接続済みアプリをホワイトリストに登録する

接続済みアプリに対する OAuth ベースのアクセスを管理する

Google ドライブや Gmail の機密性の高いコンテンツが、サードパーティ製の OAuth アプリやアドオンを介して組織のドメイン外と共有されるのを避けたい場合は、特権管理者が OAuth アクセス トークンを取り消します。

また、Gmail、ドライブ、カレンダー、Google Cloud Platform サービス(Machine Learning など)を含む G Suite サービスで複数の API スコープを無効にし、これらのスコープにアクセスできるサードパーティ製アプリケーションを個別にホワイトリストに登録することも可能です。

カレンダーなどの G Suite サービスに対して API スコープを無効にしたり、サードパーティ製アプリケーションをホワイトリストに登録したりすると、その API またはアプリケーションによって提供されるすべてのスコープにも適用されます。これには OAuth スコープも含まれます。Gmail などの一部のアプリでは、事前定義されたリスクの高いスコープに対して、より厳密にアクセスを制御できます。

アプリケーションをホワイトリストに登録するには、まず、サードパーティ製アプリがアクセスできる G Suite API スコープを制限します。その後、[セキュリティ] の [API 権限] の設定を使用してホワイトリストを作成し、ブロック対象のスコープへのアクセスを許可するアプリを指定します。

アプリをホワイトリストに登録する手順

ステップ 1. サードパーティ製アプリによる API スコープへのアクセス権を確認する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[セキュリティ] にアクセスします。

    [セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [API 権限] をクリックします。
  4. 次のコアサービスに対する API のアクセス権を確認します。
    • G Suite:
      • Gmail
      • ドライブ
      • カレンダー
      • コンタクト
      • 管理コンソール
      • Vault
    • Google Cloud Platform:
      • Cloud Platform - Google Cloud Platform のすべてのサービスを含む(Machine Learning と Cloud Billing は除く)
      • Machine Learning - Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API、Cloud Vision API を含む
      • Cloud Billing
  5. (省略可)API の権限、アプリ名、ユーザー数のいずれかで、インストールされているアプリを絞り込めます。
  6. [アプリ] をクリックして、現在コアサービスにアクセスできるアプリを確認します。
  7. これらのアプリを確認したら、次にホワイトリストを作成します。
ステップ 2. 信頼できるアプリのホワイトリストを作成する
  1. 管理コンソールのダッシュボードから、[セキュリティ] 次へ [API 権限] にアクセスします。
  2. アプリのリストの下部で [信頼できるアプリ] をクリックします。
  3. ホワイトリストへの登録アイコン 追加 をクリックします。 
    [信頼できるリストへのアプリの追加] ウィンドウが開きます。
  4. [アプリの種類を選択してください] のリストから、次のいずれかを選択します。
    • Android
    • iOS
    • ウェブ アプリケーション - OAuth2 クライアント ID を入力する必要があります。
  5. Android または iOS® の場合は、アプリ名を入力してから [検索] をクリックすると、登録可能なアプリのリストが表示されます。
  6. 下にスクロールして他のアプリを表示します。
  7. アプリのリスト全体が表示されたら、Ctrl+F キーまたは ⌘+F キー(Mac)を押して、アプリ名の全体または一部で検索します。
  8. 追加するアプリの横にあるチェックボックスをオンにして、[追加] をクリックします。
  9. (省略可)制限されている G Suite API へのアクセス権を内部アプリに付与するには:
    1. [セキュリティ] ページに再度アクセスします。
    2. ページ下部の [内部アプリの設定] の横にある [信頼するドメインが所有するアプリです] のチェックボックスをオンにして、[保存] をクリックします。

注: [信頼するドメインが所有するアプリです] のチェックボックスをオフにすると、内部アプリは制限されている G Suite API にアクセスできなくなります。ドメインが所有するアプリには、次のようなものが該当します。

  • ドメイン内のユーザーが作成した Google Apps Script プロジェクト
  • ドメインが所有する Google Cloud Platform Console で組織と関連付けられているアプリ
ステップ 3. 特定の API スコープをブロックする
  1. 管理コンソールのダッシュボードから、[セキュリティ] 次へ [API 権限] にアクセスします。
  2. [アプリ] をクリックして、影響を受けるアプリを確認します。
    アプリのアクセスを取り消した場合、そのアプリがリストに表示されなくなるまでに最長で 24 時間かかります。
  3. [無効にする] のラジオボタンをオンにして、次の任意のコアサービスに対して API アクセスをブロックします。
    • G Suite:
      • Gmail
      • ドライブ
      • カレンダー
      • コンタクト
      • 管理コンソール
      • Vault
    • Google Cloud Platform:
      • Cloud Platform - Google Cloud Platform のすべてのサービスを含む(Machine Learning と Cloud Billing は除く)
      • Machine Learning - Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API、Cloud Vision API を含む
      • Cloud Billing

注: Gmail やドライブの API の場合は、メニューを使用してすべてのアクセスを無効にしたり、リスクの高いアクセスのみを無効にしたりします。リスクの高いアクセスとは、ユーザーの代わりにアプリケーションがメールを送信する場合や、機密データへのアクセスを許可する場合などが該当します。

API アクセスを無効にした場合、次のような影響があります。

  • スコープをブロックすると、インストール済みのアプリのすべてが動作しなくなり、トークンが取り消されます。
  • ブラックリストに登録された API スコープを持つアプリをインストールしようとすると、次のエラー メッセージが表示されます。

    アカウント データへのアクセスは、組織のポリシーによって制限されています。詳しくは、管理者にお問い合わせください。 

ステップ 4. ホワイトリストからアプリを削除する
  1. 管理コンソールのダッシュボードから、[セキュリティ] 次へ [API 権限] にアクセスします。
  2. アプリのリストの下部で [信頼できるアプリ] をクリックします。
  3. ホワイトリストから削除するアプリの横にあるその他アイコン Action menu をクリックし、[削除] を選択します。
この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。