Specificare quali app di terze parti e interne possono accedere ai dati di Google Workspace

Per gestire le app in base al sistema operativo del dispositivo mobile, visita questa pagina.

Puoi specificare quali app di terze parti e di proprietà del dominio possono accedere ai dati sensibili di Google Workspace. Il controllo dell'accesso delle app regola l'accesso ai servizi di Google Workspace tramite OAuth 2.0. Per facilitare l'accesso, le app più moderne e sicure utilizzano gli ambiti OAuth 2.0, ovvero delle raccolte di procedure dette anche API esterne. Questi ambiti consentono di fornire l'accesso a dati utente limitati provenienti dalla maggior parte dei servizi di Google Workspace, come Gmail, Google Drive, Calendar e Contatti. Puoi utilizzare la funzionalità Controllo accesso app per: 

  • Limitare l'accesso alla maggior parte dei servizi di Google Workspace o lasciarlo senza restrizioni.
  • Contrassegnare come attendibili app specifiche in modo che possano accedere a servizi di Google Workspace soggetti a restrizioni.
  • Contrassegnare come attendibili tutte le app di proprietà del dominio.

Per stabilire quali app di terze parti e interne possono accedere ai dati di Google Workspace e per trovare informazioni dettagliate sulle app di terze parti già in uso, segui le istruzioni riportate di seguito. Puoi anche personalizzare il messaggio di errore visualizzato dagli utenti quando tentano di installare un'app non autorizzata.

Utilizzare la funzionalità Controllo accesso app

Apri tutto   |   Chiudi tutto

Esaminare le app di terze parti presenti nel tuo ambiente

Prima di implementare i controlli, esamina l'elenco delle app autorizzate ad accedere ai dati di Google Workspace.

Nota: in genere i dettagli sulle app di terze parti vengono visualizzati nei risultati entro 24-48 ore.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Dalla home page della Console di amministrazione, vai a "" e poi Sicurezza e poi Controllo accesso app.
  3. In Controllo accesso app, seleziona GESTISCI L'ACCESSO DELLE APP DI TERZE PARTI.
  4. Visualizza i dettagli delle app nella tabella delle app. 
    Sono visualizzati questi dettagli: 
    • Nome app
    • Tipo
    • ID
    • Stato verificato: le app verificate sono state esaminate da Google per garantire la conformità a determinati criteri. Tieni presente che molte app note potrebbero non essere verificate in questo modo. Per maggiori dettagli, vedi Che cos'è un'app di terze parti verificata?
    • Utenti: numero di utenti che accedono all'app.
    • Servizi richiesti: API dei servizi Google (ambiti OAuth2) utilizzate da ogni app (ad esempio, Gmail, Calendar o Drive). I servizi non visualizzati nella scheda SERVIZI GOOGLE sono elencati come Altro.
    • Accesso: specifica Attendibili, Con restrizioni o Bloccate.
  5. Fai clic sulla riga della tabella di un'app per aprire la pagina dei dettagli dell'app. Da questa pagina puoi eseguire le operazioni seguenti:
    • Visualizzare o modificare l'impostazione che consente all'app di accedere ai servizi Google: verifica se l'app è contrassegnata come attendibile, con restrizioni o bloccata. Se modifichi la configurazione dell'accesso, fai clic su SALVA.
    • Visualizzare informazioni sull'app: sono inclusi l'ID client OAuth2 completo dell'app, il numero di utenti, le norme sulla privacy e le informazioni relative all'assistenza.
    • Visualizzare le API dei servizi Google (ambiti OAuth) richieste dall'app: dalla sezione Servizi richiesti della pagina dei dettagli dell'app, puoi visualizzare l'elenco degli ambiti OAuth richiesti da ogni app. Per visualizzare ciascuno degli ambiti OAuth, assicurati di espandere la riga della tabella o fai clic su ESPANDI TUTTO
  6. (Facoltativo) Scarica le informazioni delle app.

    Puoi scaricare tutte le informazioni della tabella delle app facendo clic su Informazioni sul download delle app. Questa opzione consente di scaricare in un file CSV i metadati delle app riportati in tutte le pagine della tabella.

