Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace

Antes de implementar controles, revisa la lista de aplicaciones que tienen permiso para acceder a los datos de Google Workspace. Por lo general, una vez obtenida la autorización, los detalles de las aplicaciones de terceros suelen tardar entre 24 y 48 horas en aparecer.

1. Inicia sesión en la consola de administración de Google.

   Utiliza tu cuenta de administrador (no termina en @gmail.com).

2. En la página principal de la consola de administración, ve a SeguridadControles de APIs.

   Puedes consultar el número de aplicaciones configuradas y a las que se ha accedido.

   • Las aplicaciones configuradas son aplicaciones con una política de acceso (son aplicaciones de confianza o que están bloqueadas). Si no has confiado en ninguna aplicación ni la has bloqueado, no verás ninguna aplicación configurada.
   • Las aplicaciones a las que se ha accedido son aplicaciones de terceros que han accedido a datos de Google y han utilizado los usuarios.
3. Haz clic en Gestionar acceso de aplicaciones de terceros.
   Las aplicaciones configuradas se muestran de forma predeterminada. Puedes consultar lo siguiente:
   • Nombre de la aplicación
   • Tipo
   • ID
   • Estado verificado: las aplicaciones verificadas han sido revisadas por Google para comprobar que cumplen determinadas políticas. Muchas aplicaciones muy conocidas podrían no haber sido verificadas de esta forma. Puedes consultar más información en el artículo ¿Qué es una aplicación de terceros verificada?
   • Acceso: indica si la aplicación es de confianza o está bloqueada.
4. (Opcional) Para ver las aplicaciones a las que se ha accedido, haz clic en la opción Ver lista, que aparece en la sección Aplicaciones a las que se ha accedido.

   Para ver las aplicaciones a las que se ha accedido, también puedes consultar lo siguiente:

   • Usuarios: número de usuarios que acceden a la aplicación.
   • Servicios solicitados: las APIs de servicios de Google (permisos de OAuth2) que utiliza cada aplicación; por ejemplo, Gmail, Google Calendar o Google Drive. Los servicios solicitados que no son de Google aparecen como Otros.
5. Si quieres consultar una aplicación, haz clic en la lista Aplicaciones configuradas o Aplicaciones a las que se ha accedido.
   • Gestiona si tu aplicación puede acceder a los servicios de Google: comprueba en qué categoría se ha encuadrado a una aplicación (De confianza, Con acceso restringido o Bloqueadas). Si cambias la configuración de acceso, haz clic en Guardar.
   • Ver información sobre la aplicación: consulta ID de cliente de OAuth2 completo de la aplicación, el número de usuarios, la política de privacidad e información de asistencia.
   • Ver las APIs de servicios de Google (permisos de OAuth) que solicita la aplicación: puedes ver la lista de permisos de OAuth que solicita cada aplicación. Para ver los detalles de cada permiso de OAuth, amplía la fila correspondiente de la tabla o haz clic en Mostrar todo. 
6. (Opcional) Para descargar la información de las aplicaciones en un archivo CSV, haz clic en la opción Descargar lista, que aparece en la parte superior de la lista Aplicaciones configuradas o Aplicaciones a las que se ha accedido.
   • Se descargarán todos los datos de la tabla, incluidos los que se hayan mostrado.
   • En el caso de las aplicaciones configuradas, el archivo CSV contiene columnas adicionales que no se muestran en la tabla: Número de usuarios, Servicios solicitados y Permisos de API asociados a cada servicio. Si no se ha accedido a una aplicación configurada, el número de usuarios de esa aplicación será cero y las otras dos columnas estarán en blanco.

Mediante la verificación, Google se asegura de que las aplicaciones de terceros que van a acceder a datos sensibles de los clientes pasan controles de seguridad y privacidad. Por este motivo, es posible que se bloquee la activación de aplicaciones no verificadas en las que no confíes. Consulta a continuación los detalles sobre cómo indicar que determinadas aplicaciones son de confianza. Para obtener más información sobre la verificación de aplicaciones, consulta el artículo Autorizar aplicaciones de terceros no verificadas.

Puedes restringir o permitir el acceso a la mayoría de los servicios de Google Workspace, incluidos servicios de Google Cloud como Machine Learning. En Gmail y Google Drive, puedes restringir específicamente el acceso a permisos de alto riesgo; por ejemplo, el envío de correos o la eliminación de archivos en Drive. Aunque a los usuarios se les pida que den su consentimiento a aplicaciones, no podrán añadir las que soliciten acceso a un servicio restringido si no has indicado que confías en la aplicación.

1. Inicia sesión en la consola de administración de Google.

   Utiliza tu cuenta de administrador (no termina en @gmail.com).

