接続されているアプリのホワイトリスト登録

接続されているアプリへの OAuth に基づくアクセスの管理

Google ドライブまたは Gmail の機密性の高いコンテンツが、サードパーティ製の OAuth アプリまたはアドオンを介して組織のドメイン外と共有されるのを避けたい場合、管理者は OAuth アクセス トークンを取り消すことができます。

また、Gmail、ドライブ、カレンダー、Google Cloud Platform サービス(例: 機械学習)などの G Suite サービスで複数の API スコープを無効にし、これらのスコープへのアクセスを許可するサードパーティ製アプリケーションを個別にホワイトリストに登録することも可能です。

カレンダーなどの G Suite サービスに対して API スコープを無効にしたり、サードパーティ製アプリケーションをホワイトリストに登録したりすると、その API またはアプリケーションによって提供されるすべてのスコープにも適用されます。これには OAuth スコープも含まれます。Gmail などの一部のアプリでは、事前定義された高リスクのスコープに対して、より詳細にアクセス権を管理できます。

アプリのホワイトリスト登録方法

この操作を行うには、特権管理者としてログインする必要があります。

Drive Enterprise をご使用の場合、Gmail またはカレンダーに API アクセスの設定は適用されません。

アプリケーションをホワイトリストに登録するには、まず、サードパーティ製アプリがアクセスできる G Suite API スコープを制限します。次にホワイトリストを作成し、ブロックしたスコープへのアクセスを許可するアプリを定義します。手順は次のとおりです。

ステップ 1: サードパーティ製アプリによる API スコープへのアクセス権を確認する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] にアクセスします。

    [セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [API 権限] をクリックします。
  4. 次のコアサービスに対する API のアクセス権を確認します。
    • G Suite:
      • Gmail
      • ドライブ
      • カレンダー
      • コンタクト
      • 管理コンソール
      • Vault
      • Apps Script Runtime - Apps Script プロジェクトで実行できる操作を制御します。ドメイン内外の App Maker アプリ、アドオン、スクリプトが含まれます。
      • Apps Script API - クライアントが Apps Script API を使用してプロジェクトを管理できるかどうかを制御します。
    • Google Cloud Platform:
      • Cloud Platform - Google Cloud Platform のすべてのサービスを含む(Machine Learning と Cloud Billing は除く)
      • Machine Learning - Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API、Cloud Vision API を含む
      • Cloud Billing
  5. 各 API スコープのアプリのリンクをクリックして、現在コアサービスにアクセスできるアプリを確認します。
  6. (省略可)API の権限、アプリ名、ユーザー数のいずれかで、インストールされているアプリを絞り込めます。
  7. (省略可)信頼できるアプリのリストにアプリを追加するには、右側にあるその他アイコン その他 をクリックし、[信頼する] を選択します。
  8. これらのアプリを確認したら、ホワイトリストの作成に進みます。
ステップ 2: 信頼できるアプリのホワイトリストにアプリを追加する
  1. 管理コンソールのホームページから、[セキュリティ] 次に [API 権限] に移動します。
  2. アプリのリストの下部にある [信頼できるアプリ] をクリックします。
  3. アプリをホワイトリストに登録アイコン 追加 をクリックします。 
    [信頼できるリストへのアプリの追加] ウィンドウが開きます。
  4. [アプリの種類を選択してください] のリストから、次のいずれかを選択します。
    • Android
    • iOS
    • ウェブ アプリケーション - OAuth2 クライアント ID を入力する必要があります。
  5. Android または iOS® では、アプリ名を入力してから [検索] をクリックすると、登録可能なアプリのリストが表示されます。
  6. 下にスクロールして他のアプリを表示します。
  7. アプリのリスト全体が表示されたら、Ctrl+F キーまたは ⌘+F キー(Mac)を押して、アプリ名の全体または一部で検索します。
  8. 追加するアプリの横にあるチェックボックスをオンにして、[追加] をクリックします。
  9. (省略可)制限されている G Suite API へのアクセス権を内部アプリに付与するには、次のようにします。
    1. [セキュリティ] ページに再度アクセスします。
    2. ページ下部の [内部アプリの設定] の横にある [ドメインで所有するアプリを信頼する] チェックボックスをオンにして、[保存] をクリックします。

