Controlar quais apps internos e de terceiros acessam os dados do Google Workspace

Para gerenciar apps para dispositivos móveis na sua organização, acesse este link .

É possível controlar como os apps acessam os dados do Google Workspace da sua organização. Use as configurações no Google Admin Console para controlar o acesso aos serviços do Google Workspace pelo OAuth 2.0. Alguns apps usam os escopos do OAuth 2.0, um mecanismo para limitar o acesso à conta de um usuário. 

Você também pode personalizar a mensagem de erro que os usuários veem quando tentam instalar um app não autorizado. 

Observação: no Google Workspace for Education, restrições adicionais podem impedir que os usuários em instituições de ensino fundamental e médio acessem determinados apps de terceiros.

Controlar o acesso de apps aos dados do Google Workspace

Expandir tudo  |  Recolher tudo

Antes de começar: revise os apps de terceiros autorizados

Antes de implementar os controles, consulte a lista de apps autorizados a acessar os dados do Google Workspace. Os detalhes sobre os apps de terceiros geralmente aparecem de 24 a 48 horas após a autorização.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurançae depoisControles da API.

    É possível revisar o número de apps configurados e acessados.

    • Os apps configurados são aqueles que têm uma política de acesso (confiável ou bloqueado). Se você não tiver definido um app como "Confiável" ou "Bloqueado", não verá apps configurados.
    • Os apps acessados são apps de terceiros usados por usuários que acessaram dados do Google.
  3. Clique em Gerenciar o acesso de apps de terceiros.
    Os apps configurados são exibidos por padrão. Você pode conferir:
    • Nome do app
    • Tipo
    • Código
    • Status verificado: o Google analisa os apps verificados para garantir compliance com determinadas políticas. Muitos apps conhecidos talvez não sejam verificados dessa maneira. Veja mais detalhes em O que é um app de terceiros verificado?.
    • Acesso: especifica "Confiável" ou "Bloqueado".
  4. (Opcional) Para ver os apps acessados, clique em Ver lista na seção Apps acessados.

    Em Apps acessados, também é possível verificar:

    • Usuários: mostra o número de usuários que acessam o app.
    • Serviços solicitados: APIs de serviço do Google (escopos do OAuth2) que cada app está usando (por exemplo, Gmail, Agenda ou Google Drive). Os serviços não solicitados pelo Google são listados como Outros.
  5. Na lista Apps configurados ou Apps acessados, clique em um app para analisar o seguinte:
    • Gerenciar o acesso do app aos Serviços do Google: verifique se ele está marcado como "Confiável", "Limitado" ou "Bloqueado". Se você alterar a configuração de acesso, clique em Salvar.
    • Ver informações sobre o app: veja o ID do cliente OAuth2 do app, o número de usuários, a Política de Privacidade e as informações de suporte.
    • Ver as APIs de serviço do Google (escopos do OAuth) que o app está solicitando: veja uma lista dos escopos do OAuth solicitados por cada app. Para ver cada um dos escopos do OAuth, expanda a linha da tabela ou clique em Expandir tudo
  6. (Opcional) Para fazer o download das informações do app em um arquivo CSV, clique em Fazer download da lista na parte de cima da lista Apps configurados ou Apps acessados.
    • Todos os dados da tabela são salvos (inclusive os que não foram exibidos).
    • Na lista de apps configurados, o arquivo CSV contém colunas extras que não estão visíveis na tabela: "Número de usuários", "Serviços solicitados" e "Escopos da API" associados a cada serviço. Se um app configurado não tiver sido acessado, o número de usuários desse app será zero, e as outras duas colunas ficarão em branco.

A verificação de apps é um programa do Google para que apps de terceiros que acessam dados confidenciais de clientes passem por verificações de segurança e privacidade. Os usuários podem ser impedidos de ativar apps não verificados e identificados como não confiáveis. Veja abaixo o que fazer para marcar apps como confiáveis. Veja mais informações sobre a verificação de apps em Autorizar apps de terceiros não verificados.