2. En la página principal de la consola de administración, ve a SeguridadControles de APIs.
3. Haz clic en Gestionar servicios de Google.
4. En la lista de servicios, marca las casillas de los que quieras gestionar.
   Para marcarlas todas, haz clic en Servicio. 
5. (Opcional) Para filtrar esta lista, haz clic en Añadir un filtro y selecciona uno de los siguientes criterios:
   • Servicios de Google: selecciona una opción de la lista de servicios, como Drive o Gmail, y haz clic en Aplicar.
   • Acceso a los servicios de Google: selecciona Sin restricción o Restringidos y haz clic en Aplicar.
   • Aplicaciones permitidas: indica un intervalo referente al número de aplicaciones permitidas y haz clic en Aplicar.
   • Usuarios: especifica un intervalo de número de usuarios y haz clic en Aplicar.
6. En la parte superior, haz clic en Cambiar acceso y selecciona Sin restricción o Restringidas.
   Si cambias el acceso a Restringidas, todas las aplicaciones instaladas anteriormente en las que no hayas confiado dejarán de funcionar y se revocarán sus tokens. Cuando un usuario intente instalar una aplicación que tenga un permiso con restricciones, se le notificará que está bloqueada. Al restringir el acceso al servicio Drive, también se restringe el acceso a la API de Formularios de Google.
   Nota: La lista de aplicaciones a las que se accede se actualiza 48 horas después de que se haya concedido o revocado un token.
7. (Opcional) Si eliges Restringidas, para permitir el acceso a permisos de OAuth que no estén clasificados como de alto riesgo (por ejemplo, los que permiten que las aplicaciones accedan a archivos seleccionados por el usuario en Drive), marca la casilla En el caso de las aplicaciones que no son de confianza, permite que los usuarios concedan acceso a permisos de OAuth que no estén clasificados como de alto riesgo. Esta casilla aparecerá en aplicaciones como Gmail y Drive, pero no en todas.
8. Haz clic en Cambiar y confirma la acción si es necesario.
9. (Opcional) Para saber qué aplicaciones tienen acceso a un servicio, sigue estos pasos: 
   1. En la parte superior, haz clic en la opción Ver lista, que aparece en Aplicaciones a las que se ha accedido.
   2. Haz clic en Añadir un filtro Servicios solicitados.
   3. Selecciona los servicios que quieres comprobar y haz clic en Aplicar.

Restringir el acceso a los permisos de OAuth de alto riesgo

Gmail y Drive también permiten restringir el acceso a una lista predefinida de permisos de OAuth de alto riesgo.

En Gmail, los permisos de OAuth de alto riesgo son los siguientes:

• https://mail.google.com/
• https://www.googleapis.com/auth/gmail.compose
• https://www.googleapis.com/auth/gmail.insert
• https://www.googleapis.com/auth/gmail.metadata
• https://www.googleapis.com/auth/gmail.modify
• https://www.googleapis.com/auth/gmail.readonly
• https://www.googleapis.com/auth/gmail.send
• https://www.googleapis.com/auth/gmail.settings.basic
• https://www.googleapis.com/auth/gmail.settings.sharing
  Para obtener información sobre los permisos de Gmail, consulta cómo elegir permisos de autenticación.

En Drive, los permisos de OAuth de alto riesgo son los siguientes:

• https://www.googleapis.com/auth/drive
• https://www.googleapis.com/auth/drive.apps.readonly
• https://www.googleapis.com/auth/drive.metadata
• https://www.googleapis.com/auth/drive.metadata.readonly
• https://www.googleapis.com/auth/drive.readonly
• https://www.googleapis.com/auth/drive.scripts
• https://www.googleapis.com/auth/documents
  Para obtener información sobre los permisos de Drive, consulta el artículo información sobre la autorización y la autenticación de la API.

Puedes gestionar el acceso de determinadas aplicaciones bloqueándolas, marcándolas como de confianza o dándoles acceso únicamente a servicios de Google sin restricciones. Una aplicación de confianza tiene acceso a todos los servicios de Google Workspace (permisos de OAuth), incluidos los restringidos. Las aplicaciones en las que no confías solo pueden acceder a servicios que no tengan restricciones.

1. Inicia sesión en la consola de administración de Google.

   Utiliza tu cuenta de administrador (no termina en @gmail.com).

