Contrôler quelles applications tierces et internes ont accès aux données Google Workspace

Pour gérer les applications en fonction du système d'exploitation des appareils mobiles, consultez cet article.

Vous pouvez contrôler quelles applications tierces et appartenant à un domaine ont accès aux données sensibles de Google Workspace. Le contrôle de l'accès des applications régit l'accès aux services Google Workspace à l'aide du protocole OAuth 2.0. Les applications modernes, plus sécurisées, utilisent les habilitations OAuth 2.0, un mécanisme qui facilite leur accès et le restreint à certains comptes. Ces habilitations donnent accès à des données utilisateur limitées de la plupart des services Google Workspace tels que Gmail, Google Drive, Agenda et Contacts. Voici les possibilités offertes par le contrôle de l'accès des applications :

  • Limiter ou non l'accès à la plupart des services Google Workspace
  • Autoriser des applications spécifiques à accéder à certains services Google Workspace
  • Approuver toutes les applications appartenant au domaine

Pour contrôler quelles applications tierces et internes ont accès aux données Google Workspace, et obtenir des informations sur les applications tierces déjà utilisées, suivez les instructions ci-dessous. Vous pouvez également personnaliser le message d'erreur qui s'affiche pour les utilisateurs lorsqu'ils tentent d'installer une application non autorisée.

Remarques :

  • Les applications appartenant à Google telles que Chrome sont automatiquement approuvées. Elles ne peuvent donc pas être configurées en tant que telles en suivant la procédure "Ajouter une application" décrite dans la section Gérer l'accès aux applications ci-dessous.
  • Dans Google Workspace for Education, d'autres restrictions empêchent les utilisateurs dans les établissements primaires et secondaires d'accéder à certaines applications tierces.

Utiliser le contrôle de l'accès des applications

Tout ouvrir   |   Tout fermer

Examiner les applications tierces dans votre environnement

Avant de mettre en place des contrôles, consultez la liste des applications autorisées à accéder aux données Google Workspace.

Remarque : Les détails qui concernent les applications tierces apparaissent généralement dans les résultats sous 24 à 48 heures.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à SécuritépuisCommandes des API.

    Sous Contrôle de l'accès des applications, la section Vue d'ensemble liste le nombre actuel d'applications configurées et utilisées.

    • Les applications configurées sont celles auxquelles vous avez déjà appliqué une règle d'accès (approuvée ou bloquée). Si vous n'avez approuvé ni bloqué aucune application, vous avez au départ 0 application configurée.
    • Les applications utilisées correspondent à toutes les applications tierces que les utilisateurs de votre domaine ont consultées et qui ont accédé aux données Google.
  3. Cliquez sur GÉRER L'ACCÈS DES APPLICATIONS TIERCES.

    Les applications configurées s'affichent par défaut. Pour voir les applications utilisées, cliquez sur Afficher la liste dans la fiche Applications utilisées en haut de la page.

  4. Les informations suivantes s'affichent pour les applications configurées :
    • Nom de l'application
    • Type
    • Identifiant
    • État de validation : les applications validées ont été examinées par Google afin de s'assurer qu'elles respectent certaines règles. Veuillez noter que de nombreuses applications bien connues ne bénéficient pas forcément d'une telle validation. Consultez Qu'est-ce qu'une application tierce validée ? pour en savoir plus.
    • Accès : précise si le niveau d'accès est défini sur Approuvée ou Bloquée.

    Pour les applications utilisées, les informations supplémentaires suivantes s'affichent :

    • Utilisateurs : nombre d'utilisateurs accédant à l'application.
    • Services demandés : API des services Google (habilitations OAuth2) utilisées par les applications (par exemple, Gmail, Agenda et Drive). Les services qui ne figurent pas dans l'onglet "SERVICES GOOGLE" sont listés sous Autre.
  5. Cliquez sur la ligne d'une application dans le tableau pour ouvrir sa page d'informations. Sur cette page, vous pouvez effectuer les opérations suivantes :
    • Voir si votre application a accès ou non aux services Google, et modifier ce réglage : vérifiez si l'application est marquée comme approuvée, limitée ou bloquée. Si vous modifiez la configuration d'accès, cliquez sur ENREGISTRER.
    • Afficher les informations concernant l'application : vous pouvez consulter l'ID client OAuth2 complet de l'application, le nombre d'utilisateurs, les règles de confidentialité et les informations d'assistance.
    • Afficher les API de service Google (habilitations OAuth) demandées par l'application : dans la section "Services demandés" de la page d'informations de l'application, vous pouvez consulter la liste des habilitations OAuth demandées par chaque application. Pour afficher toutes les habilitations OAuth, développez la ligne du tableau ou cliquez sur Tout développer
  6. (Facultatif) Pour télécharger dans un fichier CSV les informations sur l'application affichées dans le tableau, cliquez sur Exporter la liste en haut de la liste des applications utilisées ou configurées.
    • Toutes les données du tableau sont téléchargées (y compris celles des colonnes qui ne sont pas affichées, car le paramètre Gérer les colonnes "" est activé).
    • Pour les applications configurées, le fichier CSV contient les colonnes supplémentaires qui ne sont pas visibles dans le tableau : nombre d'utilisateurs, services demandés, champs d'application d'API associés à chaque service. Notez que si une application configurée n'a pas été utilisée, le nombre d'utilisateurs pour cette application affiche 0, et les deux autres colonnes sont vides.

