Para gestionar las aplicaciones móviles de tu organización, haz clic aquí en su lugar.
Cuando los usuarios inician sesión en aplicaciones de terceros con la opción "Iniciar sesión con Google" (inicio de sesión único), puedes controlar la forma en que esas aplicaciones acceden a los datos de Google de tu organización. Los ajustes de la consola de administración de Google sirven para regir el acceso a los servicios de Google Workspace a través de OAuth 2.0. Algunas aplicaciones utilizan permisos de OAuth 2.0, un mecanismo que limita el acceso a la cuenta de un usuario.
También puedes personalizar el mensaje que se muestra a los usuarios cuando intentan instalar una aplicación no autorizada.
Nota: Si se aplican restricciones adicionales a Google Workspace for Education, es posible que los usuarios de instituciones de educación primaria y secundaria no puedan acceder a determinadas aplicaciones de terceros.
Antes de empezar: revisa las aplicaciones de terceros de tu organización
En Control de acceso de aplicaciones, puedes revisar las siguientes aplicaciones de terceros:
- Aplicaciones configuradas: aplicaciones con un ajuste de acceso (De confianza, Con acceso restringido, Datos de Google específicos o Bloqueada).
- Aplicaciones a las que se ha accedido: aplicaciones utilizadas por los usuarios que han accedido a datos de Google.
- Aplicaciones pendientes de revisión (ediciones Education): aplicaciones a las que han solicitado acceso usuarios menores de 18 años.
Por lo general, una vez obtenida la autorización, los detalles de las aplicaciones de terceros suelen tardar entre 24 y 48 horas en aparecer.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la página principal de la consola de administración, ve a SeguridadControles de APIs.
- Haz clic en Gestionar acceso de aplicaciones de terceros para ver las aplicaciones configuradas. Para filtrar la lista de aplicaciones, haz clic en Añadir un filtro y selecciona una opción.
La lista de aplicaciones muestra el nombre, el tipo y el ID de la aplicación, así como la siguiente información para cada aplicación:
- Estado verificado: las aplicaciones verificadas han sido revisadas por Google para comprobar que cumplen determinadas políticas. Muchas aplicaciones muy conocidas podrían no haber sido verificadas de esta forma. Puedes consultar más información en el artículo ¿Qué es una aplicación de terceros verificada?
- Acceso: qué unidades organizativas tienen una política de acceso a la aplicación configurada. Coloca el cursor sobre una aplicación y haz clic en Ver detalles para consultar los niveles de acceso (De confianza, Con acceso restringido, Datos de Google específicos o Bloqueada). Haz clic en Cambiar acceso para cambiar el nivel de acceso a los datos de la aplicación.
Nota: Si aplicas el nivel de acceso "A" a una unidad organizativa específica y, a continuación, aplicas el nivel de acceso "B" a toda la organización, el nivel de acceso "A" seguirá vigente para la unidad organizativa.
- Para ver las aplicaciones a las que se ha accedido, haz clic en la opción Ver lista de la sección Aplicaciones a las que se ha accedido.
Para ver las aplicaciones a las que se ha accedido, también puedes consultar lo siguiente:
- Usuarios: número de usuarios que acceden a la aplicación.
- Servicios solicitados: las APIs de servicios de Google (permisos de OAuth2) que utiliza cada aplicación; por ejemplo, Gmail, Google Calendar o Google Drive. Los servicios solicitados que no son de Google aparecen como Otros.
- En la lista Aplicaciones configuradas o Aplicaciones a las que se ha accedido, haz clic en una aplicación para hacer lo siguiente:
- Gestionar si tu aplicación puede acceder a los servicios de Google: muestra si la aplicación está marcada como De confianza, Con acceso restringido, Datos específicos de Google o Bloqueada. Si cambias la configuración de acceso, haz clic en Guardar.
- Ver información sobre la aplicación: muestra el ID de cliente de OAuth2 completo de la aplicación, el número de usuarios, la política de privacidad e información de asistencia.
- Ver las APIs de servicios de Google (permisos de OAuth) que solicita la aplicación: puedes ver la lista de permisos de OAuth que solicita cada aplicación. Para ver los detalles de cada permiso de OAuth, amplía la fila correspondiente de la tabla o haz clic en Mostrar todo.
- (Opcional) Para descargar la información de las aplicaciones en un archivo CSV, haz clic en la opción Descargar lista, que aparece en la parte superior de la lista Aplicaciones configuradas o Aplicaciones a las que se ha accedido.