La verifica app è un programma di Google per garantire che le app di terze parti che accedono ai dati sensibili dei clienti superino i controlli per la sicurezza e per la privacy. Agli utenti potrebbe essere impedita l'attivazione di app non verificate che non hai impostato come attendibili (vedi qui sotto i dettagli sull'impostazione delle app come attendibili). Per ulteriori informazioni sulla verifica app, vedi Autorizzare applicazioni di terze parti non verificate.

Gestire l'accesso ai servizi Google: con o senza restrizioni

Puoi limitare (o lasciare senza restrizioni) l'accesso alla maggior parte dei servizi di Google Workspace, inclusi i servizi Google Cloud come, ad esempio, Machine Learning. Per Gmail e Google Drive, puoi limitare in modo specifico l'accesso agli ambiti ad alto rischio (ad esempio l'invio in Gmail o l'eliminazione di file su Drive). Agli utenti viene richiesto di acconsentire alle app; tuttavia, se un'app che non hai specificamente impostato come attendibile utilizza ambiti limitati, gli utenti non potranno aggiungerla. 

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Dalla home page della Console di amministrazione, vai a "" e poi Sicurezza e poi Controllo accesso app.
  3. In Controllo accesso app, fai clic su GESTISCI I SERVIZI GOOGLE.
  4. Dall'elenco dei servizi, seleziona le caselle corrispondenti ai servizi che vuoi gestire.

    Se necessario, fai clic su Aggiungi un filtro per ridurre la dimensione dell'elenco utilizzando i criteri seguenti:
    Servizi Google: seleziona una voce dall'elenco dei servizi, ad esempio Drive o Gmail, e fai clic su APPLICA.
    Accesso ai servizi Google: seleziona Senza restrizioni o Con restrizioni e fai clic su APPLICA.
    App consentite: specifica un intervallo per il numero di app consentite e fai clic su APPLICA.
    Utenti: specifica un intervallo per il numero di utenti e fai clic su APPLICA.

    I servizi Google che puoi controllare includono:
    • Google Workspace:
      • Amministratore di Google Workspace
      • Gmail
      • Drive
      • Calendar
      • Contatti
      • Vault
      • Classroom
      • Tasks
      • Gruppi
      • Cloud Search
      • Apps Script Runtime
        Controlla l'accesso ai progetti che richiedono determinati ambiti ad alto rischio specifici per i progetti Apps Script, ad esempio UrlFetch UI Container. Questo controllo si applica anche ai componenti aggiuntivi e agli script sia interni sia esterni all'organizzazione. Il controllo Apps Script Runtime funziona in tandem con i controlli dell'API Apps Script e non li sostituisce per le app di Apps Script.
      • API Apps Script
        Controlla l'accesso a qualsiasi progetto (ad esempio, Apps Script, Google CloudAWS e così via) che richiede ambiti per l'API Apps Script, ad esempio Manage Projects (Gestisci progetti) e Manage Deployments (Gestisci implementazioni).

    • Google Cloud:
      • Cloud (include tutti i servizi Google Cloud tranne Machine Learning e fatturazione Cloud).
      • Machine Learning (include Cloud Video Intelligence, l'API Cloud Speech, l'API Cloud Natural Language, l'API Cloud Translation e l'API Cloud Vision)
      • Cloud Billing
  5. Dopo aver selezionato i servizi dall'elenco, fai clic su Modifica accesso.

    Per un solo servizio, seleziona una riga nella tabella. Fai clic su Modifica accesso all'estrema destra.
    Per più servizi, fai clic sulle caselle di controllo nella tabella. Nella parte superiore della tabella, fai clic su Modifica accesso.
     
  6. Per modificare l'accesso, scegli una delle opzioni seguenti:

    Senza restrizioni: qualsiasi app approvata dall'utente può accedere a un servizio
    Con restrizioni: solo le app attendibili possono accedere a un servizio
     
  7. Fai clic su CAMBIA.
    Nella pagina Servizi Google, la colonna Accesso indica lo stato dell'accesso per i servizi: Senza restrizioni o Con restrizioni.
  8. (Facoltativo) Per rivedere quali app possono accedere a un servizio: 
    1. Sopra la tabella, fai clic su APP.
    2. Fai clic su Aggiungi un filtroe poiServizi richiesti.
    3. Seleziona i servizi che stai controllando e fai clic su APPLICA.
      Vengono visualizzate le app che hanno accesso agli ambiti OAuth dei servizi e il relativo stato di attendibilità.

