Controlar qué aplicaciones internas y de terceros acceden a los datos de Google Workspace

Para gestionar aplicaciones según el sistema operativo del dispositivo móvil, visita este enlace.

Puedes controlar qué aplicaciones de terceros y del dominio tienen acceso a los datos sensibles de Google Workspace. El acceso de las aplicaciones a los servicios de Google Workspace se controla mediante OAuth 2.0. Para facilitar su acceso, las aplicaciones más modernas y seguras utilizan permisos de OAuth 2.0, es decir, conjuntos de procedimientos denominados "API externas". Con estos permisos se puede acceder a datos limitados de usuarios de la mayoría de los servicios de Google Workspace, como Gmail, Google Drive, Calendar y Contactos. Al usar el control de acceso de aplicaciones, puedes hacer lo siguiente: 

  • Restringir el acceso a la mayoría de los servicios de Google Workspace o dejarlos sin restricciones.
  • Dar permiso a aplicaciones concretas para que puedan acceder a servicios restringidos de Google Workspace.
  • Dar permiso a todas las aplicaciones que pertenezcan a un dominio.

A continuación te explicamos los pasos que debes seguir para controlar qué aplicaciones internas y de terceros tienen acceso a datos de Google Workspace, además de cómo consultar información sobre las aplicaciones de terceros que se están utilizando. También puedes personalizar el mensaje de error que se muestra a los usuarios cuando intentan instalar una aplicación no autorizada. 

Utilizar el control de acceso de aplicaciones

Mostrar todo   |   Ocultar todo

Revisar las aplicaciones de terceros presentes en tu entorno

Antes de implementar controles, revisa la lista de aplicaciones que tienen el permiso de tus usuarios para acceder a los datos de Google Workspace.

Nota: Por lo general, los detalles de las aplicaciones de terceros suelen tardar entre 24 y 48 horas en aparecer en los resultados.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a "" y luego Seguridad y luego Control de acceso de aplicaciones.
  3. En Control de acceso de aplicaciones, selecciona GESTIONAR ACCESO DE APLICACIONES DE TERCEROS.
  4. Para ver información sobre una aplicación, búscala en la tabla de aplicaciones. 
    En cada entrada se muestran los siguientes datos: 
    • Nombre de la aplicación
    • Tipo
    • ID
    • Estado verificado: las aplicaciones verificadas han sido revisadas por Google para asegurar que cumplen determinadas políticas. Ten en cuenta que muchas aplicaciones muy conocidas podrían no haber sido verificadas de esta forma. Si quieres saber más, consulta nuestro artículo sobre aplicaciones de terceros verificadas.
    • Usuarios: número de usuarios que acceden a la aplicación.
    • Servicios solicitados: las API de servicios de Google (permisos de OAuth2) que utiliza cada aplicación; por ejemplo, Gmail, Calendar o Drive. Los servicios que no figuran en la pestaña SERVICIOS DE GOOGLE aparecen en Otros.
    • Acceso: indica en qué categoría se ha encuadrado a una aplicación (De confianza, Con acceso restringido o Bloqueadas).
  5. Haz clic en la fila correspondiente a una aplicación de la tabla para abrir su página de detalles. Desde esa página puedes hacer lo siguiente:
    • Ver o cambiar si tu aplicación puede acceder a los servicios de Google: comprueba en qué categoría se ha encuadrado a una aplicación (De confianza, Con acceso restringido o Bloqueadas). Si cambias la configuración de acceso, haz clic en GUARDAR.
    • Ver información sobre la aplicación: el ID de cliente de OAuth2 completo de la aplicación, el número de usuarios, la política de privacidad e información de asistencia.
    • Ver las API de servicios de Google (permisos de OAuth) que solicita la aplicación: en la sección "Servicios solicitados" de la página de detalles de la aplicación, puedes ver una lista con los permisos de OAuth que solicita. Para ver los detalles de cada permiso de OAuth, amplía la fila correspondiente de la tabla o haz clic en MOSTRAR TODO

Mediante la verificación, Google se asegura de que las aplicaciones de terceros que van a acceder a datos sensibles de los clientes pasan controles de seguridad y privacidad. Por este motivo, es posible que se bloquee la activación de aplicaciones no verificadas en las que no confíes. Consulta a continuación los detalles sobre cómo establecer que determinadas aplicaciones son de confianza. Para obtener más información sobre la verificación de aplicaciones, consulta el artículo Autorizar aplicaciones de terceros no verificadas.