La validation des applications est un programme de Google visant à garantir que les applications tierces qui accèdent à des données client sensibles sont soumises à des contrôles de sécurité et de confidentialité. Il se peut que les utilisateurs ne puissent pas activer les applications non validées que vous n'avez pas autorisées. Pour en savoir plus, consultez les informations ci-dessous sur l'approbation des applications. Pour en savoir plus sur la validation des applications, consultez Autoriser les applications tierces non validées.

Gérer l'accès aux services Google : Accès limité ou Pas de restriction

Vous pouvez restreindre l'accès à la plupart des services Google Workspace, par exemple les services Google Cloud tels que Machine Learning. Pour Gmail et Google Drive, vous pouvez restreindre spécifiquement l'accès aux habilitations à haut risque (par exemple, envoyer des messages depuis Gmail ou supprimer des fichiers dans Drive). Les utilisateurs sont invités à autoriser les applications, mais si l'une d'entre elles utilise des habilitations limitées et que vous ne l'avez pas spécifiquement approuvée, ils ne pourront pas l'ajouter.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à SécuritépuisCommandes des API.

    Sous Contrôle de l'accès des applications, la section Vue d'ensemble liste le nombre actuel de services restreints et non restreints.

  3. Cliquez sur GÉRER LES SERVICES GOOGLE.
  4. Dans la liste des services, cochez les cases correspondant aux services que vous souhaitez gérer.

    Si nécessaire, cliquez sur Ajouter un filtre pour réduire la liste à l'aide des critères suivants :
    Services Google : sélectionnez un service tel que Drive ou Gmail, puis cliquez sur Appliquer.
    Accès aux services Google : sélectionnez Pas de restriction ou Accès limité, puis cliquez sur Appliquer.
    Applications autorisées : spécifiez une plage de valeurs pour le nombre d'applications autorisées, puis cliquez sur Appliquer.
    Utilisateurs : spécifiez une plage de valeurs pour le nombre d'utilisateurs, puis cliquez sur Appliquer.

    Les services Google que vous pouvez contrôler sont les suivants :
    • Google Workspace :
      • Administrateur Google Workspace
      • Gmail
      • Drive
      • Agenda
      • Chat
      • Contacts
      • Vault
      • Classroom
      • Keep
      • Tasks
      • Groupes
      • Cloud Search
      • Apps Script Runtime
        Contrôle l'accès aux projets qui nécessitent certaines habilitations à haut risque, spécifiques aux projets Apps Script, tels que UrlFetch et Container UI. Ce paramètre inclut les modules complémentaires et les scripts internes et externes de votre organisation. La commande Apps Script Runtime fonctionne de pair avec les commandes des API Apps Script et ne les remplace pas par des applications Apps Script.
      • API Apps Script
        Contrôle l'accès à tout type de projet (par exemple, Apps Script, Google Cloud, AWS, etc.) qui nécessite des habilitations pour l'API Apps Script (par exemple, Gérer des projets et Gérer des déploiements).

    • Google Cloud :
      • Cloud : comprend tous les services Google Cloud, hormis Machine Learning et Cloud Billing.
      • Machine Learning : comprend Cloud Video Intelligence et les API Cloud Speech, Cloud Natural Language, Cloud Translation et Cloud Vision.
      • Cloud Billing
  5. Après avoir sélectionné les services dans la liste, cliquez sur Modifier l'accès.

    Pour modifier l'accès d'un seul service, pointez sur une ligne du tableau. Tout à droite, cliquez sur Modifier l'accès.
    Pour modifier l'accès de plusieurs services, cochez les cases du tableau. En haut du tableau, cliquez sur Modifier l'accès.
     
  6. Pour modifier l'accès, choisissez l'une des options suivantes :

    Pas de restriction : toutes les applications approuvées par l'utilisateur ont accès à un service.
    Accès limité : seules les applications approuvées ont accès à un service.
     
