Contrôler l'accès des applications tierces et internes aux données Google Workspace

Pour gérer des applications en fonction du système d'exploitation des appareils mobiles, consultez cet article.

Vous pouvez contrôler les applications tierces et appartenant à un domaine qui peuvent accéder aux données sensibles de Google Workspace. Le contrôle d'accès des applications régit l'accès aux services Google Workspace à l'aide du protocole OAuth 2.0. Les applications modernes plus sécurisées utilisent les champs d'application OAuth 2.0 (des ensembles de procédures appelées API externes), qui permettent un accès simplifié. Ces champs d'application vous permettent d'accéder aux données utilisateur en accès limité de la plupart des services Google Workspace tels que Gmail, Google Drive, Agenda et Contacts. Voici les possibilités offertes par le contrôle d'accès des applications :

  • Limitez ou non l'accès à la plupart des services Google Workspace.
  • Autorisez des applications spécifiques à accéder aux services Google Workspace restreints.
  • Approuvez toutes les applications appartenant au domaine.

Pour contrôler l'accès des applications tierces et internes aux données Google Workspace, ainsi qu'obtenir des informations sur les applications tierces déjà utilisées, suivez les instructions ci-dessous. Vous pouvez également personnaliser le message d'erreur qui s'affiche pour les utilisateurs lorsqu'ils tentent d'installer une application non autorisée.

Utiliser le contrôle d'accès des applications

Tout ouvrir   |   Tout fermer

Examiner les applications tierces dans votre environnement

Avant de mettre en place des contrôles, consultez la liste des applications autorisées à accéder aux données Google Workspace.

Remarque : Les détails qui concernent les applications tierces apparaissent généralement dans les résultats sous 24 à 48 heures.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à "" puis Sécurité puis Commandes des API.
  3. Sous Contrôle d'accès des applications, sélectionnez Gérer l'accès des applications tierces.
  4. Affichez les détails sur les applications dans le tableau des applications. 
    Les informations suivantes s'affichent : 
    • Nom de l'application
    • Type
    • Identifiant
    • État de validation : les applications validées ont été examinées par Google afin de s'assurer qu'elles respectent certaines règles. Veuillez noter que de nombreuses applications bien connues ne bénéficient pas forcément d'une telle validation. Consultez Qu'est-ce qu'une application tierce validée ? pour en savoir plus.
    • Utilisateurs : nombre d'utilisateurs accédant à l'application.
    • Services demandés : API des services Google (champs d'application OAuth2) utilisées par les applications (par exemple, Gmail, Agenda et Drive). Les services qui ne figurent pas dans l'onglet "Services Google" sont répertoriés comme Autre.
    • Accès : les niveaux d'accès sont Approuvée, Accès limité ou Accès bloqué.
  5. Cliquez sur la ligne d'une application dans le tableau pour ouvrir la page des détails de l'application. Sur cette page, vous pouvez effectuer les opérations suivantes :
    • Afficher ou modifier l'accès de votre application aux services Google : vérifiez si l'application est marquée comme approuvée, en accès limité ou bloquée. Si vous modifiez la configuration d'accès, cliquez sur ENREGISTRER.
    • Afficher les informations concernant l'application : Vous pouvez consulter l'ID client OAuth2 complet de l'application, le nombre d'utilisateurs, la règle de confidentialité et les informations d'assistance.
    • Afficher les API de service Google (champs d'application OAuth) demandés par l'application : dans la section "Services demandés" de la page des détails de l'application, vous pouvez consulter la liste des champs d'application OAuth demandés par chaque application. Pour afficher tous les champs d'application OAuth, développez la ligne du tableau ou cliquez sur Tout développer
  6. (Facultatif) Téléchargez les informations sur l'application.

    Vous pouvez télécharger toutes les informations du tableau des applications en cliquant sur Télécharger les informations sur les applications. Les métadonnées des applications listées dans toutes les pages du tableau sont alors téléchargées au format CSV.