Dopo che avrai modificato gli ambiti impostandoli su Con restrizioni, tutte le app installate in precedenza che non hai impostato come attendibili smetteranno di funzionare e i token verranno revocati. Se un utente tenta di installare un'app che ha un ambito soggetto a restrizioni, riceve un messaggio che indica che l'app è bloccata.

Ambiti OAuth ad alto rischio di Gmail e Drive

Gmail e Drive possono anche limitare l'accesso a un elenco predefinito di ambiti OAuth ad alto rischio.

Per Gmail, gli ambiti OAuth ad alto rischio sono:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

    Per maggiori dettagli sugli ambiti Gmail, vedi l'articolo Scegliere gli ambiti di autenticazione.

Per Drive, gli ambiti OAuth ad alto rischio sono:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Per maggiori dettagli sugli ambiti Drive, vedi l'articolo Informazioni sulle autorizzazioni.
Gestire l'accesso alle app attendibili, con restrizioni o bloccate

Dalla pagina Controllo accesso app, puoi gestire l'accesso a determinate app bloccandole, contrassegnandole come attendibili o concedendo l'accesso solo ai servizi Google non soggetti a restrizioni. 

Puoi impostare come attendibili app specifiche che devono accedere a tutti i servizi di Google Workspace (ambiti OAuth) oppure decidere di considerare attendibili tutte le app di proprietà del dominio. Impostando come attendibili le app, consenti agli utenti di installare anche app che non sono state verificate dal nostro team addetto al controllo dei comportamenti illeciti. Le app che non imposti come attendibili hanno accesso limitato alle API Google Workspace e possono accedere solo a servizi senza restrizioni. Hai anche la possibilità di bloccare le app in modo che non possano accedere ad alcun servizio di Google Workspace.

Suggerimento: agli utenti viene richiesto di acconsentire all'aggiunta di app web; tuttavia, sul Google Workspace Marketplace e solo per le app approvate, puoi aggirare la schermata di consenso ricorrendo all'installazione nel dominio.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Dalla home page della Console di amministrazione, vai a "" e poi Sicurezza e poi Controllo accesso app.
  3. In Controllo accesso app, fai clic su GESTISCI L'ACCESSO DELLE APP DI TERZE PARTI.
  4. Dall'elenco di app, seleziona le caselle corrispondenti alle app che vuoi gestire.

    Se necessario, fai clic su Aggiungi un filtro per ridurre le dimensioni dell'elenco utilizzando i criteri seguenti:
    • Nome app: digita il nome dell'app nel campo Contiene e fai clic su APPLICA.
    • Tipo: scegli Applicazione web, iOS o Android e fai clic su APPLICA.
    • ID: digita una stringa nel campo Corrispondenze e fai clic su APPLICA.
    • Stato verificato: le app verificate sono state esaminate da Google per garantire la conformità a determinati criteri. Tieni presente che molte app note potrebbero non essere verificate in questo modo. Per maggiori dettagli, vedi Che cos'è un'app di terze parti verificata?
    • Utenti: specifica un intervallo per il numero di utenti e fai clic su APPLICA.
    • Servizi richiesti: scegli servizi come Gmail o Drive e fai clic su APPLICA.
    • Accesso: fai clic su Attendibili, Con restrizioni o Bloccate e fai clic su APPLICA.
  5. Dopo aver selezionato le app dall'elenco, fai clic su Modifica accesso.
  6. Per modificare l'accesso, scegli una delle opzioni seguenti:
     
    • Attendibili: accesso consentito a tutti i servizi Google
    • Con restrizioni: sono accessibili solo i servizi Google non soggetti a limitazioni
    • Bloccato: accesso ai servizi Google non consentito
    Nota: se aggiungi un'app per i dispositivi a una lista consentita, ma allo stesso tempo la blocchi utilizzando i controlli API, l'app viene bloccata (il blocco dell'app nella pagina dei controlli API sostituisce l'inserimento nella lista consentita)
     
  7. Fai clic su CAMBIA.
    Nella pagina delle app, la colonna Accesso contiene lo stato dell'accesso per le app: Attendibile, Con restrizioni o Bloccato.

