接続済みアプリをホワイトリストに登録する

接続済みアプリに対する OAuth ベースのアクセスを管理する

Google ドライブや Gmail の機密性の高いコンテンツが、サードパーティ製の OAuth アプリやアドオンを介して組織のドメイン外と共有されるのを避けたい場合は、特権管理者が OAuth アクセス トークンを取り消します。

また、Gmail、ドライブ、カレンダー、Google Cloud Platform サービス(機械学習など)を含む G Suite サービスで複数の API スコープを無効にし、これらのスコープにアクセスできるサードパーティ製アプリケーションを個別にホワイトリストに登録することも可能です。Drive Enterprise エディションをご利用の場合、Gmail とカレンダーに API アクセスの設定は適用されません。

カレンダーなどの G Suite サービスに対して API スコープを無効にしたり、サードパーティ製アプリケーションをホワイトリストに登録したりすると、その API またはアプリケーションによって提供されるすべてのスコープにも適用されます。これには OAuth スコープも含まれます。Gmail などの一部のアプリでは、事前定義された高リスクのスコープに対して、より詳細にアクセス権を管理できます。

アプリケーションをホワイトリストに登録するには、まず、サードパーティ製アプリがアクセスできる G Suite API スコープを制限します。次に、[セキュリティ] の [API 権限] の設定を使ってホワイトリストを作成し、ブロック対象のスコープへのアクセスを許可するアプリを指定します。

アプリをホワイトリストに登録する手順

ステップ 1. サードパーティ製アプリによる API スコープへのアクセス権を確認する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[セキュリティ] にアクセスします。

    [セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [API 権限] をクリックします。
  4. 次のコアサービスに対する API のアクセス権を確認します。
    • G Suite:
      • Gmail
      • ドライブ
        • 端末での Android 版 Google ドライブへのアクセスを、ホワイトリストに登録された Android アプリのみに制限するオプションが含まれます。
      • カレンダー
      • コンタクト
      • 管理コンソール
      • Vault
      • Apps Script Runtime - Apps Script プロジェクトで実行できる操作を制御します。ドメイン内外の App Maker アプリ、アドオン、スクリプトが含まれます。
      • Apps Script API - クライアントが Apps Script API を使用してプロジェクトを管理できるかどうかを制御します。
    • Google Cloud Platform:
      • Cloud Platform - Google Cloud Platform のすべてのサービスを含む(Machine Learning と Cloud Billing は除く)
      • Machine Learning - Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API、Cloud Vision API を含む
      • Cloud Billing
  5. (省略可)API の権限、アプリ名、ユーザー数のいずれかで、インストールされているアプリを絞り込めます。
  6. [アプリ] をクリックして、現在コアサービスにアクセスできるアプリを確認します。
  7. これらのアプリを確認したら、次にホワイトリストを作成します。
ステップ 2. 信頼できるアプリのホワイトリストを作成する
  1. 管理コンソールのホームページから、[セキュリティ] 次へ [API 権限] にアクセスします。
  2. アプリのリストの下部にある [信頼できるアプリ] をクリックします。
  3. アプリをホワイトリストに登録アイコン 追加 をクリックします。 
    [信頼できるリストへのアプリの追加] ウィンドウが開きます。
  4. [アプリの種類を選択してください] のリストから、次のいずれかを選択します。
    • Android
    • iOS
    • ウェブ アプリケーション - OAuth2 クライアント ID を入力する必要があります。
  5. Android または iOS® の場合は、アプリ名を入力してから [検索] をクリックすると、登録可能なアプリのリストが表示されます。
  6. 下にスクロールして他のアプリを表示します。
  7. アプリのリスト全体が表示されたら、Ctrl+F キーまたは ⌘+F キー(Mac)を押して、アプリ名の全体または一部で検索します。
  8. 追加するアプリの横にあるチェックボックスをオンにして、[追加] をクリックします。
  9. (省略可)制限されている G Suite API へのアクセス権を内部アプリに付与するには:
    1. [セキュリティ] ページに再度アクセスします。
    2. ページ下部の [内部アプリの設定] の横にある [信頼するドメインが所有するアプリです] のチェックボックスをオンにして、[保存] をクリックします。

