Controlar qué aplicaciones internas y de terceros acceden a los datos de G Suite

Puedes controlar qué aplicaciones de terceros y pertenecientes al dominio pueden acceder a datos sensibles de G Suite. El acceso de las aplicaciones a los servicios de G Suite se controla mediante OAuth 2.0. Para facilitar su acceso, las aplicaciones más modernas y seguras utilizan ámbitos de OAuth 2.0, es decir, conjuntos de procedimientos denominados "API externas". Estos ámbitos permiten acceder a datos limitados de usuarios de la mayoría de los servicios de G Suite, como Gmail y Google Drive, Calendar y Contactos. Al usar el control de acceso de aplicaciones, puedes hacer lo siguiente: 

  • Restringir el acceso a la mayoría de los servicios de G Suite o dejarlos sin restricciones.
  • Dar permiso a aplicaciones concretas para que puedan acceder a servicios restringidos de G Suite.
  • Dar permiso a todas las aplicaciones que pertenezcan a un dominio.

A continuación te explicamos los pasos que debes seguir para poder hacer todo lo indicado anteriormente, además de cómo consultar información sobre las aplicaciones de terceros que se están utilizando. También puedes personalizar el mensaje de error que ven los usuarios cuando intentan instalar una aplicación no autorizada. 

Utilizar el control de acceso de aplicaciones

Abrir todo   |   Cerrar todo

Revisar las aplicaciones de terceros presentes en tu entorno

Antes de implementar controles, revisa la lista de aplicaciones que tienen el permiso de tus usuarios para acceder a los datos de G Suite.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. Ve a Seguridad > Control de acceso de aplicaciones.

    Se necesita el privilegio de administrador Configuración de seguridad

    En la página principal de la consola de administración, ve a Menú y luego Seguridad y luego Control de acceso de aplicaciones.
    Nota: Si no tienes la opción Control de acceso de aplicaciones, sigue los pasos para gestionar aplicaciones. La nueva interfaz para el control de acceso de aplicaciones se implementará automáticamente durante las próximas semanas.
  3. En la página principal de Control de acceso de aplicaciones, selecciona Gestionar acceso de aplicaciones de terceros.
  4. Para ver los detalles de una aplicación, búscala en la tabla de aplicaciones. 
    Cada entrada de la aplicación muestra los siguientes datos: 
    • Nombre de la aplicación
    • Tipo de aplicación
    • Número de usuarios que acceden a la aplicación
  5. Haz clic en una entrada. 
    En la página de detalles de la aplicación se indica lo siguiente:
    • Los servicios de G Suite que utiliza la aplicación
    • El ID de cliente OAuth2 completo de la aplicación
    • Información sobre el editor, incluida la política de privacidad y los enlaces de asistencia
    • El estado de verificación de las aplicaciones que acceden a determinados ámbitos restringidos de la API (si la aplicación en cuestión está verificada)

Mediante la verificación, Google se asegura de que las aplicaciones de terceros que van a acceder a datos sensibles de los clientes pasan controles de seguridad y privacidad. Por este motivo, es posible que se bloquee la activación de aplicaciones no verificadas en las que no confíes. Consulta a continuación los detalles sobre cómo establecer que determinadas aplicaciones son de confianza. Para obtener más información sobre la verificación de aplicaciones, consulta el artículo Autorizar aplicaciones de terceros no verificadas.

Restringir el acceso a los servicios de Google

Puedes restringir o permitir el acceso a la mayoría de los servicios de G Suite, incluidos servicios de Google Cloud Platform como Aprendizaje automático. En Gmail y Google Drive, puedes restringir específicamente el acceso a ámbitos de alto riesgo (por ejemplo, el envío de Gmail o la eliminación de archivos en Drive). Aunque a los usuarios se les pide que den su consentimiento a aplicaciones, no podrán añadir las que utilicen ámbitos con restricciones si no has indicado que confías en ellas. 

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. Ve a Seguridad > Control de acceso de aplicaciones.

    Se necesita el privilegio de administrador Configuración de seguridad

    En la página principal de la consola de administración, ve a Menú y luego Seguridad y luego Control de acceso de aplicaciones.
    Nota: Si no tienes la opción Control de acceso de aplicaciones, sigue los pasos para gestionar aplicaciones. La nueva interfaz para el control de acceso de aplicaciones se implementará automáticamente durante las próximas semanas.
  3. En la página principal de Control de acceso de aplicaciones, selecciona Gestionar servicios de Google.
    En los servicios de Google que puedes controlar se incluyen:
    • G Suite:
      • Consola de administración de G Suite
      • Gmail
      • Drive
      • Calendar
      • Contactos
      • Vault
      • Apps Script Runtime: controla qué pueden hacer los proyectos de Apps Script. Incluye complementos, secuencias de comandos y aplicaciones de App Maker, tanto si son del dominio como si no.
      • API de Apps Script: controla si los clientes pueden gestionar proyectos mediante la API de Apps Script.