- Se descargarán todos los datos de la tabla, incluidos los que se hayan mostrado.
- En el caso de las aplicaciones configuradas, el archivo CSV incluye estas columnas adicionales: Estado de verificación, Número de usuarios, Unidad organizativa, Servicios solicitados y Ámbitos de la API asociados a cada servicio. Si no se ha accedido a una aplicación configurada, su número de usuarios será cero (0) y las otras 2 columnas estarán en blanco.
- En el caso de las aplicaciones a las que se ha accedido, el archivo CSV incluye estas columnas adicionales: Estado de verificación, Unidad organizativa y permisos de API asociados a cada servicio.
Mediante la verificación, Google se asegura de que las aplicaciones de terceros que van a acceder a datos sensibles de los clientes pasan controles de seguridad y privacidad. Por este motivo, es posible que se bloquee la activación de aplicaciones no verificadas en las que no confíes. Consulta más abajo los detalles sobre cómo indicar que determinadas aplicaciones son de confianza. Para obtener más información, consulta el artículo Autorizar aplicaciones de terceros no verificadas.
Restringir o dejar de restringir servicios de Google
Puedes restringir o permitir el acceso a la mayoría de los servicios de Google Workspace, incluidos servicios de Google Cloud como Machine Learning. A continuación, te ofrecemos una descripción de cada opción:
- Restringidas: solo las aplicaciones configuradas con el ajuste de acceso "De confianza" pueden acceder a los datos.
- Sin restricción: solo las aplicaciones configuradas con el ajuste de acceso De confianza, Con acceso restringido o Datos específicos de Google pueden acceder a los permisos configurados por un administrador, independientemente de si el permiso tiene acceso a datos restringido o no restringido.
Por ejemplo, si configuras el acceso a Calendar como restringido, solo las aplicaciones configuradas con el ajuste De confianza podrán acceder a los datos de Calendar. Las aplicaciones con el ajuste Con acceso restringido no pueden acceder a los datos de Calendar.
Nota: En Gmail, Google Drive y Google Chat, puedes restringir específicamente el acceso a los servicios de alto riesgo (por ejemplo, el envío de correos o la eliminación de archivos en Drive).
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la página principal de la consola de administración, ve a SeguridadControles de APIs.
- Haz clic en Gestionar servicios de Google.
- En la lista de servicios, marca las casillas de los que quieras gestionar. Para seleccionar todas las casillas, marca la casilla Servicio.
- (Opcional) Para filtrar esta lista, haz clic en Añadir un filtro y selecciona uno de los siguientes criterios:
- Servicios de Google: selecciona un servicio de la lista y haz clic en Aplicar.
- Acceso a los servicios de Google: selecciona Sin restricción o Restringidos y haz clic en Aplicar.
- Aplicaciones permitidas: indica un intervalo referente al número de aplicaciones permitidas y haz clic en Aplicar.
- Usuarios: especifica un intervalo de número de usuarios y haz clic en Aplicar.
- En la parte superior, haz clic en Cambiar acceso y selecciona Sin restricción o Restringidas.
Si cambias el acceso a Restringidas, todas las aplicaciones instaladas anteriormente en las que no hayas confiado dejarán de funcionar y se revocarán sus tokens. Si un usuario intenta instalar (o iniciar sesión) una aplicación en la que no sea de confianza y que acceda a un servicio restringido, recibirá una notificación de que la aplicación está bloqueada.Al restringir el acceso al servicio Drive, también se restringe el acceso a la API de Formularios de Google.
Nota: La lista de aplicaciones a las que se accede se actualiza 48 horas después de que se haya concedido o revocado un token. - (Opcional) Si eliges Restringidas, para permitir el acceso a permisos de OAuth que no estén clasificados como de alto riesgo (por ejemplo, los que permiten que las aplicaciones accedan a archivos seleccionados por el usuario en Drive), marca la casilla En el caso de las aplicaciones que no son de confianza, permite que los usuarios concedan acceso a permisos de OAuth que no estén clasificados como de alto riesgo. Este cuadro aparece en algunas aplicaciones, como Gmail y Drive, pero no en todas.
- Haz clic en Cambiar y confirma la acción si es necesario.
- (Opcional) Para saber qué aplicaciones tienen acceso a un servicio, sigue estos pasos:
- En la parte superior, haz clic en la opción Ver lista, que aparece en Aplicaciones a las que se ha accedido.
- Haz clic en Añadir un filtro Servicios solicitados.