Gestionar el acceso a servicios de Google: restringidos o sin restricción

Puedes restringir o permitir el acceso a la mayoría de los servicios de Google Workspace, incluidos servicios de Google Cloud Platform como Aprendizaje automático. En Gmail y Google Drive, puedes restringir específicamente el acceso a permisos de alto riesgo (por ejemplo, el envío de Gmail o la eliminación de archivos en Drive). Aunque a los usuarios se les pida que den su consentimiento a aplicaciones, no podrán añadir las que tengan permisos con restricciones si no has indicado que confías en ellas. 

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a "" y luego Seguridad y luego Control de acceso de aplicaciones.
  3. En Control de acceso de aplicaciones, haz clic en GESTIONAR SERVICIOS DE GOOGLE.
  4. En la lista de servicios, marca las casillas de los que quieras gestionar.

    Si es necesario, haz clic en Añadir un filtro para acotar los resultados de la lista mediante estos criterios:
    Servicios de Google: selecciona un servicio de la lista, como Drive o Gmail, y haz clic en APLICAR.
    Acceso a los servicios de Google: selecciona Sin restricción o Restringidos y haz clic en APLICAR.
    Aplicaciones permitidas: indica un intervalo referente al número de aplicaciones permitidas y haz clic en APLICAR.
    Usuarios: especifica un intervalo de número de usuarios y haz clic en APLICAR.

    Los servicios de Google que puedes controlar son los siguientes:
    • Google Workspace:
      • Administrador de Google Workspace
      • Gmail
      • Drive
      • Calendar
      • Contactos
      • Vault
      • Classroom
      • Tasks
      • Grupos
      • Cloud Search
      • Apps Script Runtime
        Controla el acceso a proyectos que solicitan ciertos permisos de alto riesgo específicos de proyectos de Apps Script; por ejemplo, UrlFetch y Container UI. Aquí se incluyen las aplicaciones, los complementos y las secuencias de comandos de App Maker, tanto si son de tu organización como si no. El control Apps Script Runtime funciona con los controles de la API de Apps Script y no los sustituye en las aplicaciones creadas con este lenguaje de secuencia de comandos.
      • API de Apps Script
        Controla el acceso a cualquier proyecto (como Apps Script, GCP, AWS, etc.) que solicite permisos para la API de Apps Script(por ejemplo, para gestionar proyectosgestionar implementaciones).

    • Google Cloud Platform:
      • Cloud Platform: incluye todos los servicios de Google Cloud Platform, excepto Aprendizaje automático y Facturación de Google Cloud.
      • Aprendizaje automático: incluye Cloud Video Intelligence, la API Cloud Speech, la API Cloud Natural Language Cloud, la API Cloud Translation y la API Cloud Vision.
      • Facturación de Google Cloud
  5. Una vez que hayas seleccionado los servicios de la lista, haz clic en Cambiar acceso.

    Si solo vas a cambiar el de un servicio, señala una fila de la tabla. En el extremo derecho, haz clic en Cambiar acceso.
    Si vas a cambiar el de varios servicios, haz clic en las casillas correspondientes en la tabla. En la parte superior de la tabla, haz clic en Cambiar acceso.
     
  6. Elige una de las siguientes opciones:

    Sin restricción: todas las aplicaciones aprobadas por el usuario pueden acceder a un servicio.
    Restringidos: solo las aplicaciones de confianza pueden acceder a un servicio.
     
