Specificare quali app di terze parti e interne possono accedere ai dati di Google Workspace

Per gestire le app mobile per l'organizzazione, visita questa pagina.

Quando gli utenti accedono ad app di terze parti utilizzando l'opzione "Accedi con Google" (Single Sign-On), puoi controllare in che modo queste app accedono ai dati di Google della tua organizzazione. Le impostazioni della Console di amministrazione Google consentono di gestire l'accesso ai servizi di Google Workspace tramite OAuth 2.0. Alcune app utilizzano gli ambiti OAuth 2.0, un meccanismo che limita l'accesso all'account di un utente. 

Puoi anche personalizzare il messaggio visualizzato dagli utenti quando tentano di installare un'app non autorizzata. 

Nota: per Google Workspace for Education, ulteriori limitazioni potrebbero impedire agli utenti degli istituti di istruzione primaria e secondaria di accedere ad alcune app di terze parti.

Prima di iniziare: esamina le app di terze parti per la tua organizzazione

In Controllo accesso app, puoi controllare le seguenti app di terze parti:

  • App configurate: app configurate con un'impostazione di accesso (attendibile, con restrizioni o bloccato).
  • App con accesso ai dati: app utilizzate dagli utenti che hanno avuto accesso ai dati di Google.
  • App in attesa di revisione (versioni Education): app a cui gli utenti minori di 18 o dell'età minima richiesta nel paese di residenza hanno richiesto l'accesso.

In genere i dettagli sulle app di terze parti vengono visualizzati entro 24-48 ore dall'autorizzazione.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Sicurezzae poiControlli API.
  3. Fai clic su Gestisci l'accesso delle app di terze parti per visualizzare le app configurate. Per filtrare l'elenco di app, fai clic su Aggiungi un filtro e seleziona un'opzione.

    L'elenco delle app mostra il nome, il tipo e l'ID dell'app, oltre alle seguenti informazioni per ogni app:

    • Stato verificato: le app verificate sono state esaminate da Google per garantire la conformità a determinati criteri. Molte app note potrebbero non essere verificate in questo modo. Per maggiori dettagli, vedi Che cos'è un'app di terze parti verificata?
    • Accesso: indica quali unità organizzative hanno un criterio di accesso configurato per l'app. Posiziona il puntatore del mouse su un'app e fai clic su Visualizza dettagli per vedere i livelli di accesso (Attendibile, Con restrizioni o Bloccato). Fai clic su Modifica accesso per modificare il livello di accesso ai dati dell'app
  4. Per visualizzare le app con accesso ai dati, nella sezione App con accesso ai dati, fai clic su Visualizza elenco.

    In App con accesso ai dati, puoi anche verificare:

    • Utenti: numero di utenti che accedono all'app.
    • Servizi richiesti: API dei servizi Google (ambiti OAuth2) utilizzate da ciascuna app (ad esempio, Gmail, Google Calendar o Google Drive). I servizi non Google richiesti sono contrassegnati come Altro.
  5. Nell'elenco App configurate o App con accesso ai dati, fai clic su un'app per accedere alle seguenti funzionalità:
    • Determinare se la tua app può accedere ai servizi Google: verifica se l'app è contrassegnata come Attendibile, Con restrizioni o Bloccato. Se modifichi la configurazione dell'accesso, fai clic su Salva.
    • Visualizzare informazioni sull'app: l'ID client OAuth2 completo dell'app, il numero di utenti, le norme sulla privacy e le informazioni di assistenza.
    • Visualizzare le API dei servizi Google (ambiti OAuth) richieste dall'app: visualizza l'elenco degli ambiti OAuth richiesti da ogni app. Per visualizzare ciascuno degli ambiti OAuth, espandi la riga della tabella o fai clic su Espandi tutto
  6. (Facoltativo) Per scaricare le informazioni sulle app in un file CSV, nella parte superiore dell'elenco App configurate o App con accesso ai dati fai clic su Scarica l'elenco.
    • Verranno scaricati tutti i dati della tabella (inclusi quelli che non hai visualizzato).
    • Per le app configurate, il file CSV contiene le seguenti colonne aggiuntive: Stato verifica, Numero di utenti, Unità organizzativa, Servizi richiesti e Ambiti API associati a ciascun servizio. Se non è stato eseguito l'accesso a un'app configurata, il numero di utenti è zero (0) e le altre due colonne sono vuote.
    • Per le app a cui è stato eseguito l'accesso, il file CSV contiene le seguenti colonne aggiuntive: Stato verifica, Unità organizzativa e ambiti API associati a ciascun servizio.