  7. Cliquez sur MODIFIER.
    Sur la page des services Google, la colonne Accès affiche l'état de l'accès aux services : Pas de restriction ou Accès limité.
  8. (Facultatif) Pour vérifier quelles applications ont accès à un service : 
    1. Au-dessus du tableau, cliquez sur Applications.
    2. Cliquez sur Ajouter un filtre puis Services demandés.
    3. Sélectionnez les services que vous consultez, puis cliquez sur Appliquer.
      Les applications qui ont accès aux habilitations OAuth de ces services s'affichent, ainsi que leur état d'approbation.

Une fois que vous avez défini les habilitations sur "Accès limité", les applications déjà installées que vous n'avez pas approuvées cessent de fonctionner, et les jetons sont révoqués. Lorsqu'un utilisateur tente d'installer une application dont l'habilitation est limitée, il reçoit un message l'informant qu'elle est bloquée.

Remarque : Les restrictions d'accès au service Drive limitent également l'accès à l'API Google Forms.

Habilitations OAuth à haut risque de Gmail et Drive

Dans Gmail et Drive, il est également possible de limiter l'accès à une liste prédéfinie d'habilitations OAuth à haut risque.

Pour Gmail, les habilitations OAuth à haut risque sont les suivantes :

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

    Pour en savoir plus sur les habilitations de Gmail, consultez le guide Choisir les habilitations Auth.

Pour Drive, les habilitations OAuth à haut risque sont les suivantes :

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Pour en savoir plus sur les habilitations de Drive, consultez À propos de l'autorisation.
Gérer l'accès aux applications : "Approuvée", "Limitée" ou "Bloquée"

Sur la page "Contrôle de l'accès des applications", vous pouvez gérer l'accès à certaines applications en les bloquant, en les marquant comme approuvées ou en n'autorisant l'accès qu'aux services Google non restreints. 

Important : L'approbation d'une application prévaut sur la restriction du service. Une application approuvée a accès à tous les services Google Workspace (habilitations OAuth), y compris les services restreints. Les applications que vous n'approuvez pas ont uniquement accès aux services non restreints.

Approuver des applications permet également aux utilisateurs d'installer des applications qui n'ont pas été validées par notre équipe de lutte contre les abus. Vous pouvez également approuver toutes les applications appartenant au domaine ou bloquer des applications pour qu'elles ne puissent accéder à aucun service Google Workspace.

Conseil : Les utilisateurs doivent autoriser l'ajout des applications Web. Cependant, sur Google Workspace Marketplace et pour les applications approuvées uniquement, vous pouvez installer un domaine pour contourner cette obligation.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à SécuritépuisCommandes des API.
  3. Sous Contrôle de l'accès des applications, cliquez sur GÉRER L'ACCÈS DES APPLICATIONS TIERCES.
  4. Dans la fiche Applications utilisées en haut à droite, cliquez sur Afficher la liste.
  5. (Facultatif) Si nécessaire, cliquez sur Ajouter un filtre pour réduire la taille de la liste à l'aide des critères suivants :
    • Nom de l'application : saisissez le nom de l'application dans le champ Contient, puis cliquez sur APPLIQUER.
    • Type : sélectionnez Application Web, iOS ou Android, puis cliquez sur APPLIQUER.
    • ID : saisissez une chaîne de caractères dans le champ Correspondant à, puis cliquez sur APPLIQUER.
    • État de validation : les applications validées ont été examinées par Google afin de s'assurer qu'elles respectent certaines règles. Veuillez noter que de nombreuses applications bien connues ne bénéficient pas forcément d'une telle validation. Consultez Qu'est-ce qu'une application tierce validée ? pour en savoir plus.
    • Utilisateurs : spécifiez une plage de valeurs pour le nombre d'utilisateurs, puis cliquez sur APPLIQUER.
    • Services demandés : sélectionnez des services tels que Gmail ou Drive, puis cliquez sur APPLIQUER.
  6. Pour modifier l'accès d'une application, pointez sur celle-ci dans la liste, puis cliquez sur Modifier l'accès à droite. Pour plusieurs applications, cochez les cases correspondantes, puis cliquez sur Modifier l'accès en haut de la liste.
  7. Pour modifier l'accès, choisissez l'une des options suivantes :
    • Approuvée : peut accéder à l'ensemble des services Google (y compris les services restreints)
    • Limitée : peut uniquement accéder aux services Google non restreints
    • Bloquée : ne peut accéder à aucun service Google
    Remarque : Si vous ajoutez une application pour les appareils à la liste d'autorisation, mais que vous la bloquez également à l'aide de commandes d'API, cette application est bloquée (le blocage de l'application sur la page des commandes des API prévaut sur la liste d'autorisation).
     