  7. Haz clic en CAMBIAR.
    En la columna Acceso de la página Servicios de Google se mostrará el estado de acceso de los servicios: Sin restricción o Restringidos.
  8. (Opcional) Para saber qué aplicaciones tienen acceso a un servicio, sigue estos pasos: 
    1. En la parte superior de la tabla, haz clic en APLICACIONES.
    2. Haz clic en Añadir un filtro y luego Servicios solicitados.
    3. Selecciona los servicios que quieres comprobar y haz clic en APLICAR.
      Aparecerán las aplicaciones que tienen acceso a sus permisos de OAuth y se indicará si son o no de confianza.

Una vez que hayas cambiado los permisos a Restringidos, todas las aplicaciones instaladas anteriormente que no sean de confianza dejarán de funcionar y se revocarán sus tokens. Cuando un usuario intente instalar una aplicación que tenga un permiso con restricciones, se le notificará que está bloqueada.

Permisos de OAuth de alto riesgo en Gmail y Drive

Gmail y Drive también permiten restringir el acceso a una lista predefinida de permisos de OAuth de alto riesgo.

En Gmail, los permisos de OAuth de alto riesgo son los siguientes:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

    Para obtener información sobre los permisos de Gmail, consulta cómo elegir permisos de autenticación.

En Drive, los permisos de OAuth de alto riesgo son los siguientes:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Para obtener información sobre los permisos de Drive, consulta este artículo sobre autorizaciones.
Gestionar el acceso de las aplicaciones: De confianza, Con acceso restringido o Bloqueadas

En la página Control de acceso de aplicaciones, puedes gestionar el acceso de determinadas aplicaciones: puedes bloquearlas, marcarlas como de confianza o darles acceso únicamente a servicios de Google sin restricciones. 

Puedes confiar en aplicaciones concretas que quieras que accedan a todos los servicios de Google Workspace (permisos de OAuth) o confiar en todas las aplicaciones que pertenezcan al dominio. Si confías en ellas, los usuarios pueden instalar aplicaciones que no estén verificadas por nuestro equipo contra usos inadecuados. Las aplicaciones en las que no confías tienen acceso limitado a APIs de Google Workspace; solo pueden acceder a servicios que no tengan restricciones. También puedes bloquear aplicaciones para que no puedan acceder a ningún servicio de Google Workspace.

Nota: Los usuarios deben autorizar que se añadan aplicaciones web. En Google Workspace Marketplace, puedes impedir que aparezca la pantalla de solicitud de consentimiento durante las instalaciones en dominios de aplicaciones aprobadas.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a "" y luego Seguridad y luego Control de acceso de aplicaciones.
  3. En Control de acceso de aplicaciones, haz clic en GESTIONAR ACCESO DE APLICACIONES DE TERCEROS.
  4. En la lista de aplicaciones, marca las casillas de las que quieras gestionar.

    Si es necesario, haz clic en Añadir un filtro para acotar los resultados de la lista mediante estos criterios:
    • Nombre de la aplicación: introduce el nombre de la aplicación en el campo Contiene y haz clic en APLICAR.
    • Tipo: elige entre Aplicación web, iOS o Android y haz clic en APLICAR.
    • ID: escribe una cadena en el campo Coincide con y haz clic en APLICAR.
    • Estado verificado: las aplicaciones verificadas han sido revisadas por Google para asegurar que cumplen determinadas políticas. Ten en cuenta que muchas aplicaciones muy conocidas podrían no haber sido verificadas de esta forma. Si quieres saber más, consulta nuestro artículo sobre aplicaciones de terceros verificadas.
    • Usuarios: especifica un intervalo de número de usuarios y haz clic en APLICAR.
    • Servicios solicitados: elige entre servicios como Gmail o Drive y haz clic en APLICAR.
    • Acceso: selecciona Son de confianza, Con acceso restringido o Bloqueadas y haz clic en APLICAR.
  5. Una vez que hayas seleccionado las aplicaciones de la lista, haz clic en Cambiar acceso.
  6. Para cambiar el acceso, elige una de las siguientes opciones:
     
