Specificare quali app di terze parti e interne possono accedere ai dati di Google Workspace

Prima di implementare i controlli, esamina l'elenco delle app autorizzate ad accedere ai dati di Google Workspace. In genere i dettagli sulle app di terze parti vengono visualizzati entro 24-48 ore dall'autorizzazione.

1. Accedi alla Console di amministrazione Google.

   Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

2. Nella home page della Console di amministrazione, vai a SicurezzaControlli API.

   Puoi verificare il numero di app configurate e con accesso ai dati.

   • Le app configurate sono quelle a cui hai già applicato un criterio di accesso (Attendibile o Bloccata). Se non hai impostato nessuna app come attendibile o come bloccata, vedrai (0) app configurate.
   • Le app con accesso ai dati sono app di terze parti utilizzate da utenti e che hanno eseguito l'accesso ai dati di Google.
3. Fai clic su Gestisci l'accesso delle app di terze parti.
   Per impostazione predefinita, vengono visualizzate le app configurate. Puoi verificare:
   • Nome app
   • Tipo
   • ID
   • Stato verificato: le app verificate sono state esaminate da Google per garantire la conformità a determinati criteri. Molte app note potrebbero non essere verificate in questo modo. Per maggiori dettagli, vedi Che cos'è un'app di terze parti verificata?
   • Accesso: indica se l'app è Attendibile o Bloccata.
4. (Facoltativo) Per visualizzare le app con accesso ai dati, nella sezione App con accesso ai dati, fai clic su Visualizza elenco.

   In App con accesso ai dati, puoi anche verificare:

   • Utenti: numero di utenti che accedono all'app.
   • Servizi richiesti: API dei servizi Google (ambiti OAuth2) utilizzate da ciascuna app (ad esempio, Gmail, Google Calendar o Google Drive). I servizi non Google richiesti sono contrassegnati come Altro.
5. Nell'elenco App configurate o App con accesso ai dati, fai clic su un'app da esaminare:
   • Determina se la tua app può accedere ai servizi Google: verifica se l'app è contrassegnata come Attendibile, Con restrizioni o Bloccata. Se modifichi la configurazione dell'accesso, fai clic su Salva.
   • Visualizzare informazioni sull'app: sono inclusi l'ID client OAuth2 completo dell'app, il numero di utenti, le norme sulla privacy e le informazioni relative all'assistenza.
   • Visualizzare le API dei servizi Google (ambiti OAuth) richieste dall'app: visualizza l'elenco degli ambiti OAuth richiesti da ogni app. Per visualizzare ciascuno degli ambiti OAuth, espandi la riga della tabella o fai clic su Espandi tutto. 
6. (Facoltativo) Per scaricare le informazioni sulle app in un file CSV, nella parte superiore dell'elenco App configurate o App con accesso ai dati fai clic su Scarica l'elenco.
   • Verranno scaricati tutti i dati della tabella (inclusi quelli che non hai visualizzato).
   • Per le app Configurate, il file CSV contiene queste colonne aggiuntive, non visibili nella tabella: Users (Utenti), Requested Services (Servizi richiesti) e gli ambiti API associati a ciascun servizio. Tieni presente che, se non è stato eseguito l'accesso a un'app configurata, il numero di utenti dell'app sarà 0, mentre le altre due colonne saranno vuote.

La verifica app è un programma di Google per garantire che le app di terze parti che accedono ai dati sensibili dei clienti superino i controlli per la sicurezza e per la privacy. Agli utenti potrebbe essere impedita l'attivazione di app non verificate che non hai impostato come attendibili (vedi qui sotto sulla pagina i dettagli sull'impostazione delle app come attendibili). Per ulteriori informazioni sulla verifica delle app, vedi Autorizzare applicazioni di terze parti non verificate.

Puoi limitare o lasciare senza restrizioni l'accesso alla maggior parte dei servizi Google Workspace, inclusi i servizi Google Cloud come, ad esempio, il machine learning. Per Gmail e Google Drive, puoi limitare in modo specifico l'accesso ai servizi ad alto rischio, ad esempio l'invio di posta o l'eliminazione di file su Drive. Agli utenti viene richiesto di consentire le app; tuttavia, se un'app che non hai specificamente impostato come attendibile richiede accesso a un servizio limitato, gli utenti non potranno aggiungerla. 