La verifica app è un programma di Google per garantire che le app di terze parti che accedono ai dati sensibili dei clienti superino i controlli per la sicurezza e per la privacy. Agli utenti potrebbe essere impedita l'attivazione di app non verificate che non hai impostato come attendibili (vedi qui sotto sulla pagina i dettagli sull'impostazione delle app come attendibili). Per saperne di più, vedi Autorizzare app di terze parti non verificate.

Limitare i servizi Google o rimuoverne le restrizioni

Puoi limitare o lasciare senza restrizioni l'accesso alla maggior parte dei servizi Google Workspace, inclusi i servizi Google Cloud come, ad esempio, il machine learning. Di seguito è indicato il significato di ciascuna opzione:

  • Con restrizioni: solo le app configurate con un'impostazione di accesso attendibile possono accedere ai dati.
  • Senza restrizioni: le app configurate con un'impostazione di accesso attendibile o con restrizioni possono accedere ai dati.

Ad esempio, se imposti l'accesso di Calendar come Con restrizioni, solo le app configurate con un accesso attendibile possono accedere ai dati di Calendar. Le app con accesso Con restrizioni non possono accedere ai dati di Calendar. 

Nota: per Gmail, Google Drive e Google Chat, puoi limitare specificamente l'accesso ai servizi ad alto rischio (ad esempio l'invio di posta o l'eliminazione di file su Drive). 

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Sicurezzae poiControlli API.
  3. Fai clic su Gestisci i servizi Google.
  4. Dall'elenco dei servizi, seleziona le caselle in corrispondenza dei servizi che vuoi gestire. Per selezionare tutte le caselle, seleziona la casella Servizio
  5. (Facoltativo) Per filtrare questo elenco, fai clic su Aggiungi un filtro e seleziona uno dei seguenti criteri:
    • Servizi Google: seleziona un servizio dall'elenco e fai clic su Applica.
    • Accesso ai servizi Google: seleziona Senza restrizioni o Con restrizioni e fai clic su Applica.
    • App consentite: specifica un intervallo per il numero di app consentite e fai clic su Applica.
    • Utenti: specifica un intervallo per il numero di utenti e fai clic su Applica.
  6. Nella parte superiore della schermata, fai clic su Cambia accesso e scegli Senza restrizioni o Con restrizioni.
    Se modifichi l'accesso a Con restrizioni, tutte le app installate in precedenza che non hai impostato come attendibili smetteranno di funzionare e i token verranno revocati. Se un utente tenta di installare (o accedere a) un'app che non hai impostato come attendibile e che accede a un servizio limitato, viene avvisato che l'app è bloccata. La limitazione dell'accesso al servizio Drive limita anche l'accesso all'API Google Forms.
    Nota: l'elenco delle app con accesso ai dati viene aggiornato 48 ore dopo la concessione o la revoca di un token.
  7. (Facoltativo) Se hai scelto Con restrizioni, per consentire l'accesso agli ambiti OAuth non classificati come ad alto rischio (ad esempio, quelli che consentono alle app di accedere a file selezionati dall'utente su Drive), seleziona la casella Per le app non attendibili, consenti agli utenti di concedere l'accesso agli ambiti OAuth non classificati come ad alto rischio.. (Questa casella viene visualizzata per app come Gmail e Drive, ma non per tutte le app.)
  8. Fai clic su Cambia e conferma, se necessario.
  9. (Facoltativo) Per rivedere quali app possono accedere a un servizio: 
    1. In alto, per App con accesso ai dati, fai clic su Visualizza elenco.
    2. Fai clic su Aggiungi un filtroe poiServizi richiesti.
    3. Seleziona i servizi che stai controllando e fai clic su Applica.