Etapa 2: restringir ou cancelar a restrição de Serviços do Google

É possível restringir ou não o acesso à maioria dos serviços do Google Workspace, inclusive aos serviços do Google Cloud, como o aprendizado de máquina. No Gmail e no Google Drive, você pode restringir especificamente o acesso a serviços de alto risco, por exemplo, enviar e-mails do Gmail ou excluir arquivos no Drive. Os usuários precisam permitir a instalação de apps. No entanto, se um app solicitar acesso a um serviço restrito e não estiver marcado como confiável, os usuários não poderão adicioná-lo.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurançae depoisControles da API.
  3. Clique em Gerenciar Serviços do Google.
  4. Na lista, marque as caixas dos serviços ao lado daqueles que você quer gerenciar.
    Selecione todos de uma vez marcando a caixa de seleção Serviço
  5. (Opcional) Para filtrar essa lista, clique em Adicionar um filtro e selecione um dos seguintes critérios:
    • Serviços do Google: selecione uma opção na lista de serviços, como o Drive ou o Gmail, e clique em Aplicar.
    • Acesso aos serviços do Google: selecione Não restrito ou Restrito e clique em Aplicar.
    • Apps permitidos: especifique um intervalo para o número de apps permitidos e clique em Aplicar.
    • Usuários: especifique um intervalo para o número de usuários e clique em Aplicar.
  6. Na parte de cima, clique em Alterar acesso e escolha Não restrito ou Restrito.
    Se você mudar o acesso para "Restrito", os apps instalados que não foram marcados como confiáveis deixarão de funcionar, e os tokens serão revogados. Quando um usuário tentar instalar um app com escopo restrito, ele receberá uma notificação informando que o app está bloqueado. Restringir o acesso ao serviço do Drive também restringe o acesso à API Google Forms.
    Observação: a lista de apps acessados é atualizada 48 horas depois que um token é concedido ou revogado.
  7. (Opcional) Se você escolheu Restrito para permitir o acesso a escopos OAuth que não são classificados como de alto risco (por exemplo, escopos que permitem que os apps acessem arquivos selecionados pelo usuário no Drive), marque a caixa de seleção Para apps não confiáveis, permitir que os usuários concedam acesso a escopos OAuth não classificados como de alto risco. Essa caixa de seleção será exibida para aplicativos como o Gmail e o Google Drive, mas não para todos.
  8. Clique em Alterar e confirme, se necessário.
  9. (Opcional) Para analisar quais apps têm acesso a um serviço: 
    1. Na parte superior, em Apps acessados, clique em Ver lista.
    2. Clique em Adicionar um filtroe depoisServiços solicitados.
    3. Selecione os serviços que você está verificando e clique em Aplicar.

Restringir o acesso a escopos OAuth de alto risco

O Gmail e o Drive também podem restringir o acesso a uma lista predefinida de escopos do OAuth de alto risco.

Estes são os escopos do OAuth de alto risco do Gmail:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    Veja mais detalhes sobre os escopos do Gmail em Escolher escopos do Auth.

Estes são os escopos do OAuth de alto risco do Drive:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Veja mais detalhes sobre os escopos do Drive em Informações de autorização e autenticação específicas da API.
Etapa 3: gerenciar o acesso de apps de terceiros aos Serviços do Google e adicionar apps

