Contrôler l'accès des applications tierces et internes aux données G Suite

Vous pouvez contrôler quelles applications tierces et appartenant à un domaine peuvent accéder aux données sensibles de G Suite. Le contrôle d'accès des applications régit l'accès aux services G Suite à l'aide du protocole OAuth 2.0. Les applications modernes plus sécurisées utilisent les champs d'application OAuth 2.0 (des ensembles de procédures appelées API externes), qui permettent un accès simplifié. Ces champs d'application vous permettent d'accéder aux données utilisateur en accès limité de la plupart des services G Suite tels que Gmail, Google Drive, Agenda et Contacts. Voici les possibilités offertes par le contrôle d'accès des applications :

  • Limitez ou non l'accès à la plupart des services G Suite.
  • Autorisez des applications spécifiques à accéder aux services G Suite restreints.
  • Approuvez toutes les applications appartenant au domaine.

Découvrez comment effectuer ces opérations et comment trouver des informations sur les applications tierces déjà utilisées en consultant les étapes suivantes. Vous pouvez personnaliser le message d'erreur que les utilisateurs voient lorsqu'ils tentent d'installer une application non autorisée. 

Remarque : Pour savoir comment gérer les applications en fonction du système d'exploitation de l'appareil mobile (Android ou iOS), consultez Configurer des applications gérées pour les appareils Android et Recommander et gérer des applications iOS.

Utiliser le contrôle d'accès des applications

Tout ouvrir   |   Tout fermer

Examiner les applications tierces dans votre environnement

Avant de mettre en place des contrôles, consultez la liste des applications autorisées par vos utilisateurs à accéder aux données G Suite.

Remarque : Les détails qui concernent les applications tierces apparaissent généralement dans les résultats sous 24 à 48 heures.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à  puis Sécurité puis Commandes des API.
    Remarque : Si vous ne disposez pas du paramètre Contrôle d'accès des applications, suivez la procédure permettant de gérer les applications. La nouvelle interface de contrôle d'accès des applications sera disponible automatiquement au cours des prochaines semaines.
  3. Sur la page principale du contrôle d'accès des applications, sélectionnez Gérer l'accès des applications tierces.
  4. Pour en savoir plus sur une application, recherchez-la dans le tableau des applications. 
    Chaque entrée d'application comporte les informations suivantes : 
    • Nom de l'application
    • Type d'application
    • Nombre d'utilisateurs accédant à l'application
  5. Cliquez sur une entrée. 
    La page d'informations sur l'application fournit les éléments suivants :
    • Services G Suite utilisés par l'application
    • ID client OAuth2 complet de l'application
    • Informations de l'éditeur, y compris les règles de confidentialité et les liens vers l'assistance
    • État de validation pour les applications validées qui accèdent à certains champs d'application d'API restreints

La validation des applications est un programme de Google visant à garantir que les applications tierces qui accèdent à des données client sensibles sont soumises à des contrôles de sécurité et de confidentialité. Il se peut que les utilisateurs ne puissent pas activer les applications non validées que vous n'avez pas autorisées. Pour en savoir plus, consultez les informations ci-dessous sur l'approbation des applications. Pour plus d'informations sur la validation des applications, consultez l'article Autoriser les applications tierces non validées.

Restreindre l'accès aux services Google

Vous pouvez restreindre l'accès à la plupart des services G Suite, par exemple les services Google Cloud Platform tels que Machine Learning. Pour Gmail et Google Drive, vous pouvez restreindre spécifiquement l'accès aux champs d'application à haut risque (par exemple, l'envoi de messages dans Gmail ou la suppression de fichiers dans Drive). Les utilisateurs sont invités à autoriser les applications, mais si l'une d'entre elles utilise des champs d'application limités et que vous ne l'avez pas spécifiquement approuvée, ils ne peuvent pas l'ajouter. 

