Contrôler quelles applications tierces et internes ont accès aux données Google Workspace

Avant de mettre en place des contrôles, consultez la liste des applications autorisées à accéder aux données Google Workspace. Les détails qui concernent les applications tierces apparaissent généralement sous 24 à 48 heures après l'autorisation.

1. Connectez-vous à la Console d'administration Google.

   Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

2. Sur la page d'accueil de la console d'administration, accédez à SécuritéCommandes des API.

   Vous pouvez consulter le nombre d'applications configurées et utilisées.

   • Les applications configurées sont celles associées à une règle d'accès (approuvée ou bloquée). Si vous n'avez approuvé ni bloqué aucune application, vous avez 0 application configurée.
   • Les applications utilisées sont des applications tierces utilisées par les utilisateurs ayant accédé aux données Google.
3. Cliquez sur Gérer l'accès des applications tierces.
   Les applications configurées s'affichent par défaut. Vous pouvez consulter les éléments suivants :
   • Nom de l'application
   • Type
   • Identifiant
   • État de validation : les applications validées ont été examinées par Google afin de s'assurer qu'elles respectent certaines règles. De nombreuses applications bien connues ne bénéficient pas forcément d'une telle validation. Pour en savoir plus, consultez Qu'est-ce qu'une application tierce validée ?
   • Accès : précise si le niveau d'accès est défini sur Approuvée ou Bloquée.
4. (Facultatif) Pour afficher les applications utilisées, cliquez sur Afficher la liste dans la section Applications utilisées.

   Pour les applications utilisées, vous pouvez également consulter les éléments suivants :

   • Utilisateurs : nombre d'utilisateurs accédant à l'application.
   • Services demandés : API des services Google (habilitations OAuth2) utilisées par les applications (par exemple, Gmail, Agenda et Google Drive). Les services demandés non-Google sont listés dans la catégorie Autre.
5. Dans la liste Applications configurées ou Applications utilisées, cliquez sur l'une d'entre elles pour l'examiner :
   • Définir si votre application peut accéder aux services Google. : vérifiez si l'application est marquée comme approuvée, limitée ou bloquée. Si vous modifiez la configuration d'accès, cliquez sur Enregistrer.
   • Afficher les informations concernant l'application : vous pouvez consulter l'ID client OAuth2 complet de l'application, le nombre d'utilisateurs, les règles de confidentialité et les informations d'assistance.
   • Afficher les API de service Google (habilitations OAuth) demandées par l'application : vous pouvez consulter la liste des habilitations OAuth demandées par chaque application. Pour afficher toutes les habilitations OAuth, développez la ligne du tableau ou cliquez sur Tout développer. 
6. (Facultatif) Pour télécharger les informations sur l'application dans un fichier CSV, cliquez sur Télécharger la liste en haut de la liste Applications configurées ou Applications utilisées.
   • Toutes les données du tableau sont téléchargées (y compris celles que vous n'avez pas affichées).
   • Pour les applications configurées, le fichier CSV contient les colonnes supplémentaires qui ne sont pas visibles dans le tableau : nombre d'utilisateurs, services demandés, champs d'application d'API associés à chaque service. Si une application configurée n'a pas été utilisée, le nombre d'utilisateurs pour cette application affiche 0, les deux autres colonnes sont vides.

La validation des applications est un programme de Google visant à garantir que les applications tierces qui accèdent à des données client sensibles sont soumises à des contrôles de sécurité et de confidentialité. Il se peut que les utilisateurs ne puissent pas activer les applications non validées que vous n'avez pas autorisées. Pour en savoir plus, consultez les informations plus bas sur l'approbation des applications. Pour en savoir plus sur la validation des applications, consultez Autoriser les applications tierces non validées.

Vous pouvez restreindre l'accès à la plupart des services Google Workspace, par exemple les services Google Cloud tels que Machine Learning. Pour Gmail et Google Drive, vous pouvez restreindre spécifiquement l'accès aux services à haut risque (par exemple, envoyer des messages depuis Gmail ou supprimer des fichiers dans Drive). Les utilisateurs sont invités à autoriser les applications, mais si l'une d'entre elles demande l'accès à un service restreint et que vous ne l'avez pas spécifiquement approuvée, ils ne pourront pas l'ajouter. 