1. Accedi alla Console di amministrazione Google.

   Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

2. Nella home page della Console di amministrazione, vai a SicurezzaControlli API.
3. Fai clic su Gestisci i servizi Google.
4. Dall'elenco dei servizi, seleziona le caselle in corrispondenza dei servizi che vuoi gestire.
   Seleziona la casella Servizio per selezionare tutte le caselle. 
5. (Facoltativo) Per filtrare questo elenco, fai clic su Aggiungi un filtro e seleziona uno dei seguenti criteri:
   • Servizi Google: seleziona uno o più servizi, come Drive o Gmail, e fai clic su Applica.
   • Accesso ai servizi Google: seleziona Senza restrizioni o Con restrizioni e fai clic su Applica.
   • App consentite: specifica un intervallo per il numero di app consentite e fai clic su Applica.
   • Utenti: specifica un intervallo per il numero di utenti e fai clic su Applica.
6. Nella parte superiore della schermata, fai clic su Cambia accesso e scegli Senza restrizioni o Con restrizioni.
   Se modifichi l'accesso a Con restrizioni, tutte le app installate in precedenza che non hai impostato come attendibili smetteranno di funzionare e i token verranno revocati. Se un utente tenta di installare un'app che ha un ambito soggetto a restrizioni, riceve un messaggio che indica che l'app è bloccata. La limitazione dell'accesso al servizio Drive limita anche l'accesso all'API Moduli Google.
   Nota: l'elenco delle app a cui viene eseguito l'accesso viene aggiornato 48 ore dopo la concessione o la revoca di un token.
7. (Facoltativo) Se hai scelto Limitato, per consentire l'accesso agli ambiti OAuth non classificati come ad alto rischio (ad esempio, quelli che consentono alle app di accedere a file selezionati dall'utente su Drive), seleziona la casella Per le app non attendibili, consenti agli utenti di concedere l'accesso agli ambiti OAuth non classificati come ad alto rischio.. Questa casella di controllo viene visualizzata per le app come Gmail e Drive, ma non per tutte le app.
8. Fai clic su Cambia e conferma, se necessario.
9. (Facoltativo) Per rivedere quali app possono accedere a un servizio: 
   1. In alto, per App con accesso ai dati, fai clic su Visualizza elenco.
   2. Fai clic su Aggiungi un filtroServizi richiesti.
   3. Seleziona i servizi che stai controllando e fai clic su Applica.

Limitare l'accesso agli ambiti OAuth ad alto rischio

Gmail e Drive possono anche limitare l'accesso a un elenco predefinito di ambiti OAuth ad alto rischio.

Per Gmail, gli ambiti OAuth ad alto rischio sono:

• https://mail.google.com/
• https://www.googleapis.com/auth/gmail.compose
• https://www.googleapis.com/auth/gmail.insert
• https://www.googleapis.com/auth/gmail.metadata
• https://www.googleapis.com/auth/gmail.modify
• https://www.googleapis.com/auth/gmail.readonly
• https://www.googleapis.com/auth/gmail.send
• https://www.googleapis.com/auth/gmail.settings.basic
• https://www.googleapis.com/auth/gmail.settings.sharing
  Per informazioni dettagliate sugli ambiti Gmail, vai a Scegliere gli ambiti di autenticazione.

Per Drive, gli ambiti OAuth ad alto rischio sono:

• https://www.googleapis.com/auth/drive
• https://www.googleapis.com/auth/drive.apps.readonly
• https://www.googleapis.com/auth/drive.metadata
• https://www.googleapis.com/auth/drive.metadata.readonly
• https://www.googleapis.com/auth/drive.readonly
• https://www.googleapis.com/auth/drive.scripts
• https://www.googleapis.com/auth/documents
  Per informazioni dettagliate sugli ambiti Drive, vedi le informazioni su autorizzazione e autenticazione specifiche dell'API.

Puoi gestire l'accesso a determinate app bloccandole, contrassegnandole come attendibili o concedendo l'accesso solo ai servizi Google non soggetti a restrizioni. Un'app attendibile ha accesso a tutti i servizi di Google Workspace (ambiti OAuth), inclusi i servizi limitati. Le app che non imposti come attendibili possono accedere solo ai servizi non limitati.