La validation des applications est un programme de Google visant à garantir que les applications tierces qui accèdent à des données client sensibles sont soumises à des contrôles de sécurité et de confidentialité. Il se peut que les utilisateurs ne puissent pas activer les applications non validées que vous n'avez pas autorisées. Pour en savoir plus, consultez les informations ci-dessous sur l'approbation des applications. Pour en savoir plus sur la validation des applications, consultez Autoriser les applications tierces non validées.

Gérer l'accès aux services Google : restreint ou illimité

Vous pouvez restreindre l'accès à la plupart des services Google Workspace, par exemple les services Google Cloud tels que Machine Learning. Pour Gmail et Google Drive, vous pouvez restreindre spécifiquement l'accès aux champs d'application à haut risque (par exemple, l'envoi de messages dans Gmail ou la suppression de fichiers dans Drive). Les utilisateurs sont invités à autoriser les applications, mais si l'une d'entre elles utilise des champs d'application limités et que vous ne l'avez pas spécifiquement approuvée, ils ne peuvent pas l'ajouter. 

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à "" puis Sécurité puis Commandes des API.
  3. Sous Contrôle d'accès des applications, cliquez sur Gérer les services Google.
  4. Dans la liste des services, cochez les cases correspondant aux services que vous souhaitez gérer.

    Si nécessaire, cliquez sur Ajouter un filtre pour réduire la liste à l'aide des critères suivants :
    Services Google : sélectionnez un service tel que Drive ou Gmail, puis cliquez sur Appliquer.
    Accès aux services Google : sélectionnez Pas de restriction ou Accès limité, puis cliquez sur Appliquer.
    Applications autorisées : spécifiez une plage de valeurs pour le nombre d'applications autorisées, puis cliquez sur Appliquer.
    Utilisateurs : spécifiez une plage de valeurs pour le nombre d'utilisateurs, puis cliquez sur Appliquer.

    Les services Google que vous pouvez contrôler sont les suivants :
    • Google Workspace :
      • Administrateur Google Workspace
      • Gmail
      • Drive
      • Agenda
      • Contacts
      • Vault
      • Classroom
      • Tasks
      • Groupes
      • Cloud Search
      • Apps Script Runtime
        Contrôle l'accès aux projets qui nécessitent certains champs d'application à haut risque, spécifiques aux projets Apps Script, tels que UrlFetch et UI du conteneur. Ce paramètre inclut les modules complémentaires et les scripts à l'intérieur comme à l'extérieur de votre organisation. Le contrôle d'exécution Apps Script fonctionne de pair avec les commandes des API Apps Script et ne les remplace pas par des applications Apps Script.
      • API Apps Script
        Contrôle l'accès à tout type de projet (par exemple, Apps Script, Google Cloud, AWS, etc.) qui nécessite des champs d'application pour l'API Apps Script (par exemple, Gérer des projets et Gérer des déploiements).

    • Google Cloud :
      • Cloud : comprend tous les services Google Cloud, hormis Machine Learning et Cloud Billing.
      • Machine Learning : comprend Cloud Video Intelligence, l'API Cloud Speech, l'API Cloud Natural Language, l'API Cloud Translation et l'API Cloud Vision.
      • Cloud Billing
  5. Après avoir sélectionné les services dans la liste, cliquez sur Modifier l'accès.

    Pour modifier l'accès d'un seul service, placez le curseur sur une ligne du tableau. Tout à droite de l'écran, cliquez sur Change access (Modifier l'accès).
    Pour modifier l'accès de plusieurs services, cochez les cases du tableau. En haut du tableau, cliquez sur Modifier l'accès.
     
  6. Pour modifier l'accès, choisissez l'une des options suivantes :

    Accès non limité : toutes les applications approuvées par l'utilisateur ont accès à un service.
    Accès limité : seules les applications approuvées ont accès à un service.
     
  7. Cliquez sur Modifier.
    Sur la page des services Google, la colonne Accès affiche l'état d'accès aux services : Pas de restriction ou Accès limité.
  8. (Facultatif) Pour vérifier quelles applications ont accès à un service : 
    1. Au-dessus du tableau, cliquez sur Applications.
    2. Cliquez sur Ajouter un filtre puis Services demandés.
    3. Sélectionnez les services que vous consultez, puis cliquez sur Appliquer.
      Les applications qui ont accès aux champs d'application OAuth de ces services s'affichent, ainsi que leur état d'approbation.