1. Connectez-vous à la Console d'administration Google.

   Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

2. Sur la page d'accueil de la console d'administration, accédez à SécuritéCommandes des API.
3. Cliquez sur Gérer les services Google.
4. Dans la liste des services, cochez les cases correspondant aux services que vous souhaitez gérer.
   Cochez la case Service pour cocher toutes les cases. 
5. (Facultatif) Pour filtrer cette liste, cliquez sur Ajouter un filtre, puis sélectionnez l'un des critères suivants :
   • Services Google : sélectionnez un service dans la liste, par exemple Drive ou Gmail, puis cliquez sur Appliquer.
   • Accès aux services Google : sélectionnez Pas de restriction ou Accès limité, puis cliquez sur Appliquer.
   • Applications autorisées : spécifiez une plage de valeurs pour le nombre d'applications autorisées, puis cliquez sur Appliquer.
   • Utilisateurs : spécifiez une plage de valeurs pour le nombre d'utilisateurs, puis cliquez sur Appliquer.
6. En haut de la page, cliquez sur Modifier l'accès et sélectionnez Pas de restriction ou Accès limité.
   Si vous changez l'accès pour le régler sur "Accès limité", les applications déjà installées que vous n'avez pas approuvées cessent de fonctionner, et les jetons sont révoqués. Lorsqu'un utilisateur tente d'installer une application dont l'habilitation est limitée, il reçoit un message l'informant qu'elle est bloquée. Les restrictions d'accès au service Drive limitent également l'accès à l'API Google Forms.
   Remarque : La liste des applications consultées est mise à jour 48 heures après l'attribution ou la révocation d'un jeton.
7. (Facultatif) Si vous avez choisi Accès limité, pour autoriser l'accès aux habilitations OAuth qui ne sont pas classées comme à haut risque (par exemple, les habilitations autorisant les applications à accéder aux fichiers sélectionnés par l'utilisateur dans Drive), cochez l'option Pour les applications non approuvées, autoriser les utilisateurs à accorder un accès aux habilitations OAuth ne présentant pas un risque élevé. Cette option s'affiche pour les applications telles que Gmail et Drive, mais pas pour toutes les applications.
8. Cliquez sur Modifier et confirmez votre choix, si nécessaire.
9. (Facultatif) Pour vérifier quelles applications ont accès à un service : 
   1. En haut, pour Applications utilisées, cliquez sur Afficher la liste.
   2. Cliquez sur Ajouter un filtreServices demandés.
   3. Sélectionnez les services que vous consultez, puis cliquez sur Appliquer.

Limiter l'accès aux habilitations OAuth à haut risque

Dans Gmail et Drive, il est également possible de limiter l'accès à une liste prédéfinie d'habilitations OAuth à haut risque.

Pour Gmail, les habilitations OAuth à haut risque sont les suivantes :

• https://mail.google.com/
• https://www.googleapis.com/auth/gmail.compose
• https://www.googleapis.com/auth/gmail.insert
• https://www.googleapis.com/auth/gmail.metadata
• https://www.googleapis.com/auth/gmail.modify
• https://www.googleapis.com/auth/gmail.readonly
• https://www.googleapis.com/auth/gmail.send
• https://www.googleapis.com/auth/gmail.settings.basic
• https://www.googleapis.com/auth/gmail.settings.sharing
  Pour en savoir plus sur les habilitations de Gmail, consultez le guide Choisir les habilitations Auth.

Pour Drive, les habilitations OAuth à haut risque sont les suivantes :

• https://www.googleapis.com/auth/drive
• https://www.googleapis.com/auth/drive.apps.readonly
• https://www.googleapis.com/auth/drive.metadata
• https://www.googleapis.com/auth/drive.metadata.readonly
• https://www.googleapis.com/auth/drive.readonly
• https://www.googleapis.com/auth/drive.scripts
• https://www.googleapis.com/auth/documents
  Pour en savoir plus sur les habilitations de Drive, consultez Informations sur l'autorisation et l'authentification spécifiques aux API.

Vous pouvez gérer l'accès à certaines applications en les bloquant, en les marquant comme approuvées ou en n'autorisant l'accès qu'aux services Google non restreints. Une application approuvée a accès à tous les services Google Workspace (habilitations OAuth), y compris les services restreints. Les applications que vous n'approuvez pas ont uniquement accès aux services non restreints.