    • Son de confianza: pueden acceder a todos los servicios de Google.
    • Con acceso restringido: solo pueden acceder a servicios de Google que no tengan restricciones.
    • Bloqueadas: no pueden acceder a ningún servicio de Google.
    Nota: Si incluyes una aplicación en la lista de aplicaciones permitidas en dispositivos, pero también la bloqueas con controles de la API, la aplicación quedará bloqueada, puesto que el bloqueo mediante la página de controles de la API prevalece sobre la lista de aplicaciones permitidas.
     
  7. Haz clic en CAMBIAR.
    En la columna Acceso de la página de aplicaciones, se mostrará su estado de acceso: De confianza, Con acceso restringido o Bloqueadas.

Nota: Si cambias el acceso de una aplicación de confianza o bloqueada a "Con acceso restringido" y no tiene ningún usuario activo, desaparecerá de la lista hasta que la añadas de nuevo o hasta que un usuario la active.

Para gestionar aplicaciones que no están incluidas en la lista, sigue estos pasos:

  1. En Control de acceso de aplicaciones, haz clic en GESTIONAR ACCESO DE APLICACIONES DE TERCEROS.
  2. Haz clic en Configurar aplicación nueva y selecciona Nombre de aplicación OAuth o ID de cliente, Android o iOS.
  3. Introduce el nombre de la aplicación y haz clic en BUSCAR.
  4. En la lista de resultados de búsqueda, haz clic en la opción Seleccionar que hay junto a la aplicación que quieres gestionar.
    Nota: Si eliges configurarla por Nombre de aplicación OAuth o ID de cliente, marca las casillas de los ID de cliente que quieras configurar y, a continuación, haz clic en SELECCIONAR.
  5. Elige una de estas opciones:

    De confianza: pueden acceder a todos los servicios de Google
    Bloqueadas: no pueden acceder a ningún servicio de Google
     
  6. Haz clic en CONFIGURAR.

    En la columna Acceso de la página de aplicaciones se mostrará su estado de acceso: De confianza o Bloqueadas.
Permitir que las aplicaciones internas accedan a API de Google Workspace restringidas

Si creas aplicaciones internas, puedes permitir que todas accedan a los servicios restringidos de Google Workspace. La alternativa es incluirlas en la lista de confianza una a una.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a "" y luego Seguridad y luego Control de acceso de aplicaciones.
  3. En Control de acceso de aplicaciones, marca la casilla Confiar en las aplicaciones internas que pertenecen al dominio y haz clic en GUARDAR.

Se considera que los siguientes recursos son propiedad del dominio:

  • Los proyectos de Google Apps Script creados por usuarios de la organización
  • Las aplicaciones asociadas a la organización en la consola de Google Cloud Platform 

Note: Si confías en aplicaciones internas propiedad del dominio, pero también gestionas el acceso de aplicaciones de terceros para bloquear una de esas aplicaciones, la aplicación se bloqueará (consulta Gestionar el acceso de las aplicaciones: De confianza, Con acceso restringido o Bloqueadas).

Personalizar el mensaje de rechazo de aplicaciones

Cuando los usuarios intentan instalar una aplicación web de terceros, se les muestra una pantalla de consentimiento o una de rechazo en función de la aplicación y del servicio en el que están. Puedes personalizar esta pantalla de rechazo. Por ejemplo, puedes añadir la información de contacto del equipo de asistencia.  

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a "" y luego Seguridad y luego Control de acceso de aplicaciones.
  3. En Control de acceso de aplicaciones, ve a la sección Configuración.
  4. En el cuadro Mostrar este mensaje si un usuario intenta utilizar una aplicación que no puede acceder a los servicios de Google restringidos, introduce el texto que quieras.
  5. Haz clic en GUARDAR.

Temas relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.