Limitare l'accesso agli ambiti OAuth ad alto rischio

Gmail, Google Drive e Google Chat possono anche limitare l'accesso a un elenco predefinito di ambiti OAuth ad alto rischio.

Ambiti OAuth ad alto rischio di Gmail
  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

Per maggiori dettagli sugli ambiti di Gmail, vedi Scegliere gli ambiti delle API Gmail.

Ambiti OAuth ad alto rischio di Drive
  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents

Per maggiori dettagli sugli ambiti di Drive, vedi Scegliere gli ambiti di API Google Drive.

Ambiti OAuth ad alto rischio di Chat
  • https://www.googleapis.com/auth/chat.delete
  • https://www.googleapis.com/auth/chat.import
  • https://www.googleapis.com/auth/chat.messages
  • https://www.googleapis.com/auth/chat.messages.readonly

Per maggiori dettagli sugli ambiti di Chat, vedi Ambiti di API Chat.

Gestire l'accesso delle app di terze parti ai servizi Google e aggiungere le app

Puoi gestire l'accesso a determinate app bloccandole o contrassegnandole come attendibili o con restrizioni. Un'app attendibile ha accesso a tutti i servizi di Google Workspace (ambiti OAuth), inclusi i servizi limitati. Puoi inserire nella lista consentita le app configurate utilizzando gli ID client OAuth per mantenere l'accesso all'API (interfaccia di programmazione di un'applicazione) ai servizi Google Workspace anche quando questi servizi hanno criteri di accesso sensibile al contesto che si applicano all'accesso tramite API. Un'app limitata può accedere soltanto ai servizi non limitati. Puoi modificare l'impostazione di accesso ai dati di un'app dall'elenco delle app o dalla pagina delle informazioni sull'app.

Modificare l'accesso dall'elenco delle app
  1. In Controlli API e poiControllo accesso app, fai clic su Gestisci l'accesso delle app di terze parti.

  2. Nell'elenco di app configurate o nell'elenco di app a cui è stato eseguito l'accesso, posiziona il puntatore del mouse su un'app e fai clic su Modifica accesso. In alternativa, seleziona le caselle accanto a più app e fai clic su Modifica accesso  in cima all'elenco. 
  3. Seleziona le unità organizzative per cui configurare l'accesso:
    • Per applicare l'impostazione a tutti gli utenti, lascia selezionata l'unità organizzativa di primo livello.
    • Per applicare l'impostazione a unità organizzative specifiche, fai clic su Seleziona unità organizzativee poiIncludi organizzazioni, quindi seleziona le unità organizzative specifiche.
  4. Fai clic su Avanti
  5. Scegli un'opzione:
    • Attendibile: l'app può accedere a tutti i servizi Google, sia a quelli soggetti a restrizioni che a quelli non soggetti a restrizioni. Le app di proprietà di Google, come il browser Chrome, sono automaticamente considerate attendibili e non possono essere configurate come app attendibili.
      (Facoltativo) Affinché le app selezionate mantengano l'accesso API ai servizi Google Workspace anche quando hanno criteri di accesso sensibile al contesto che si applicano all'accesso API, seleziona Lista consentita per l'esenzione dai blocchi di accesso API in accesso sensibile al contesto. Questa opzione è selezionabile solo per le app web, Android o iOS aggiunte utilizzando gli ID client OAuth. Se selezioni questa opzione, l'app non verrà esclusa automaticamente dai blocchi di accesso alle API. Devi inoltre escludere l'app durante le assegnazioni dei livelli di accesso sensibile al contesto. Questa lista consentita si applica solo alle unità organizzative specificate nel passaggio 3.
    • Con restrizioni: sono accessibili solo i servizi Google non soggetti a restrizioni.
    • Bloccato: non è consentito l'accesso ad alcun servizio Google.
      Se aggiungi un'app per dispositivi a una lista consentita e blocchi la stessa app tramite i controlli API, l'app sarà bloccata. Il blocco dell'app tramite controlli API prevale sull'inserimento nella lista consentita.
  6. Fai clic su Avanti.
  7. Rivedi l'impostazione di ambito e accesso, poi fai clic su Modifica accesso.
Modifica l'accesso dalla pagina delle informazioni sull'app