Para gerenciar o acesso a determinados apps, basta bloqueá-los, marcá-los como confiáveis ou fornecer acesso apenas a Serviços do Google não restritos. Um app confiável tem acesso a todos os serviços do Google Workspace (escopos do OAuth), inclusive os restritos. Apps em que você não confia só podem acessar serviços sem restrições.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurançae depoisControles da API.
  3. Em Controle de acesso de apps, clique em Gerenciar o acesso de apps de terceiros.
  4. Em Apps configurados, clique em Ver lista.
  5. (Opcional) Para filtrar a lista, clique em Adicionar um filtro e selecione uma opção:
    • Nome do aplicativo: digite o nome do aplicativo e clique em Aplicar.
    • Tipo: escolha Aplicativo da Web, iOS ou Android e clique em Aplicar.
    • ID: digite o ID do app e clique em Aplicar.
    • Status verificado: selecione Verificado pelo Google e clique em Aplicar para analisar os apps revisados pelo Google e que estejam em conformidade com determinadas políticas. Veja mais detalhes em O que é um app de terceiros verificado?.
    • Acesso: marque a caixa Confiável ou Bloqueado e clique em Aplicar.
  6. Aponte para um app e clique em Alterar acesso. Ou marque as caixas de seleção ao lado de vários apps e, na parte de cima, clique em Alterar acesso. É possível confiar em todos os apps do domínio ou bloquear apps para eles não acessarem os serviços do Google Workspace. 
  7. Escolha uma opção:
    • Confiável: confiar em um app modifica uma restrição de serviço. Os apps do Google, como o navegador Chrome, são identificados automaticamente como confiáveis e não podem ser configurados como confiáveis. 
    • Limitado: acessa só os Serviços do Google sem restrições.
    • Bloqueado: não acessa nenhum Serviço do Google.
      Se você adicionar um app para dispositivos em uma lista de permissões e também bloquear esse app usando controles de API, ele será bloqueado. O bloqueio do app usando controles de API substitui a posição na lista de permissões.
  8. Clique em Alterar.
    Se você alterar o acesso de um app de "Limitado" para "Confiável" ou "Bloqueado", ele será adicionado à lista "Apps configurados". Se você alterar o acesso para "Limitado", o app será removido da lista "Apps configurados". Se você alterar o acesso para "Limitado" e o app não tiver usuários ativos, ele não aparecerá na lista até que um usuário o ative.

Adicionar um novo app

  1. Em Controle de acesso de apps, clique em Gerenciar o acesso de apps de terceiros.
  2. Em Apps configurados, clique em Adicionar app.
  3. Escolha Nome ou ID do cliente do app OAuth, Android ou IOS.
  4. Digite o nome do app ou o ID do cliente e clique em Pesquisar.
  5. Aponte para o app e clique em Selecionar.
  6. Marque as caixas dos IDs do cliente que você quer configurar e clique em Selecionar.
  7. Selecione Confiável ou Bloqueado e clique em Configurar.

Os usuários precisam permitir a adição de apps da Web. Porém, no caso dos apps aprovados do Google Workspace Marketplace, você pode ignorar a tela de consentimento com a instalação no domínio.

Personalizar a mensagem de um app não autorizado

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurançae depoisControles da API.
  3. Em Controle de acesso de apps, digite uma mensagem na seção Configurações e clique em Salvar.
Etapa 4: controlar o acesso à API

Bloquear o acesso de APIs de terceiros

É possível bloquear o acesso de todas as APIs de terceiros para que as solicitações de apps e sites de terceiros não recebam acesso aos dados do usuário. Como essa configuração bloqueia todos os escopos OAuth, inclusive os de login, os usuários não poderão mais fazer login com o Google em sites e apps de terceiros.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurançae depoisControles da API.
  3. Em Controle de acesso de apps, na seção Configurações, marque a caixa de seleção Bloquear todo o acesso de APIs de terceiros.e depois Clique em Salvar.

Algumas configurações substituem as configurações da API. Por exemplo, se houver um app explicitamente confiável, o usuário ainda poderá acessar esse app, mesmo que você marque a caixa de seleção Bloquear o acesso de APIs de terceiros .

Permitir que apps internos acessem APIs restritas do Google Workspace

Se você criar apps internos (da sua organização), poderá confiar em todos eles para acessar as APIs restritas do Google Workspace. Assim, você não precisa confiar em todos eles individualmente.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurançae depoisControles da API.
  3. Em Controle de acesso de apps, marque a caixa de seleção Confiar em apps internos do domínio e depois clique em Salvar.

Temas relacionados

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.

true
' data-mime-type=
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
Pesquisar na Central de Ajuda
true
true
false
true
true
73010
false
false