platform: umfasst alle Dienste der Google Cloud Platform außer maschinelles Lernen und Cloud Billing
      • Maschinelles Lernen: umfasst Cloud Video Intelligence, Cloud Speech API, Cloud Natural Language API, Cloud Translation API und Cloud Vision API
      • Cloud Billing
  5. Klicken Sie unter jedem API-Bereich auf den Link Apps, um zu überprüfen, welche Apps derzeit auf den Hauptdienst zugreifen dürfen.
  6. Optional: Installierte Apps können nach API-Berechtigungen, Name oder Nutzerzahl gefiltert werden.
  7. Optional: Klicken Sie rechts auf das Dreipunkt-Menü Dreipunkt-Menü und dann auf Vertrauen, um eine App der Liste der vertrauenswürdigen Apps hinzuzufügen.
  8. Überprüfen Sie die Apps, bevor Sie im nächsten Schritt die weiße Liste erstellen.
Schritt 2: Apps zur weißen Liste vertrauenswürdiger Apps hinzufügen
  1. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann API-Berechtigungen.
  2. Klicken Sie dann unten in der App-Liste auf den Link Vertrauenswürdige Apps.
  3. Klicken Sie auf "App auf die weiße Liste setzen" Hinzufügen
    Das Fenster App der Liste vertrauenswürdiger Apps hinzufügen wird geöffnet.
  4. Wählen Sie aus der Liste App-Typ auswählen eine Option aus:
    • Android
    • iOS
    • Webanwendungen: Geben Sie hier die OAuth2-Client-ID ein.
  5. Geben Sie unter Android oder iOS® einen App-Namen ein und klicken Sie auf Suchen, um eine Liste verfügbarer Apps aufzurufen.
  6. Scrollen Sie nach unten, um weitere Apps aufzurufen.
  7. Sobald die ganze Liste angezeigt wird, drücken Sie Strg + F oder ⌘ + F (Mac) und geben mindestens einen Teil eines App-Namens ein.
  8. Klicken Sie auf das Kästchen neben der App, die Sie hinzufügen möchten, und anschließend auf Hinzufügen.
  9. Optional: So geben Sie internen Apps Zugriff auf die eingeschränkten G Suite-APIs:
    1. Gehen Sie zurück zur Seite "Sicherheit".
    2. Klicken Sie unten neben Interne App-Einstellungen auf das Kästchen Apps der Domain vertrauen und anschließend auf Speichern.

Hinweis: Wenn Sie Apps der Domain vertrauen deaktivieren, können interne Apps nicht auf die eingeschränkten G Suite-APIs zugreifen. Zu den Apps der Domain gehören:

  • Alle Google Apps Script-Projekte, die von Nutzern innerhalb der Domain erstellt wurden
  • Apps, die in der Google Cloud Platform Console mit der Organisation verknüpft sind und der Domain gehören 
Schritt 3: Bestimmte API-Bereiche blockieren
  1. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann API-Berechtigungen.
  2. Klicken Sie auf den Link Apps und bestätigen Sie, welche Apps betroffen sind.
    Wenn Sie den Zugriff einer App aufheben, dauert es bis zu 24 Stunden, bis die App nicht mehr in der Liste angezeigt wird.
  3. Wenn Sie auf die Option Deaktivieren klicken, können Sie den API-Zugriff folgender Hauptdienste blockieren:
    • G Suite:
      • Gmail
      • Drive
      • Google Kalender
      • Kontakte
      • Admin
      • Vault
    • Google Cloud Platform:
      • Cloud Platform: umfasst alle Dienste der Google Cloud Platform außer maschinelles Lernen und Cloud Billing
      • Maschinelles Lernen: umfasst Cloud Video Intelligence, Cloud Speech API, Cloud Natural Language API, Cloud Translation API und Cloud Vision API
      • Cloud Billing
  4. Wenn Sie den API-Zugriff auf Gmail deaktivieren möchten, wählen Sie eine der folgenden Optionen aus:
    • Vollständiger Zugriff: Blockiert alle Drittanbieter-Apps, die Sie nicht auf die weiße Liste gesetzt haben
    • Zugriff mit hohem Risiko: Blockiert Drittanbieter-Apps mit risikoreichen OAuth-Bereichen:
      • https://mail.google.com/
      • https://www.googleapis.com/auth/gmail.compose
      • https://www.googleapis.com/auth/gmail.insert
      • https://www.googleapis.com/auth/gmail.metadata
      • https://www.googleapis.com/auth/gmail.modify
      • https://www.googleapis.com/auth/gmail.readonly
      • https://www.googleapis.com/auth/gmail.send
      • https://www.googleapis.com/auth/gmail.settings.basic
      • https://www.googleapis.com/auth/gmail.settings.sharing

        Weitere Informationen zu Gmail-Bereichen finden Sie unter Auth-Bereiche auswählen (in englischer Sprache)

        .
  5. Wenn Sie den API-Zugriff auf Drive deaktivieren möchten, wählen Sie eine der folgenden Optionen aus:
    • Vollständiger Zugriff: Blockiert alle Drittanbieter-Apps, die Sie nicht auf die weiße Liste gesetzt haben
    • Zugriff mit hohem Risiko: Blockiert Drittanbieter-Apps mit risikoreichen OAuth-Bereichen:
      • https://www.googleapis.com/auth/drive
      • https://www.googleapis.com/auth/drive.apps.readonly
      • https://www.googleapis.com/auth/drive.metadata
      • https://www.googleapis.com/auth/drive.metadata.readonly
      • https://www.googleapis.com/auth/drive.readonly
      • https://www.googleapis.com/auth/drive.scripts
      • https://www.googleapis.com/auth/documents

        Weitere Informationen zu Drive-Bereichen finden Sie unter Informationen zur Autorisierung (in englischer Sprache)

        .
  6. Klicken Sie auf Speichern.

Wenn Sie den API-Zugriff deaktivieren:

  • Nach dem Blockieren der Bereiche funktionieren alle bereits installierten Apps nicht mehr und Tokens werden widerrufen.
  • Wenn ein Nutzer versucht, eine App zu installieren, deren Bereich blockiert ist, sieht er die Fehlermeldung unter Nachricht, die angezeigt wird, wenn Nutzer ohne Berechtigung versuchen, auf Apps zuzugreifen (unterhalb der API-Bereichsliste). Sie können die Standardnachricht nach Bedarf bearbeiten. Die Länge darf maximal 300 Zeichen betragen. 
Schritt 4: Apps aus einer weißen Liste entfernen
  1. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann API-Berechtigungen.
  2. Klicken Sie dann unten in der App-Liste auf den Link Vertrauenswürdige Apps.
  3. Klicken Sie neben der App, die Sie von der weißen Liste entfernen möchten, auf das Dreipunkt-Menü Action menu und wählen Sie Entfernen aus.
War das hilfreich?
Wie können wir die Seite verbessern?