注: [信頼するドメインが所有するアプリです] のチェックボックスをオフにすると、内部アプリは制限されている G Suite API にアクセスできなくなります。ドメインが所有するアプリには、次のようなものが該当します。

  • ドメイン内のユーザーが作成した Google Apps Script プロジェクト
  • ドメインが所有する Google Cloud Platform Console で組織と関連付けられているアプリ
ステップ 3. 特定の API の操作をブロックする
  1. 管理コンソールのホームページから、[セキュリティ] 次へ [API 権限] にアクセスします。
  2. アプリのリンクをクリックして、影響を受けるアプリを確認します。
    アプリのアクセスを取り消した場合、そのアプリがリストに表示されなくなるまでに最長で 24 時間かかります。
  3. [無効にする] をオンにすると、次の任意のコアサービスに対して API アクセスをブロックできます。
    • G Suite:
      • Gmail
      • ドライブ
        • (ドライブでは省略可能)Android 版 Google ドライブへの Android アプリのアクセスを制限するには、[無効にする] をオンにし、[端末でのアクセスをブロック(ドライブ)] チェックボックスをオンにします。こうすると、Android アプリがホワイトリストに登録されていない場合や、Android アプリが Gmail などの自社製 Google アプリではない場合、ドライブへのアクセスがブロックされます。
      • カレンダー
      • コンタクト
      • 管理コンソール
      • Vault
    • Google Cloud Platform:
      • Cloud Platform - Google Cloud Platform のすべてのサービスを含む(Machine Learning と Cloud Billing は除く)
      • Machine Learning - Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API、Cloud Vision API を含む
      • Cloud Billing
  4. Gmail に対する API アクセスを無効にする場合は、次のいずれかのオプションを選択します。
    • すべてのアクセス - ホワイトリストに登録したアプリを除く、すべてのサードパーティ製アプリをブロックします。
    • ハイリスク アクセス - リスクの高い OAuth スコープを持つサードパーティ製アプリをブロックします。
      • https://mail.google.com/
      • https://www.googleapis.com/auth/gmail.compose
      • https://www.googleapis.com/auth/gmail.insert
      • https://www.googleapis.com/auth/gmail.metadata
      • https://www.googleapis.com/auth/gmail.modify
      • https://www.googleapis.com/auth/gmail.readonly
      • https://www.googleapis.com/auth/gmail.send
      • https://www.googleapis.com/auth/gmail.settings.basic
      • https://www.googleapis.com/auth/gmail.settings.sharing
        Gmail のスコープについて詳しくは、Auth スコープの選択に関する記事をご覧ください。
  5. ドライブに対する API アクセスを無効にする場合は、次のいずれかのオプションを選択します。
    • すべてのアクセス - ホワイトリストに登録したアプリを除く、すべてのサードパーティ製アプリをブロックします。
    • ハイリスク アクセス - リスクの高い OAuth スコープを持つサードパーティ製アプリをブロックします。
      • https://www.googleapis.com/auth/drive
      • https://www.googleapis.com/auth/drive.apps.readonly
      • https://www.googleapis.com/auth/drive.metadata
      • https://www.googleapis.com/auth/drive.metadata.readonly
      • https://www.googleapis.com/auth/drive.readonly
      • https://www.googleapis.com/auth/drive.scripts
        ドライブのスコープについて詳しくは、承認の概要をご覧ください。
  6. [保存] をクリックします。

API アクセスを無効にした場合、次のような影響があります。

  • スコープをブロックすると、インストール済みのアプリのすべてが動作しなくなり、トークンが取り消されます。
  • ブラックリストに登録された API スコープを持つアプリをインストールしようとすると、次のエラー メッセージが表示されます。

    アカウント データへのアクセスは、組織のポリシーによって制限されています。詳しくは、管理者にお問い合わせください。 

ステップ 4. ホワイトリストからアプリを削除する
  1. 管理コンソールのホームページから、[セキュリティ] 次へ [API 権限] にアクセスします。
  2. アプリのリストの下部にある [信頼できるアプリ] をクリックします。
  3. ホワイトリストから削除するアプリの横にあるその他アイコン Action menu をクリックし、[削除] を選択します。
この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。