2. En la página principal de la consola de administración, ve a SeguridadControles de APIs.
3. Para controlar el acceso de aplicaciones, haz clic en Gestionar acceso de aplicaciones de terceros.
4. En el caso de las aplicaciones configuradas, haz clic en Ver lista.
5. (Opcional) Para filtrar la lista, haz clic en Añadir un filtro y selecciona una de las siguientes opciones:
   • Nombre de la aplicación: introduce el nombre de la aplicación y haz clic en Aplicar.
   • Tipo: elige entre Aplicación web, iOS o Android y haz clic en Aplicar.
   • ID: introduce el ID de la aplicación y haz clic en Aplicar.
   • Estado de verificación: selecciona Verificada por Google y haz clic en Aplicar para revisar las aplicaciones que haya revisado Google y que cumplan determinadas políticas. Puedes consultar más información en el artículo ¿Qué es una aplicación de terceros verificada?
   • Acceso: marca la casilla De confianza o Bloqueadas y haz clic en Aplicar.
6. Selecciona una aplicación y haz clic en Cambiar acceso. También puedes marcar las casillas de varias aplicaciones y hacer clic en la opción Cambiar acceso, que se encuentra en la parte superior. Otras opciones son confiar en todas las aplicaciones que pertenezcan a un dominio o bloquear aplicaciones para que no puedan acceder a ningún servicio de Google Workspace. 
7. Elige una de estas opciones:
   • De confianza: cuando se confía en una aplicación, se anula la restricción de servicios. Las aplicaciones que pertenecen a Google, como el navegador Chrome, se consideran de confianza automáticamente y, por lo tanto, no se pueden configurar como aplicaciones de confianza. 
   • Con acceso restringido: solo pueden acceder a servicios de Google que no tengan restricciones.
   • Bloqueadas: no pueden acceder a ningún servicio de Google.
     Si incluyes una aplicación en la lista de aplicaciones permitidas, pero también la bloqueas con controles de APIs, la aplicación quedará bloqueada, puesto que el bloqueo mediante los controles de APIs prevalece sobre la lista de aplicaciones permitidas.
8. Haz clic en Cambiar.
   Si cambias el acceso de una aplicación a De confianza o Bloqueadas, la aplicación se añade a la lista de aplicaciones configuradas. Si cambias el acceso a Con acceso restringido, la aplicación desaparece de la lista de aplicaciones configuradas. Si cambias el acceso a Con acceso restringido y la aplicación no tiene usuarios activos, no aparecerá en la lista hasta que un usuario la active.

Añadir una aplicación nueva

1. En Control de acceso de aplicaciones, haz clic en Gestionar acceso de aplicaciones de terceros.
2. En Aplicaciones configuradas, haz clic en Añadir aplicación.
3. En Nombre de aplicación OAuth o ID de cliente, elige Android o iOS.
4. Introduce el nombre de la aplicación o el ID de cliente y haz clic en Buscar.
5. Coloca el cursor sobre la aplicación y haz clic en Seleccionar.
6. Marca las casillas de los IDs de cliente que quieras configurar y haz clic en Seleccionar.
7. Selecciona De confianza o Bloqueados y haz clic en Configurar.

Los usuarios deben autorizar que se añadan aplicaciones web. En Google Workspace Marketplace, puedes impedir que aparezca la pantalla de consentimiento durante las instalaciones en dominios de aplicaciones aprobadas.

Personalizar el mensaje de una aplicación no autorizada

Bloquear el acceso de todas las APIs de terceros

Puedes bloquear el acceso de todas las APIs de terceros para que las solicitudes de aplicaciones y sitios web de terceros no tengan permiso para acceder a los datos de los usuarios. Este ajuste bloquea todos los permisos de OAuth, incluidos los de inicio de sesión. Esto significa que los usuarios ya no pueden iniciar sesión con Google en los sitios web y las aplicaciones de terceros.

1. Inicia sesión en la consola de administración de Google.

   Utiliza tu cuenta de administrador (no termina en @gmail.com).

2. En la página principal de la consola de administración, ve a SeguridadControles de APIs.
3. En Control de acceso de aplicaciones, ve a la sección Configuración, marca la casilla Bloquear el acceso de todas las APIs de terceros y haz clic en Guardar.

Algunos ajustes anulan la configuración de la API. Por ejemplo, si hay una aplicación que sea explícitamente de confianza, el usuario podrá seguir accediendo a ella aunque marques la casilla Bloquear el acceso de todas las APIs de terceros.

Permitir que las aplicaciones internas accedan a APIs de Google Workspace restringidas

Si creas aplicaciones internas (que pertenezcan a tu organización), puedes permitir que todas ellas accedan a APIs de Google Workspace restringidas. Así, ya no tendrás que confiar una por una en ellas.

1. Inicia sesión en la consola de administración de Google.

   Utiliza tu cuenta de administrador (no termina en @gmail.com).

2. En la página principal de la consola de administración, ve a SeguridadControles de APIs.
3. En Control de acceso de aplicaciones, marca la casilla Confiar en las aplicaciones internas que pertenecen al dominio y haz clic en Guardar.