1. Accedi alla Console di amministrazione Google.

   Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

2. Nella home page della Console di amministrazione, vai a SicurezzaControlli API.
3. Nella sezione Controllo accesso app, fai clic su Gestisci l'accesso delle app di terze parti.
4. In App configurate, fai clic su Visualizza elenco.
5. (Facoltativo) Per filtrare l'elenco, fai clic su Aggiungi un filtro e seleziona un'opzione: 
   • Nome app: inserisci il nome dell'app e fai clic su Applica.
   • Tipo: scegli Applicazione web, iOS o Android e fai clic su Applica.
   • ID: inserisci l'ID dell'app e fai clic su Applica.
   • Stato verificato: seleziona Verificata da Google e fai clic su Applica per esaminare le app che sono esaminate da Google e che rispettano determinati criteri. Per maggiori dettagli, vedi Che cos'è un'app di terze parti verificata?
   • Accesso: seleziona la casella Attendibile o Bloccata, quindi fai clic su Applica.
6. Posiziona il cursore del mouse su un'app e fai clic su Cambia accesso. In alternativa, seleziona le caselle accanto a più app e fai clic su Cambia accesso nella parte superiore della schermata Puoi decidere di considerare attendibili tutte le app di proprietà del dominio o bloccare le app in modo che non possano accedere ad alcun servizio di Google Workspace. 
7. Scegli un'opzione:
   • Attendibile: l'impostazione di un'app come attendibile prevale sull'eventuale limitazione di un servizio. Le app di proprietà di Google, come il browser Chrome, sono automaticamente considerate attendibili e non possono essere configurate come app attendibili. 
   • Limitato: sono accessibili solo i servizi Google non soggetti a restrizioni.
   • Bloccata: non è consentito l'accesso ad alcun servizio Google.
     Se aggiungi un'app per dispositivi a una lista consentita e blocchi la stessa app tramite i controlli API, l'app sarà bloccata. Il blocco dell'app tramite controlli API prevale sull'inserimento nella lista consentita.
8. Fai clic su Cambia.
   Se modifichi l'accesso di un'app da Con restrizioni ad Attendibile o a Bloccato, l'app viene aggiunta all'elenco App configurate. Se modifichi l'accesso a Con restrizioni, l'app viene rimossa dall'elenco App configurate. Se modifichi l'accesso a Con restrizioni e l'app non ha utenti attivi, non compatità nell'elenco finché non viene attivata da un utente.

Aggiungere una nuova app

1. Nella sezione Controllo accesso app, fai clic su Gestisci l'accesso delle app di terze parti.
2. In App configurate, fai clic su Aggiungi app.
3. Scegli Nome app o ID client OAuth, Android o iOS.
4. Inserisci il nome o l'ID client dell'app, quindi fai clic su Cerca.
5. Posiziona il cursore del mouse sull'app e fai clic su Seleziona.
6. Seleziona le caselle corrispondenti agli ID client che vuoi configurare e fai clic su Seleziona.
7. Seleziona Attendibile o Bloccata, quindi fai clic su Configura.

Agli utenti viene richiesto di acconsentire all'aggiunta di app web; tuttavia, in Google Workspace Marketplace e solo per le app approvate, puoi aggirare la schermata di consenso ricorrendo all'installazione nel dominio.

Personalizzare il messaggio per un'app non autorizzata

Blocca l'accesso di tutte le API di terze parti

Puoi bloccare l'accesso di tutte le API di terze parti in modo che l'accesso ai dati utente da parte di app e siti web di terze parti venga rifiutato. Questa impostazione blocca tutti gli ambiti OAuth, inclusi gli ambiti di accesso, per cui gli utenti non potranno più utilizzare la funzionalità Accedi con Google per app e siti web di terze parti.

1. Accedi alla Console di amministrazione Google.

   Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

2. Nella home page della Console di amministrazione, vai a SicurezzaControlli API.
3. In Controllo accesso app, nella sezione Impostazioni, seleziona la casella Blocca l'accesso di tutte le API di terze partifai clic su Salva.

Alcune impostazioni hanno la precedenza su quelle relative alle API. Ad esempio, se è presente un'app impostata esplicitamente come attendibile, l'utente potrà comunque accedere all'app attendibile anche se selezioni la casella Blocca l'accesso di tutte le API di terze parti.

Consentire alle app interne l'accesso alle API Google Workspace con restrizioni

Se crei delle app interne (di proprietà della tua organizzazione), puoi considerarle tutte attendibili per l'accesso alle API Google Workspace con restrizioni. In questo modo, non è necessario impostarle tutte singolarmente come attendibili.

1. Accedi alla Console di amministrazione Google.

   Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

2. Nella home page della Console di amministrazione, vai a SicurezzaControlli API.
3. In Controllo accesso app, seleziona la casella Considera attendibili le app interne e di proprietà del dominiofai clic su Salva.