1. Connectez-vous à la Console d'administration Google.

   Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

2. Sur la page d'accueil de la console d'administration, accédez à SécuritéCommandes des API.
3. Pour Contrôle de l'accès des applications, cliquez sur Gérer l'accès des applications tierces.
4. Pour Applications configurées, cliquez sur Afficher la liste.
5. (Facultatif) Pour filtrer la liste, cliquez sur Ajouter un filtre, puis sélectionnez une option : 
   • Nom de l'application : saisissez le nom de l'application, puis cliquez sur Appliquer.
   • Type : sélectionnez Application Web, iOS ou Android, puis cliquez sur Appliquer.
   • ID : saisissez l'ID de l'application, puis cliquez sur Appliquer.
   • État de validation : sélectionnez Validée par Google, puis cliquez sur Appliquer pour consulter les applications qui ont été vérifiées par Google et respectent certaines règles. Pour en savoir plus, consultez Qu'est-ce qu'une application tierce validée ?
   • Accès : cochez l'option Approuvée ou Bloquée, puis cliquez sur Appliquer.
6. Placez le curseur sur une application, puis cliquez sur Modifier l'accès. Vous pouvez également cocher les applications de votre choix en haut de la page, puis cliquer sur Modifier l'accès. Vous pouvez également approuver toutes les applications appartenant au domaine ou bloquer des applications pour qu'elles ne puissent accéder à aucun service Google Workspace.
7. Sélectionnez une option :
   • Approuvée : l'approbation d'une application prévaut sur une restriction du service. Les applications appartenant à Google, telles que le navigateur Chrome, sont automatiquement approuvées. Elles ne peuvent donc pas être configurées en tant que telles. 
   • Limitée : peut uniquement accéder aux services Google non restreints
   • Bloquée : ne peut accéder à aucun service Google
     Si vous ajoutez une application pour les appareils à la liste d'autorisation, mais que vous la bloquez également à l'aide de commandes d'API, cette application est bloquée. Le blocage de l'application sur la page des commandes des API prévaut sur la liste d'autorisation.
8. Cliquez sur Modifier.
   Si vous modifiez l'accès d'une application de Limitée à Approuvée ou Bloquée, l'application est ajoutée à la liste des applications configurées. Si vous modifiez l'accès à Limitée, l'application est supprimée de la liste des applications configurées. Si vous modifiez l'accès à Limitée et que l'application n'a aucun utilisateur actif, elle ne sera affichée dans la liste qu'une fois qu'un utilisateur l'aura activée.

Ajouter une application

1. Sous Contrôle de l'accès des applications, cliquez sur Gérer l'accès des applications tierces.
2. Pour Applications configurées, cliquez sur Ajouter une application.
3. Sélectionnez Nom de l'application ou ID client OAuth, Android ou iOS.
4. Saisissez le nom de l'application ou l'ID client, puis cliquez sur Rechercher.
5. Placez le curseur sur l'application, puis cliquez sur Sélectionner.
6. Cochez les cases des ID client que vous souhaitez configurer, puis cliquez sur Sélectionner.
7. Sélectionnez Approuvée ou Bloquée, puis cliquez sur Configurer.

Les utilisateurs doivent autoriser l'ajout des applications Web. Cependant, sur Google Workspace Marketplace et pour les applications approuvées uniquement, vous pouvez installer un domaine pour contourner cette obligation.

Personnaliser le message concernant une application non autorisée

Bloquer l'accès à toutes les API tierces

Vous pouvez bloquer l'accès à toutes les API tierces pour que l'accès aux données des utilisateurs soit refusé aux sites et applications tiers. Ce paramètre bloque toutes les habilitations OAuth, y compris celles associées aux connexions. Autrement dit, les utilisateurs ne pourront plus se connecter avec Google à des applications ou des sites tiers.

1. Connectez-vous à la Console d'administration Google.

   Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

2. Sur la page d'accueil de la console d'administration, accédez à SécuritéCommandes des API.
3. Pour Contrôle de l'accès des applications, dans la section Paramètres, cochez la case Bloquer l'accès à toutes les API tierces cliquez sur Enregistrer.

Certains paramètres remplacent les paramètres d'API. Par exemple, si une application est explicitement approuvée, l'utilisateur peut toujours y accéder, même si vous cochez l'option Bloquer l'accès à toutes les API tierces.

Autoriser les applications internes à accéder aux API Google Workspace dont l'accès est limité

Si vous développez des applications en interne (appartenant à votre organisation), vous pouvez toutes les approuver pour qu'elles puissent accéder aux API Google Workspace dont l'accès est limité. Cela vous évite de les approuver une par une.

1. Connectez-vous à la Console d'administration Google.

   Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

2. Sur la page d'accueil de la console d'administration, accédez à SécuritéCommandes des API.
3. Sous Contrôle de l'accès des applications, cochez Approuver les applications internes appartenant au domainecliquez sur Enregistrer.