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à  puis Sécurité puis Commandes des API.
    Remarque : Si vous ne disposez pas du paramètre Contrôle d'accès des applications, suivez la procédure permettant de gérer les applications. La nouvelle interface de contrôle d'accès des applications sera disponible automatiquement au cours des prochaines semaines.
  3. Sur la page principale du contrôle d'accès des applications, sélectionnez Gérer les services Google.
    Les services Google que vous pouvez contrôler sont les suivants :
    • G Suite :
      • G Suite Admin
      • Gmail
      • Drive
      • Agenda
      • Contacts
      • Vault
      • Apps Script Runtime
        Contrôle l'accès aux projets qui nécessitent certains champs d'application à haut risque, spécifiques aux projets Apps Script, tels que UrlFetch et UI du conteneur. Ce paramètre inclut les applications, les modules complémentaires et les scripts App Maker à l'intérieur comme à l'extérieur de votre organisation. Le contrôle d'exécution Apps Script fonctionne de pair avec les commandes des API Apps Script et ne les remplace pas par des applications Apps Script.
      • API Apps Script
        Contrôle l'accès à tout type de projet (par exemple, Apps Script, GCP, AWS, etc.) qui nécessitent des champs d'application pour l'API Apps Script (par exemple, Gérer des projets et Gérer des déploiements).

    • Google Cloud Platform :
      • Cloud Platform : comprend tous les services de Google Cloud Platform, à l'exception de Machine Learning et de Cloud Billing
      • Machine Learning : comprend Cloud Video Intelligence, l'API Cloud Speech, l'API Cloud Natural Language, l'API Cloud Translation et l'API Cloud Vision
      • Cloud Billing
  4. Vérifiez le type d'accès pour chaque service :
    • Pas de restriction : toutes les applications tierces peuvent accéder à ce service, avec l'autorisation de l'utilisateur.
    • Accès limité : seules les applications que vous jugez fiables peuvent accéder à ce service, avec l'autorisation de l'utilisateur.
    • Restreint - Accès à haut risque : seules les applications de confiance peuvent accéder aux champs d'application à haut risque de ce service. Toutes les applications peuvent accéder aux champs d'application à faible risque. L'autorisation de l'utilisateur est obligatoire dans tous les cas.
      • Pour Gmail, les champs d'application OAuth à haut risque sont les suivants :
        • https://mail.google.com/
        • https://www.googleapis.com/auth/gmail.compose
        • https://www.googleapis.com/auth/gmail.insert
        • https://www.googleapis.com/auth/gmail.metadata
        • https://www.googleapis.com/auth/gmail.modify
        • https://www.googleapis.com/auth/gmail.readonly
        • https://www.googleapis.com/auth/gmail.send
        • https://www.googleapis.com/auth/gmail.settings.basic
        • https://www.googleapis.com/auth/gmail.settings.sharing

          Pour en savoir plus sur les champs d'application Gmail, consultez le guide en anglais Choose Auth Scopes (Choisir les champs d'application Auth).

      • Pour Drive, les champs d'application OAuth à haut risque sont les suivants :
        • https://www.googleapis.com/auth/drive
        • https://www.googleapis.com/auth/drive.apps.readonly
        • https://www.googleapis.com/auth/drive.metadata
        • https://www.googleapis.com/auth/drive.metadata.readonly
        • https://www.googleapis.com/auth/drive.readonly
        • https://www.googleapis.com/auth/drive.scripts
        • https://www.googleapis.com/auth/documents
          Pour en savoir plus sur les champs d'application Drive et les protocoles d'autorisation, consultez le guide en anglais Authenticate your users (Authentifier vos utilisateurs).
  5. (Facultatif) Pour vérifier quelles applications ont accès à un service : 
    1. Au-dessus du tableau, cliquez sur Applications.
    2. Cliquez sur Ajouter un filtrepuisServices demandés.
    3. Sélectionnez les services à vérifier.  
      Les applications qui ont accès aux champs d'application OAuth de ces services s'affichent, ainsi que leur état d'approbation.
  6. Pour modifier l'accès, par exemple pour le limiter, procédez comme suit : 
    • Pour un seul service, placez le curseur sur la ligne correspondante du tableau et, tout à droite, cliquez sur Modifier l'accès.
    • Pour plusieurs services à la fois, sélectionnez-les dans le tableau et, en haut du tableau, cliquez sur Modifier l'accès.

Une fois que vous avez défini les champs d'application sur "Accès limité", les applications déjà installées que vous n'avez pas approuvées cessent de fonctionner, et les jetons sont révoqués. Lorsqu'un utilisateur tente d'installer une application dont le champ d'application est limité, il reçoit un message l'informant qu'elle est bloquée.