- Selecciona los servicios que quieres comprobar y haz clic en Aplicar.
Restringir el acceso a los permisos de OAuth de alto riesgo
Gmail, Google Drive y Google Chat también pueden restringir el acceso a una lista predefinida de permisos de OAuth de alto riesgo.
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Para obtener más información sobre los ámbitos de Gmail, consulta el artículo Elegir los ámbitos de la API de Gmail.
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/documents
Para obtener más información sobre los ámbitos de Drive, consulta el artículo Elegir ámbitos de la API de Google Drive.
- https://www.googleapis.com/auth/chat.delete
- https://www.googleapis.com/auth/chat.import
- https://www.googleapis.com/auth/chat.messages
- https://www.googleapis.com/auth/chat.messages.readonly
Para obtener más información sobre los ámbitos de Chat, consulta el artículo Ámbitos de la API de Chat.
Gestionar el acceso de aplicaciones de terceros a los servicios de Google y añadir aplicaciones
Para gestionar el acceso a determinadas aplicaciones, puedes bloquearlas o marcarlas como De confianza, Datos específicos de Google o Con acceso restringido:
- De confianza: tiene acceso a todos los servicios de Google Workspace (permisos de OAuth), incluidos los restringidos. Puedes incluir en la lista de permitidas las aplicaciones configuradas mediante IDs de cliente de OAuth para mantener el acceso de la interfaz de programación de aplicaciones (API) a los servicios de Google Workspace, aunque esos servicios tengan políticas de acceso contextual que se apliquen al acceso de la API.
- Datos específicos de Google: se puede solicitar acceso a los datos únicamente a los permisos especificados al configurar la aplicación.
- Con acceso restringido: solo puede acceder a servicios sin restricción. Puedes cambiar el ajuste de acceso a los datos de una aplicación desde la lista de aplicaciones o desde la página de información de la aplicación.
-
En Controles de APIs Control de acceso de aplicaciones, haz clic en Gestionar acceso de aplicaciones de terceros.
- En la lista de aplicaciones configuradas o en la de aplicaciones a las que se ha accedido, coloca el cursor sobre una aplicación y haz clic en Cambiar acceso. También puedes marcar las casillas situadas junto a varias aplicaciones y hacer clic en Cambiar acceso en la parte superior de la lista.
- Selecciona las unidades organizativas en las que quieres configurar el acceso:
- Para aplicar el ajuste a todos los usuarios, deja seleccionada la unidad organizativa de nivel superior.
- Para aplicarlo a unidades organizativas concretas, haz clic en Seleccionar unidades organizativas Incluir organizaciones y, a continuación, selecciona unidades organizativas específicas.
- Haz clic en Next (Siguiente).
- Elige una de estas opciones:
- De confianza: la aplicación puede acceder a todos los servicios de Google (tanto restringidos como sin restricción). Las aplicaciones que pertenecen a Google, como el navegador Chrome, se consideran de confianza automáticamente y no se pueden configurar como aplicaciones de confianza.
(Opcional) Para que las aplicaciones seleccionadas mantengan el acceso de la API a los servicios de Google Workspace, aunque esos servicios tengan políticas de acceso contextual que se apliquen al acceso de la API, selecciona Lista de aplicaciones permitidas para la exención de los bloqueos de acceso mediante APIs en el acceso contextual . Solo se puede seleccionar esta opción en el caso de aplicaciones web, Android o iOS añadidas mediante IDs de cliente de OAuth. Seleccionar esta opción no hará que la aplicación quede exenta automáticamente de los bloqueos de acceso mediante APIs. También debes excluir la aplicación durante las asignaciones de niveles de acceso contextual. Esta lista de permitidas solo se aplica a las unidades organizativas que especifiques en el paso 3. - Con acceso restringido: solo pueden acceder a servicios de Google que no tengan restricciones.
- Datos específicos de Google: se puede solicitar acceso a los datos únicamente a los permisos especificados al configurar la aplicación.
Nota: Debes incluir los permisos de inicio de sesión de Google que requiere la aplicación para que los usuarios puedan iniciar sesión con su cuenta de Google. - Bloqueadas: no pueden acceder a ningún servicio de Google.
Si incluyes una aplicación en la lista de aplicaciones permitidas, pero también la bloqueas con controles de APIs, la aplicación quedará bloqueada, puesto que el bloqueo mediante los controles de APIs prevalece sobre la lista de aplicaciones permitidas.