Guarda il video

Change access from the app information page

Modificare l'accesso alle app

  1. Fai clic su un'app nell'elenco, quindi su Accesso ai dati di Google.
  2. Fai clic sul gruppo o sull'unità organizzativa per cui vuoi impostare l'accesso ai dati. Per impostazione predefinita, è selezionata l'unità organizzativa di primo livello e la modifica si applica all'intera organizzazione.
  3. Scegli un livello di accesso ai dati.
  4. Fai clic su Salva.
  5. (Facoltativo) Applica impostazioni diverse a unità organizzative diverse, a seconda delle esigenze. Ad esempio:
    • Per bloccare l'accesso di un'app a tutti i dati degli utenti, seleziona l'unità organizzativa di primo livello e scegli Bloccato.
    • Per bloccare l'accesso di un'app solo ai dati di alcuni utenti, imposta l'accesso su Attendibile per l'unità organizzativa di primo livello e su Bloccato per un'unità organizzativa secondaria che contiene quegli utenti. Fai clic su Salva dopo ogni impostazione dell'unità organizzativa.
Aggiungere una nuova app
  1. In Controllo accesso app, fai clic su Gestisci l'accesso delle app di terze parti.
  2. In App configurate, fai clic su Aggiungi app.
  3. Scegli Nome app o ID client OAuth(seleziona questa opzione per inserire l'app in un'altra lista consentita dall'esenzione API), Android o iOS.
  4. Inserisci il nome o l'ID client dell'app, quindi fai clic su Cerca.
  5. Posiziona il cursore del mouse sull'app e fai clic su Seleziona.
  6. Seleziona le caselle corrispondenti agli ID client che vuoi configurare e fai clic su Seleziona.
  7. Seleziona per chi desideri configurare l'accesso:
    1. Per impostazione predefinita, è selezionata l'unità organizzativa di primo livello. Lascia questa opzione selezionata per impostare l'accesso per tutti gli utenti della tua organizzazione.
    2. Per configurare l'accesso per unità organizzative specifiche, fai clic su Seleziona unità organizzative, quindi fai clic su + per visualizzare le unità organizzative. Seleziona le unità organizzative desiderate, quindi fai clic su Seleziona.
  8. Fai clic su Continua.
  9. Scegli un'opzione:
    • Attendibile: l'app può accedere a tutti i servizi Google, sia a quelli soggetti a restrizioni che a quelli non soggetti a restrizioni.
      (Facoltativo) Affinché le app selezionate mantengano l'accesso API ai servizi Google Workspace anche quando hanno criteri di accesso sensibile al contesto che si applicano all'accesso API, seleziona Lista consentita per l'esenzione dai blocchi di accesso API in accesso sensibile al contesto. Questa opzione è selezionabile solo per le app web, Android o iOS aggiunte utilizzando gli ID client OAuth. Se selezioni questa opzione, l'app non verrà esclusa automaticamente dai blocchi di accesso alle API. Devi inoltre escludere l'app durante le assegnazioni dei livelli di accesso sensibile al contesto. Questa lista consentita si applica solo alle unità organizzative specificate nel passaggio 7. 
    • Con restrizioni: può accedere solo a servizi Google non soggetti a restrizioni.
    • Bloccato: non è consentito l'accesso ad alcun servizio Google.
      Se aggiungi un'app per dispositivi a una lista consentita e blocchi la stessa app tramite i controlli API, l'app sarà bloccata. Il blocco dell'app tramite controlli API prevale sull'inserimento nella lista consentita.
  10. Controlla le impostazioni della nuova app, poi fai clic su Fine.

Agli utenti viene richiesto di acconsentire all'aggiunta di app web. Puoi ignorare la schermata per il consenso in Google Workspace Marketplace (solo per le app approvate) tramite l'installazione nel dominio.