Ajouter ou supprimer une application dans la liste des applications de confiance

Autorisez les applications qui doivent accéder à tous les services G Suite (champs d'application OAuth). Vous pouvez également décider d'approuver toutes les applications appartenant au domaine. Approuver des applications permet également aux utilisateurs d'installer des applications qui n'ont pas été validées par notre équipe de lutte contre les abus. Les applications que vous n'approuvez pas ont un accès limité aux API G Suite. Elles peuvent uniquement accéder aux services non restreints.

Conseil : Les utilisateurs doivent autoriser l'ajout des applications Web. Cependant, sur G Suite Marketplace et pour les applications approuvées uniquement, vous pouvez installer un domaine pour contourner cette obligation.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à  puis Sécurité puis Commandes des API.
    Remarque : Si vous ne disposez pas du paramètre Contrôle d'accès des applications, suivez la procédure permettant de gérer les applications. La nouvelle interface de contrôle d'accès des applications sera disponible automatiquement au cours des prochaines semaines.
  3. Sur la page principale du contrôle d'accès des applications, sélectionnez Gérer l'accès des applications tierces.
  4. Consultez la liste des applications.
  5. Pour rechercher un nom d'application, un ID client ou les services auxquels l'application accède, cliquez sur "Ajouter un filtre".
    Si l'application figure dans la liste, cela signifie qu'elle est utilisée, approuvée, ou les deux.
  6. Pour modifier l'accès de l'application, par exemple pour l'autoriser, procédez comme suit : 
    • Pour une seule application, placez le curseur sur la ligne correspondante du tableau et, tout à droite, cliquez sur Modifier l'accès.
    • Pour plusieurs applications à la fois, sélectionnez-les dans le tableau et, en haut du tableau, cliquez sur Modifier l'accès

      Vous pouvez définir les états d'application suivants :
      • Approuvée : peut accéder à l'ensemble des services Google
      • Accès limité : peut uniquement accéder aux services Google non restreints
  7. (Facultatif) Pour approuver une application ne figurant pas sur la liste, cliquez sur Ajouter une application en haut de la liste des applications, puis sélectionnez une option :
    • Pour les applications Web :
      1. Cliquez sur Nom de l'application ou ID client OAuth
      2. Saisissez l'ID client et cliquez sur Rechercher.
      3. Sélectionnez l'application et cliquez sur Ajouter
    • Pour les applications mobiles :
      1. Cliquez sur Android ou IOS
      2. Saisissez un nom d'application, puis cliquez sur Rechercher pour afficher la liste des applications disponibles.
      3. Sélectionnez l'application et cliquez sur Ajouter

Remarque : Si vous choisissez de limiter l'accès d'une application approuvée ne comptant pas d'utilisateurs actifs, elle disparaît de la liste jusqu'à ce que vous l'ajoutiez à nouveau ou qu'un utilisateur l'active.

Autoriser les applications internes à accéder aux API G Suite dont l'accès est limité

Si vous développez des applications en interne, vous pouvez toutes les approuver pour qu'elles puissent accéder aux services G Suite restreints. Sinon, vous devrez les approuver une par une.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à  puis Sécurité puis Commandes des API.
    Remarque : Si vous ne disposez pas du paramètre Contrôle d'accès des applications, suivez la procédure permettant de gérer les applications. La nouvelle interface de contrôle d'accès des applications sera disponible automatiquement au cours des prochaines semaines.
  3. Cochez l'option Approuver les applications internes appartenant au domaine au bas de la page, puis cliquez sur Enregistrer.

Les applications appartenant au domaine sont les suivantes :

  • Projets Google Apps Script créés par les utilisateurs au sein de l'organisation
  • Applications associées à l'organisation dans la console Google Cloud Platform 
Personnaliser le message de refus d'application

Selon le service et l'application, un message d'approbation ou de refus s'affiche lorsqu'un utilisateur tente d'installer une application Web tierce. Vous pouvez personnaliser ce message de refus, en ajoutant par exemple les coordonnées de votre service d'assistance.  

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à  puis Sécurité puis Commandes des API.
    Remarque : Si vous ne disposez pas du paramètre Contrôle d'accès des applications, suivez la procédure permettant de gérer les applications. La nouvelle interface de contrôle d'accès des applications sera disponible automatiquement au cours des prochaines semaines.
  3. Accéder à Paramètres.
  4. Saisissez votre texte personnalisé dans le champ situé sous "Afficher ce message si un utilisateur tente de se servir d'une application non autorisée à accéder aux services Google restreints".
  5. Cliquez sur Enregistrer.

Articles associés

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?