    • Google Cloud Platform:
      • Cloud Platform: incluye todos los servicios de Google Cloud Platform, excepto Aprendizaje automático y Facturación de Google Cloud.
      • Aprendizaje automático: incluye Cloud Video Intelligence, API Cloud Speech, API Natural Language de Cloud, API Cloud Translation y API Cloud Vision.
      • Facturación de Google Cloud
  4. Revisa el acceso a cada servicio:
    • Sin restricción: todas las aplicaciones de terceros pueden acceder a este servicio con el consentimiento del usuario.
    • Restringido: solo pueden acceder a este servicio las aplicaciones de tu confianza con el consentimiento del usuario.
    • Restringido - Acceso de alto riesgo: todas las aplicaciones pueden acceder a ámbitos de menor riesgo de este servicio, pero solo las aplicaciones de confianza pueden acceder a los ámbitos de alto riesgo. El consentimiento del usuario es obligatorio en todos los casos.
      • En Gmail, los ámbitos de OAuth de alto riesgo son los siguientes:
        • https://mail.google.com/
        • https://www.googleapis.com/auth/gmail.compose
        • https://www.googleapis.com/auth/gmail.insert
        • https://www.googleapis.com/auth/gmail.metadata
        • https://www.googleapis.com/auth/gmail.modify
        • https://www.googleapis.com/auth/gmail.readonly
        • https://www.googleapis.com/auth/gmail.send
        • https://www.googleapis.com/auth/gmail.settings.basic
        • https://www.googleapis.com/auth/gmail.settings.sharing

          Para obtener más información sobre los ámbitos de Gmail, consulta cómo elegir ámbitos de autenticación.

      • En Drive, los ámbitos de OAuth de alto riesgo son los siguientes:
        • https://www.googleapis.com/auth/drive
        • https://www.googleapis.com/auth/drive.apps.readonly
        • https://www.googleapis.com/auth/drive.metadata
        • https://www.googleapis.com/auth/drive.metadata.readonly
        • https://www.googleapis.com/auth/drive.readonly
        • https://www.googleapis.com/auth/drive.scripts
        • https://www.googleapis.com/auth/documents
          Para obtener más información sobre los ámbitos de Drive, consulta la información sobre las autorizaciones.
  5. (Opcional) Para saber qué aplicaciones tienen acceso a un servicio, sigue estos pasos: 
    1. En la parte superior de la tabla, haz clic en Aplicaciones.
    2. Haz clic en Añadir un filtro y luego Servicios solicitados.
    3. Selecciona los servicios que vas a comprobar.  
      Aparecerán las aplicaciones que tienen acceso a sus ámbitos de OAuth y si son o no de confianza.
  6. Sigue estos pasos para cambiar el acceso (por ejemplo, para restringirlo): 
    • Si solo quieres cambiar el de un servicio, ve a su fila en la tabla y, en el extremo derecho, haz clic en Cambiar acceso.
    • Si quieres cambiar el de varios a la vez, selecciónalos y, en la parte superior de la tabla, haz clic en Cambiar acceso.

Una vez que hayas cambiado los ámbitos a Restringidos, todas las aplicaciones instaladas anteriormente que no sean de confianza dejarán de funcionar y se revocarán los tokens. Cuando un usuario intente instalar una aplicación que tenga un ámbito con restricciones, se le notificará que está bloqueada.

Añadir o quitar aplicaciones de la lista de confianza

Puedes confiar en aplicaciones concretas que quieras que accedan a todos los servicios de G Suite (ámbitos de OAuth) o confiar en todas las aplicaciones que pertenezcan al dominio. Si confías en ellas, los usuarios pueden instalar aplicaciones que no estén verificadas por nuestro equipo contra el uso inadecuado. Las aplicaciones en las que no confías tienen acceso limitado a las API de G Suite; solo pueden acceder a servicios que no tienen restricciones.

Nota: A los usuarios se les solicita que autoricen que se añadan aplicaciones web, pero en G Suite Marketplace, en el caso de las aplicaciones aprobadas, puedes evitar que aparezca la pantalla de solicitud de consentimiento durante las instalaciones en dominios.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. Ve a Seguridad > Control de acceso de aplicaciones.