Une fois que vous avez défini les champs d'application sur "Accès limité", les applications déjà installées que vous n'avez pas approuvées cessent de fonctionner, et les jetons sont révoqués. Lorsqu'un utilisateur tente d'installer une application dont le champ d'application est limité, il reçoit un message l'informant qu'elle est bloquée.

Champs d'application OAuth à haut risque de Gmail et Drive

Dans Gmail et Drive, il est également possible de limiter l'accès à une liste prédéfinie de champs d'application OAuth à haut risque.

Pour Gmail, les champs d'application OAuth à haut risque sont les suivants :

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

    Pour en savoir plus sur les champs d'application Gmail, consultez le guide Choisir les champs d'application Auth.

Pour Drive, les champs d'application OAuth à haut risque sont les suivants :

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Pour en savoir plus sur les champs d'application Drive et les protocoles d'autorisation, consultez le guide À propos de l'autorisation.
Gérer l'accès aux applications : "Approuvée", "Accès limité" ou "Accès bloqué"

Sur la page "Contrôle d'accès des applications", vous pouvez gérer l'accès à certaines applications en les bloquant, en les marquant comme fiables ou en n'autorisant l'accès qu'aux services Google non restreints.

Autorisez les applications qui doivent accéder à tous les services Google Workspace (champs d'application OAuth). Vous pouvez également décider d'approuver toutes les applications appartenant au domaine. Approuver des applications permet également aux utilisateurs d'installer des applications qui n'ont pas été validées par notre équipe de lutte contre les abus. Les applications que vous n'approuvez pas ont un accès limité aux API Google Workspace. Elles peuvent uniquement accéder aux services non restreints. Vous avez également la possibilité de bloquer des applications afin qu'elles ne puissent accéder à aucun service Google Workspace.

Conseil : Les utilisateurs doivent autoriser l'ajout des applications Web. Cependant, sur Google Workspace Marketplace et pour les applications approuvées uniquement, vous pouvez installer un domaine pour contourner cette obligation.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à "" puis Sécurité puis Commandes des API.
  3. Sous Contrôle d'accès des applications, cliquez sur Gérer l'accès des applications tierces.
  4. Dans la liste des applications, cochez les cases correspondant aux applications que vous souhaitez gérer.

    Si nécessaire, cliquez sur Ajouter un filtre pour réduire la taille de la liste à l'aide des critères suivants :
    • Nom de l'application : saisissez le nom de l'application dans le champ Contient, puis cliquez sur APPLIQUER.
    • Type : sélectionnez Application Web, iOS ou Android, puis cliquez sur APPLIQUER.
    • ID : saisissez une chaîne de caractères dans le champ Correspondances, puis cliquez sur APPLIQUER.
    • État de validation : les applications validées ont été examinées par Google afin de s'assurer qu'elles respectent certaines règles. Veuillez noter que de nombreuses applications bien connues ne bénéficient pas forcément d'une telle validation. Consultez Qu'est-ce qu'une application tierce validée ? pour en savoir plus.
    • Utilisateurs : spécifiez une plage de valeurs pour le nombre d'utilisateurs, puis cliquez sur APPLIQUER.
    • Services demandés : sélectionnez des services tels que Gmail ou Drive, puis cliquez sur APPLIQUER.
    • Accès : cliquez sur Approuvée, Accès limité ou Accès bloqué, puis cliquez sur APPLIQUER.
  5. Après avoir sélectionné les applications dans la liste, cliquez sur Modifier l'accès.
  6. Pour modifier l'accès, choisissez l'une des options suivantes :
     
    • Approuvée : peut accéder à l'ensemble des services Google
    • Accès limité : accès uniquement aux services Google non restreints
    • Accès bloqué : impossible d'accéder à des services Google
    Remarque : Si vous ajoutez une application pour les appareils à la liste d'autorisation, mais que vous la bloquez également à l'aide de commandes d'API, cette application est bloquée (le blocage de l'application sur la page de commandes des API prévaut sur la liste d'autorisation).
     