Nota: se modifichi l'accesso di un'app attendibile o bloccata impostando lo stato su Con restrizioni, se l'app non ha utenti attivi scomparirà dall'elenco finché non la aggiungi di nuovo o non viene attivata da un utente.

Per gestire le app non incluse nell'elenco:

  1. In Controllo accesso app, fai clic su GESTISCI L'ACCESSO DELLE APP DI TERZE PARTI.
  2. Fai clic su Configura nuova app e scegli Nome app o ID client OAuth, Android o IOS.
  3. Digita il nome dell'app, quindi fai clic su CERCA.
  4. Nell'elenco dei risultati di ricerca, fai clic su Seleziona per l'app che vuoi gestire.
    Nota: se per la configurazione scegli Nome app o ID client OAuth, seleziona le caselle corrispondenti agli ID client che vuoi configurare, quindi fai clic su SELEZIONA.
  5. Scegli una delle seguenti opzioni:

    Attendibile: può accedere a tutti i servizi Google
    Bloccate: non può accedere ad alcun servizio Google
     
  6. Fai clic su CONFIGURA.

    Nella pagina delle app, nella colonna Accesso viene visualizzato lo stato dell'accesso per le app: Attendibile o Bloccato.
Blocca l'accesso di tutte le API di terze parti

Dalla pagina dei controlli API, puoi bloccare tutti gli accessi da parte di API di terze parti. Grazie alla potenza di questo controllo, le richieste di accesso ai dati utente da parte di app e siti web di terze parti vengono rifiutate. Questa impostazione blocca tutti gli ambiti OAuth, inclusi gli ambiti di accesso, per cui gli utenti non potranno più utilizzare la funzionalità Accedi con Google su app e siti web di terze parti.

Importante: gli utenti potranno accedere alle app indicate come attendibili in modo esplicito e ad app di proprietà di domini attendibili anche quando attivi l'impostazione Blocca l'accesso di tutte le API di terze parti. Per maggiori dettagli sulle app attendibili, vedi Gestire l'accesso alle app attendibili, con restrizioni o bloccate e Consentire alle app interne l'accesso con restrizioni alle API Google Workspace.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Dalla home page della Console di amministrazione, vai a "" e poi Sicurezza e poi Controllo accesso app.
  3. In Controllo accesso app, seleziona la casella Blocca l'accesso di tutte le API di terze parti e fai clic su SALVA.
Consentire alle app interne l'accesso con restrizioni alle API Google Workspace

Se crei delle app interne, puoi impostarle tutte come attendibili e concedere loro l'accesso senza restrizioni ai servizi di Google Workspace. In caso contrario, dovrai impostarle come attendibili individualmente.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Dalla home page della Console di amministrazione, vai a "" e poi Sicurezza e poi Controllo accesso app.
  3. In Controllo accesso app, seleziona la casella Considera attendibili le app interne e di proprietà del dominio e fai clic su SALVA.

Le app di proprietà del dominio includono:

  • Progetti di Google Apps Script creati da utenti all'interno dell'organizzazione
  • App associate all'organizzazione in Google Cloud Console 

Nota: quando consideri attendibili app interne di proprietà del dominio, ma allo stesso tempo imposti l'accesso delle app di terze parti in modo da bloccarne una, l'app verrà bloccata (vedi Gestire l'accesso alle app attendibili, con restrizioni o bloccate).

Personalizzare il messaggio di rifiuto per l'app

A seconda del servizio e dell'app specifici, quando un utente tenta di installare un'app web di terze parti viene visualizzata una schermata di consenso o di rifiuto. Puoi personalizzare la schermata di rifiuto. Ad esempio, potresti aggiungere le informazioni di contatto per l'assistenza.  

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Dalla home page della Console di amministrazione, vai a "" e poi Sicurezza e poi Controllo accesso app.
  3. In Controllo accesso app, vai alla sezione Impostazioni.
  4. Digita il tuo testo personalizzato nella casella sotto questo messaggio: Mostra questo messaggio se un utente prova a utilizzare un'app che non può accedere ai servizi Google soggetti a restrizioni.
  5. Fai clic su SALVA.

Argomenti correlati

È stato utile?
Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Accedi per scoprire altre opzioni di assistenza che ti consentiranno di risolvere rapidamente il tuo problema