    Se necesita el privilegio de administrador Configuración de seguridad

    En la página principal de la consola de administración, ve a Menú y luego Seguridad y luego Control de acceso de aplicaciones.
    Nota: Si no tienes la opción Control de acceso de aplicaciones, sigue los pasos para gestionar aplicaciones. La nueva interfaz para el control de acceso de aplicaciones se implementará automáticamente durante las próximas semanas.
  3. En la página principal de Control de acceso de aplicaciones, selecciona Gestionar acceso de aplicaciones de terceros.
  4. Revisa la lista de aplicaciones. 
  5. Para buscar un nombre de aplicación o ID de cliente concretos o los servicios a los que accede la aplicación, haz clic en Añadir un filtro.
    Si la aplicación aparece en la lista, quiere decir que se está utilizando, que es de confianza o ambas cosas.
  6. Para cambiar el acceso; por ejemplo, para permitirlo: 
    • Si solo quieres cambiar el de una aplicación, ve a su fila en la tabla y, en el extremo derecho, haz clic en Cambiar acceso.
    • Si quieres cambiar el de varias aplicaciones a la vez, selecciónalas en la tabla y, en la parte superior, haz clic en Cambiar acceso

      Puedes configurar las aplicaciones con estos estados:
      • De confianza: puede acceder a todos los servicios de Google.
      • Con acceso restringido: solo puede acceder a servicios de Google que no tengan ninguna restricción.
  7. (Opcional) Si quieres confiar en una aplicación que no está en la lista, haz clic en Añadir aplicación y selecciona la opción correspondiente:
    • Si se trata de una aplicación web:
      1. Haz clic en Nombre de aplicación OAuth o ID de cliente
      2. Introduce el ID de cliente y haz clic en Buscar.
      3. Selecciona la aplicación y haz clic en Añadir
    • Si se trata de una aplicación móvil:
      1. Haz clic en Android o iOS. 
      2. Introduce el nombre de la aplicación y haz clic en Buscar para ver una lista con las aplicaciones disponibles.
      3. Selecciona la aplicación y haz clic en Añadir

Nota: Si cambias el acceso de una aplicación de De confianza a Con acceso restringido y no tiene ningún usuario activo, desaparecerá de la lista hasta que la añadas de nuevo o hasta que un usuario la active.

Permitir que las aplicaciones internas accedan a las API de G Suite restringidas

Puedes permitir que todas las aplicaciones creadas por ti accedan a los servicios restringidos de G Suite. Si no, tendrás que incluirlas en la lista de confianza una a una.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. Ve a Seguridad > Control de acceso de aplicaciones.

    Se necesita el privilegio de administrador Configuración de seguridad

    En la página principal de la consola de administración, ve a Menú y luego Seguridad y luego Control de acceso de aplicaciones.
    Nota: Si no tienes la opción Control de acceso de aplicaciones, sigue los pasos para gestionar aplicaciones. La nueva interfaz para el control de acceso de aplicaciones se implementará automáticamente durante las próximas semanas.
  3. En la parte inferior de la página, marca la casilla Confiar en las aplicaciones internas que pertenecen al dominio y haz clic en Guardar.

Se considera que los siguientes recursos son propiedad del dominio:

  • Los proyectos de Google Apps Script creados por usuarios de la organización
  • Las aplicaciones asociadas a la organización en la consola de Google Cloud Platform 
Personalizar el mensaje de rechazo de aplicaciones

En función del servicio y de la aplicación de que se trate, cuando un usuario intente instalar una aplicación web de terceros verá una pantalla de consentimiento o una de rechazo. Puedes personalizar esta pantalla de rechazo; por ejemplo, incluyendo tu información de contacto en casos de asistencia.  

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. Ve a Seguridad > Control de acceso de aplicaciones.

    Se necesita el privilegio de administrador Configuración de seguridad

    En la página principal de la consola de administración, ve a Menú y luego Seguridad y luego Control de acceso de aplicaciones.
    Nota: Si no tienes la opción Control de acceso de aplicaciones, sigue los pasos para gestionar aplicaciones. La nueva interfaz para el control de acceso de aplicaciones se implementará automáticamente durante las próximas semanas.
  3. Ve a Configuración.
  4. En el cuadro "Mostrar este mensaje si un usuario intenta utilizar una aplicación que no puede acceder a los servicios de Google restringidos", introduce el texto que quieras.
  5. Haz clic en Guardar.

Temas relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?