Consejo: Para desconfigurar una aplicación, utiliza la opción de subida de archivos CSV que se describe en Añadir y configurar aplicaciones de terceros en bloque.
- De confianza: la aplicación puede acceder a todos los servicios de Google (tanto restringidos como sin restricción). Las aplicaciones que pertenecen a Google, como el navegador Chrome, se consideran de confianza automáticamente y no se pueden configurar como aplicaciones de confianza.
- Haz clic en Siguiente.
- Revisa el ajuste de permiso y de acceso. A continuación, haz clic en Cambiar acceso.
Ver vídeo
Change access from the app information page
Cambiar el acceso a aplicaciones
- Haz clic en una aplicación de la lista y, a continuación, en Acceso a datos de Google.
- Haz clic en el grupo o la unidad organizativa donde quieras configurar el acceso a los datos. De forma predeterminada, se selecciona la unidad organizativa superior y el cambio se aplica a toda la organización.
- Elige un nivel de acceso a los datos.
- Haz clic en Guardar.
- (Opcional) Aplica ajustes diferentes para cada unidad organizativa según sea necesario. Por ejemplo:
- Para bloquear el acceso de una aplicación a todos los datos de tus usuarios, selecciona tu unidad organizativa principal y elige Bloqueadas.
- Si quieres bloquear el acceso de las aplicaciones solo a los datos de algunos usuarios, define el acceso a De confianza en la unidad organizativa superior y a Bloqueado en la de las unidades organizativas secundarias que contengan esos usuarios. Haz clic en Guardar después de configurar cada unidad organizativa.
- En Control de acceso de aplicaciones, haz clic en Gestionar acceso de aplicaciones de terceros.
- En Aplicaciones configuradas, haz clic en Añadir aplicación.
- Elige Nombre de aplicación OAuth o ID de cliente (selecciona esta opción para incluir más adelante la aplicación en la lista de permitidas de forma que no se excluya de las APIs), Android o iOS.
- Introduce el nombre de la aplicación o el ID de cliente y, a continuación, haz clic en Buscar.
- Coloca el cursor sobre la aplicación y haz clic en Seleccionar.
- Marca las casillas de los IDs de cliente que quieras configurar y haz clic en Seleccionar.
- Selecciona para quién quieres configurar el acceso:
- De forma predeterminada, está seleccionada la unidad organizativa superior. Deja esta opción seleccionada para configurar el acceso de todos los usuarios de tu organización.
- Para configurar el acceso a unidades organizativas específicas, haz clic en Seleccionar unidades organizativas y, a continuación, en "+" para ver tus unidades organizativas. Marca las unidades organizativas que quieras y haz clic en Seleccionar.
- Haz clic en Continuar.
- Elige una de estas opciones:
- De confianza: la aplicación puede acceder a todos los servicios de Google (tanto restringidos como sin restricción).
(Opcional) Para que las aplicaciones seleccionadas mantengan el acceso de la API a los servicios de Google Workspace, aunque esos servicios tengan políticas de acceso contextual que se apliquen al acceso de la API, selecciona Lista de aplicaciones permitidas para la exención de los bloqueos de acceso mediante APIs en el acceso contextual . Solo se puede seleccionar esta opción en el caso de aplicaciones web, Android o iOS añadidas mediante IDs de cliente de OAuth. Seleccionar esta opción no hará que la aplicación quede exenta automáticamente de los bloqueos de acceso mediante APIs. También debes excluir la aplicación durante las asignaciones de niveles de acceso contextual. Esta lista de permitidas solo se aplica a las unidades organizativas que especifiques en el paso 7. - Con acceso restringido: solo puede acceder a servicios de Google que no tengan ninguna restricción.
- Datos específicos de Google: se puede solicitar acceso a los datos únicamente a los permisos especificados al configurar la aplicación.
Nota: Debes incluir los permisos de inicio de sesión de Google que requiere la aplicación para que los usuarios puedan iniciar sesión con su cuenta de Google. - Bloqueadas: no pueden acceder a ningún servicio de Google.
Si incluyes una aplicación en la lista de aplicaciones permitidas, pero también la bloqueas con controles de APIs, la aplicación quedará bloqueada, Cuando se bloquea una aplicación con controles de la API, se anula el emplazamiento de la lista de permitidos.
- De confianza: la aplicación puede acceder a todos los servicios de Google (tanto restringidos como sin restricción).
- Revisa la configuración de la nueva aplicación y haz clic en Finalizar.