  8. Cliquez sur MODIFIER.
    • Dans la liste Applications utilisées, la colonne Accès indique l'accès des applications : Approuvée, Limitée ou Bloquée.
    • Si vous modifiez l'accès d'une application de Limitée à Approuvée ou Bloquée, l'application est ajoutée à la liste des applications configurées.
    • Si vous modifiez l'accès d'une application de Approuvée ou Bloquée à Limitée, l'application est supprimée de la liste des applications configurées. 

Remarque : Si vous passez l'habilitation d'une application de "Approuvée" ou "Bloquée" à "Limitée" et si elle ne comporte aucun utilisateur actif, elle disparaît de la liste jusqu'à ce que vous l'ajoutiez à nouveau ou qu'un utilisateur l'active.

Pour ajouter une application à la liste :

  1. Sous Contrôle de l'accès des applications, cliquez sur GÉRER L'ACCÈS DES APPLICATIONS TIERCES.
  2. En haut de la liste Applications configurées, cliquez sur Ajouter une application.
  3. Sélectionnez Nom de l'application ou ID client OAuth, Android ou iOS.
  4. Saisissez le nom de l'application ou l'ID client, puis cliquez sur RECHERCHER.
  5. Dans la liste des résultats de recherche, cliquez sur Sélectionner pour l'application que vous souhaitez gérer.

    Remarque : Si vous effectuez la configuration à l'aide du nom d'application ou de l'ID client OAuth, cochez les ID client que vous souhaitez configurer, puis cliquez sur SÉLECTIONNER.

  6. Choisissez l'une des options suivantes :
    • Approuvée : peut accéder à l'ensemble des services Google
    • Bloquée : ne peut accéder à aucun service Google
  7. Cliquez sur CONFIGURER.

    Sur la page des applications, la colonne Accès indique l'accès des applications : Approuvée ou Bloquée.

Bloquer l'accès à toutes les API tierces

Sur la page des commandes des API, vous pouvez bloquer l'accès à toutes les API tierces. Ainsi, l'accès aux données des utilisateurs est refusé aux sites et applications tiers. Ce paramètre bloque toutes les habilitations OAuth, y compris celles associées aux connexions. Autrement dit, les utilisateurs ne pourront plus se connecter avec Google à des applications ou des sites tiers.

Important : Lorsque vous activez le paramètre Bloquer l'accès à toutes les API tierces, les utilisateurs auront accès aux applications approuvées explicitement et aux applications approuvées appartenant au domaine. Pour en savoir plus sur les applications approuvées, consultez Gérer l'accès aux applications : "Approuvée", "Limitée" ou "Bloquée" et Autoriser les applications internes à accéder aux API Google Workspace dont l'accès est limité.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à SécuritépuisCommandes des API.
  3. Sous Contrôle de l'accès des applications, cochez Bloquer l'accès à toutes les API tierces et cliquez sur Enregistrer.
Autoriser les applications internes à accéder aux API Google Workspace dont l'accès est limité

Si vous développez des applications en interne, vous pouvez toutes les approuver pour qu'elles puissent accéder aux services Google Workspace restreints. Sinon, vous devrez les approuver une par une.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à SécuritépuisCommandes des API.
  3. Sous Contrôle de l'accès des applications, cochez Approuver les applications internes appartenant au domaine, puis cliquez sur Enregistrer.

Les applications appartenant au domaine sont les suivantes :

  • Projets Google Apps Script créés par les utilisateurs au sein de l'organisation
  • Applications associées à l'organisation dans la console Google Cloud

Remarque : Lorsque vous approuvez des applications internes appartenant au domaine, mais aussi gérez l'accès des applications tierces pour bloquer l'une de ces applications, l'application est bloquée (voir Gérer l'accès aux applications : "Approuvée", "Limitée" ou "Bloquée").

Personnaliser le message de refus pour l'application

Selon le service et l'application, un message de refus ou d'approbation s'affiche lorsqu'un utilisateur tente d'installer une application Web tierce. Vous pouvez personnaliser ce message de refus, en ajoutant par exemple les coordonnées de votre service d'assistance.  

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à SécuritépuisCommandes des API.
  3. Sous Contrôle de l'accès des applications, accédez à la section Paramètres.
  4. Dans le champ situé sous le message suivant Afficher ce message si un utilisateur tente de se servir d'une application non autorisée à accéder aux services Google restreints, saisissez votre texte personnalisé.
  5. Cliquez sur "Enregistrer".

Articles associés

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.

Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
Rechercher dans le centre d'aide
true
73010
false