Scegliere le impostazioni per le app non configurate

Le app di terze parti che non hai configurato come attendibili, con restrizioni o bloccate (come descritto nella sezione Gestire l'accesso delle app di terze parti ai servizi Google e aggiungere le app) sono considerate app non configurate. Puoi controllare cosa succede quando gli utenti tentano di accedere ad app non configurate con il proprio Account Google.

Guarda il video

Find the settings for unconfigured apps

Trovare le impostazioni

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Sicurezzae poiControlli API.
  3. Fai clic su Impostazioni per espandere il gruppo di impostazioni.
  4. Per applicare un'impostazione a tutti gli utenti, lascia selezionata l'unità organizzativa di primo livello. Altrimenti, seleziona un'unità organizzativa secondaria.
  5. Seleziona le impostazioni. Per scoprire di più, vai a Impostazioni app non configurate.
  6. Fai clic su Salva

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più

Impostazioni di app non configurate

Messaggio utente personalizzato

Questo è un messaggio personalizzato da mostrare agli utenti quando non possono accedere a un'app bloccata. Per creare un messaggio personalizzato, seleziona On e inserisci un messaggio. 

Se il messaggio personalizzato è disattivato o non può essere mostrato, gli utenti visualizzeranno un messaggio predefinito.

App di terze parti non configurate

Questa impostazione controlla cosa succede quando gli utenti tentano di accedere ad app non configurate con il proprio Account Google. Gli utenti possono comunque accedere alle app configurate con Accesso attendibile o con accesso con restrizioni, indipendentemente da questa impostazione. 

Scegli un'opzione:

  • Consenti agli utenti di accedere alle app di terze parti (impostazione predefinita): gli utenti possono accedere con Google a qualsiasi app di terze parti. Le app a cui è stato eseguito l'accesso possono richiedere dati di Google senza restrizioni per l'utente in questione.
  • Consenti agli utenti di accedere ad app di terze parti che richiedono solo le informazioni di base necessarie per Accedi con Google: gli utenti possono accedere con Google alle app di terze parti che richiedono solo le informazioni di base del profilo, ovvero il nome dell'Account Google, l'indirizzo email e l'immagine del profilo dell'utente. Per ulteriori informazioni, visita la pagina Usare l'Account Google per accedere ad altri servizi o app.
  • Non consentire agli utenti di accedere alle app di terze parti: gli utenti non possono accedere con Google ad app di terze parti e a siti web finché non configuri queste app e questi siti con un'impostazione di accesso. Per maggiori dettagli, vedi Gestire l'accesso delle app di terze parti ai servizi Google e aggiungere app.

Versioni di Google Workspace for Education : puoi scegliere impostazioni diverse per gli utenti maggiori o minori di 18 anni (o dell'età minima richiesta nel proprio paese). Se utilizzi questa impostazione per bloccare le app di terze parti, puoi consentire agli utenti minori di 18 anni (o dell'età minima richiesta nel proprio paese) di richiedere l'accesso a queste app bloccate tramite l'impostazione Richieste di accesso ad app non configurate da parte degli utenti.

App interne

In questo modo le app interne create dalla tua organizzazione possono accedere alle API Google Workspace con restrizioni. 

Per consentire l'accesso API a tutte le app interne, seleziona la casella Considera attendibili le app interne.

Richieste utente per accedere ad app non configurate

Questa funzionalità è disponibile solo con le versioni di Google Workspace for Education.

Questa opzione consente agli utenti minori di 18 anni (o dell'età minima richiesta nel proprio paese) di richiedere l'accesso alle app bloccate con l'impostazione App di terze parti non configurate.

Quando un utente richiede l'accesso a un'app, gli amministratori ricevono una notifica e possono scegliere di configurare un'impostazione di accesso che consenta agli utenti di accedere alle app. 

Per consentire agli utenti di richiedere l'accesso, seleziona la casella Consenti agli utenti di richiedere l'accesso ad app di terze parti non configurate.

Argomenti correlati

È stato utile?

Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
App Google
Menu principale