Se pide a los usuarios que den su consentimiento para añadir aplicaciones web. Puedes omitir la pantalla de consentimiento de Google Workspace Marketplace (solo en el caso de las aplicaciones aprobadas) instalando la aplicación en un dominio.
Elegir los ajustes de las aplicaciones sin configurar
Las aplicaciones de terceros que no hayas configurado como "De confianza", "Datos específicos de Google", "Con acceso restringido" o "Bloqueadas" (tal como se describe en Gestionar el acceso de aplicaciones de terceros a los servicios de Google y añadir aplicaciones) se consideran aplicaciones sin configurar. Puedes controlar lo que ocurre cuando los usuarios intentan iniciar sesión en aplicaciones sin configurar con su cuenta de Google.
Ver vídeo
Find the settings for unconfigured apps
Localizar los ajustes
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la página principal de la consola de administración, ve a SeguridadControles de APIs.
- Haz clic en Configuración para mostrar el grupo de configuración.
- (Opcional) Para aplicar el ajuste a un departamento o un equipo, selecciona en el lateral una unidad organizativa. Ver cómo
- Selecciona la configuración que quieras. Consulta más información en Ajustes de aplicaciones sin configurar.
- Haz clic en Guardar.
Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información
Ajustes de aplicaciones sin configurar
Se trata de un mensaje personalizado que se mostrará a los usuarios cuando no puedan acceder a una aplicación bloqueada. Para crear un mensaje personalizado, selecciona Activado y escribe un mensaje.
Si el mensaje personalizado está desactivado o no se puede mostrar, los usuarios verán un mensaje predeterminado.
Este ajuste determina lo que ocurre cuando los usuarios intentan iniciar sesión en aplicaciones sin configurar con su cuenta de Google. Independientemente de este ajuste, los usuarios podrán seguir accediendo a las aplicaciones que se hayan configurado con el acceso De confianza, Con acceso restringido o Datos específicos de Google.
Elige una opción:
- Permitir que los usuarios accedan a aplicaciones de terceros (opción predeterminada): los usuarios pueden usar la función Iniciar sesión con Google en cualquier aplicación de terceros. Las aplicaciones a las que se ha accedido pueden solicitar datos de Google sin restricción para esos usuarios.
- Permitir que los usuarios accedan a aplicaciones de terceros que solo soliciten la información básica necesaria para iniciar sesión con Google: los usuarios pueden utilizar la función Iniciar sesión con Google en aplicaciones de terceros que solo soliciten información básica de perfil, como el nombre de la cuenta de Google del usuario, la dirección de correo electrónico y la imagen de perfil. Para obtener más información, consulta el artículo Usar tu cuenta de Google para iniciar sesión en otras aplicaciones o servicios.
- No permitir que los usuarios accedan a aplicaciones de terceros: los usuarios no pueden iniciar sesión con Google en aplicaciones ni sitios web de terceros hasta que asignes una opción de acceso a esos sitios y esas aplicaciones. Consulta más información en el artículo Gestionar el acceso de aplicaciones de terceros a los servicios de Google y añadir aplicaciones.
Ediciones de Google Workspace for Education: puedes elegir diferentes ajustes para los usuarios mayores o menores de 18 años. Si utilizas este ajuste para bloquear aplicaciones de terceros, puedes permitir que los usuarios menores de 18 años soliciten acceso a las aplicaciones que estén bloqueadas mediante el ajuste Solicitudes de usuarios para acceder a aplicaciones no configuradas.
Esto permite que las aplicaciones internas creadas por tu organización accedan a APIs de Google Workspace restringidas.
Si quieres permitir que todas las aplicaciones internas puedan acceder a la API, marca la casilla Confiar en las aplicaciones internas.
Esta función solo está disponible en las ediciones de Google Workspace for Education.
Este ajuste permite a los usuarios menores de 18 años solicitar acceso a las aplicaciones que estén bloqueadas mediante el ajuste Aplicaciones de terceros sin configurar.
Cuando un usuario solicita acceso a una aplicación, los administradores reciben una notificación y pueden definir un ajuste de acceso que permita a los usuarios acceder a las aplicaciones.
Para permitir que los usuarios soliciten acceso, marca la casilla Permitir que los usuarios soliciten acceso a aplicaciones de terceros sin configurar.
Temas relacionados
- Permisos de OAuth 2.0 para APIs de Google
- Aprender a preparar la verificación de OAuth de una aplicación (blog de Google Developers)