注: [ドメインで所有するアプリを信頼する] チェックボックスをオフにすると、内部アプリは制限されている G Suite API にアクセスできなくなります。ドメインで所有するアプリには、次のようなものが該当します。

  • ドメイン内のユーザーが作成した Google Apps Script プロジェクト
  • ドメインが所有する Google Cloud Platform Console で組織と関連付けられているアプリ
ステップ 3: 特定の API スコープをブロックする
  1. 管理コンソールのホームページから、[セキュリティ] 次に [API 権限] に移動します。
  2. アプリのリンクをクリックして、影響を受けるアプリを確認します。
    アプリのアクセスを取り消した場合、そのアプリがリストに表示されなくなるまでに最長で 24 時間かかります。
  3. [無効にする] をオンにすると、次の任意のコアサービスに対して API アクセスをブロックできます。
    • G Suite:
      • Gmail
      • ドライブ
      • カレンダー
      • コンタクト
      • 管理コンソール
      • Vault
    • Google Cloud Platform:
      • Cloud Platform - Google Cloud Platform のすべてのサービスを含む(Machine Learning と Cloud Billing は除く)
      • Machine Learning - Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API、Cloud Vision API を含む
      • Cloud Billing
  4. Gmail に対する API アクセスを無効にする場合は、次のいずれかのオプションを選択します。
    • すべてのアクセス - ホワイトリストに登録したアプリを除く、すべてのサードパーティ製アプリをブロックします。
    • ハイリスク アクセス - リスクの高い OAuth スコープを持つサードパーティ製アプリをブロックします。
      • https://mail.google.com/
      • https://www.googleapis.com/auth/gmail.compose
      • https://www.googleapis.com/auth/gmail.insert
      • https://www.googleapis.com/auth/gmail.metadata
      • https://www.googleapis.com/auth/gmail.modify
      • https://www.googleapis.com/auth/gmail.readonly
      • https://www.googleapis.com/auth/gmail.send
      • https://www.googleapis.com/auth/gmail.settings.basic
      • https://www.googleapis.com/auth/gmail.settings.sharing

        Gmail のスコープについて詳しくは、OAuth スコープの設定に関する記事をご覧ください。

  5. ドライブに対する API アクセスを無効にする場合は、次のいずれかのオプションを選択します。
    • すべてのアクセス - ホワイトリストに登録したアプリを除く、すべてのサードパーティ製アプリをブロックします。
    • ハイリスク アクセス - リスクの高い OAuth スコープを使用するサードパーティ製アプリをブロックします。
      • https://www.googleapis.com/auth/drive
      • https://www.googleapis.com/auth/drive.apps.readonly
      • https://www.googleapis.com/auth/drive.metadata
      • https://www.googleapis.com/auth/drive.metadata.readonly
      • https://www.googleapis.com/auth/drive.readonly
      • https://www.googleapis.com/auth/drive.scripts
      • https://www.googleapis.com/auth/documents

        ドライブのスコープについて詳しくは、承認の概要に関する記事をご覧ください。

  6. [保存] をクリックします。

API アクセスを無効にした場合、次のような影響があります。

  • スコープをブロックすると、すべてのインストール済みアプリが動作しなくなり、トークンが取り消されます。
  • ブロックしたスコープを持つアプリをインストールしようとすると、API スコープリストの下にある [ユーザーが権限のないアプリにアクセスしようとしたときに、メッセージが表示されます] にエラー メッセージが表示されます。 デフォルトのメッセージは、必要に応じて編集できます(入力できるメッセージは半角 300 文字(全角 150 文字)までです)。
ステップ 4: ホワイトリストからアプリを削除する
  1. 管理コンソールのホームページから、[セキュリティ] 次に [API 権限] に移動します。
  2. アプリのリストの下部にある [信頼できるアプリ] をクリックします。
  3. ホワイトリストから削除するアプリの横にあるその他アイコン Action menu をクリックし、[削除] を選択します。
この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。