  7. Cliquez sur Modifier.
    Sur la page des applications, la colonne Accès indique l'accès des applications : Approuvée, Accès limité ou Accès bloqué.

Remarque : Si vous passez le niveau d'accès d'une application de "Approuvée" ou "Accès bloqué" à "Accès limité" et si elle ne comporte aucun utilisateur actif, elle disparaît de la liste jusqu'à ce que vous l'ajoutiez à nouveau ou qu'un utilisateur l'active.

Pour gérer les applications qui ne figurent pas dans la liste, procédez comme suit :

  1. Sous Contrôle d'accès des applications, cliquez sur Gérer l'accès des applications tierces.
  2. Cliquez sur Configurer une nouvelle application, puis sélectionnez Nom de l'application ou ID client OAuth, Android ou IOS.
  3. Saisissez le nom de l'application, puis cliquez sur Rechercher.
  4. Dans la liste des résultats de recherche, cliquez sur Sélectionner pour l'application que vous souhaitez gérer.
    Remarque : Si vous effectuez la configuration à l'aide du nom d'application ou de l'ID client OAuth, cochez les ID client que vous souhaitez configurer, puis cliquez sur Sélectionner.
  5. Choisissez l'une des options suivantes :

    Application approuvée : peut accéder à l'ensemble des services Google
    Bloqué : impossible d'accéder à des services Google
     
  6. Cliquez sur Configurer.

    Sur la page des applications, la colonne Accès indique l'accès des applications : Approuvée ou Accès bloqué.
Bloquer l'accès à toutes les API tierces

Sur la page des commandes des API, vous pouvez bloquer l'accès à toutes les API tierces. Ainsi, l'accès aux données des utilisateurs est refusé aux sites et applications tiers. Ce paramètre bloque toutes les habilitations OAuth, y compris celles associées aux connexions. Autrement dit, les utilisateurs ne pourront plus se connecter avec Google à des applications ou des sites tiers.

Important : Lorsque vous activez le paramètre Bloquer l'accès à toutes les API tierces, les utilisateurs auront accès aux applications approuvées explicitement et aux applications approuvées appartenant au domaine. Pour en savoir plus sur les applications approuvées, consultez Gérer l'accès aux applications : "Approuvée", "Accès limité" ou "Accès bloqué" et Autoriser les applications internes à accéder aux API Google Workspace dont l'accès est limité.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à "" puis Sécurité puis Commandes des API.
  3. Sous Contrôle d'accès des applications, cochez l'option Bloquer l'accès à toutes les API tierces et cliquez sur Enregistrer.
Autoriser les applications internes à accéder aux API Google Workspace dont l'accès est limité

Si vous développez des applications en interne, vous pouvez toutes les approuver pour qu'elles puissent accéder aux services Google Workspace restreints. Sinon, vous devrez les approuver une par une.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à "" puis Sécurité puis Commandes des API.
  3. Sous Contrôle d'accès des applications, cochez l'option Approuver les applications internes appartenant au domaine, puis cliquez sur Enregistrer.

Les applications appartenant au domaine sont les suivantes :

  • Projets Google Apps Script créés par les utilisateurs au sein de l'organisation
  • Applications associées à l'organisation dans Google Cloud Console 

Remarque : Lorsque vous approuvez des applications internes appartenant au domaine, mais aussi gérez l'accès des applications tierces pour bloquer l'une de ces applications, l'application est bloquée (voir Gérer l'accès aux applications : "Approuvée", "Accès limité" ou "Accès bloqué").

Personnaliser le message de refus pour l'application

Selon le service et l'application, un message de refus ou d'approbation s'affiche lorsqu'un utilisateur tente d'installer une application Web tierce. Vous pouvez personnaliser ce message de refus, en ajoutant par exemple les coordonnées de votre service d'assistance.  

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à "" puis Sécurité puis Commandes des API.
  3. Sous Contrôle d'accès des applications, accédez à la section Paramètres.
  4. Dans le champ situé sous le message suivant Afficher ce message si un utilisateur tente de se servir d'une application non autorisée à accéder aux services Google restreints, saisissez votre texte personnalisé.
  5. Cliquez sur "Enregistrer".

Articles associés

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.