Controlar quais apps internos e de terceiros acessam os dados do Google Workspace

Para gerenciar apps por sistema operacional de dispositivo móvel, clique aqui.

É possível controlar quais apps de terceiros e do domínio acessam dados confidenciais do Google Workspace. O controle de acesso aos apps define o acesso aos serviços do Google Workspace que usam o OAuth 2.0. Para facilitar o acesso, os apps modernos e mais seguros usam os escopos do OAuth 2.0, que são conjuntos de procedimentos conhecidos como APIs externas. Esses escopos permitem o acesso a dados limitados de usuários da maioria dos serviços do Google Workspace, como Gmail, Google Drive, Agenda e Contatos. Use o controle de acesso de apps para fazer o seguinte:

  • Restringir o acesso à maioria dos serviços do Google Workspace ou não fazer restrições
  • Confiar em apps específicos para eles acessarem serviços restritos do Google Workspace
  • Confiar em todos os apps do domínio

Para controlar quais apps de terceiros e internos podem acessar os dados do Google Workspace e encontrar detalhes sobre os apps de terceiros que já estão em uso, siga as instruções abaixo. Você também pode personalizar a mensagem de erro que os usuários veem quando tentam instalar um app não autorizado.

Usar o controle de acesso de apps

Abrir tudo   |   Fechar tudo

Analisar os apps de terceiros no seu ambiente

Antes de implementar os controles, consulte a lista de apps autorizados a acessar os dados do Google Workspace.

Observação: os detalhes sobre os apps de terceiros geralmente aparecem nos resultados de 24 a 48 horas.

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse "" e depois Segurançae depois Controles da API.
  3. Em Controle de acesso de apps, selecione GERENCIAR O ACESSO DE APPS DE TERCEIROS.
  4. Veja mais detalhes sobre apps na tabela de apps. 
    Estes detalhes são exibidos: 
    • Nome do app
    • Tipo
    • Código
    • Status verificado: o Google analisa os apps verificados para garantir compliance com determinadas políticas. Talvez muitos apps conhecidos não sejam verificados dessa maneira. Veja mais detalhes em O que é um app verificado de terceiros?.
    • Usuários: número de usuários que acessam o app.
    • Serviços solicitados: APIs de serviço do Google (escopos do OAuth2) que cada app está usando (por exemplo, Gmail, Agenda ou Drive). Os serviços não exibidos na guia "SERVIÇOS DO GOOGLE" estão listados como Outros.
    • Acesso: especifica Confiável, Limitado ou Bloqueado.
  5. Clique na linha da tabela de um app para abrir a página de detalhes. Nessa página, você pode fazer o seguinte:
    • Ver ou alterar se o app pode acessar os Serviços do Google: verifique se o app está marcado como "Confiável", "Limitado" ou "Bloqueado". Se você alterar a configuração de acesso, clique em SALVAR.
    • Ver informações sobre o app: estas informações incluem o ID do cliente OAuth2 do app, o número de usuários, a Política de Privacidade e as informações de suporte.
    • Ver as APIs de Serviço do Google (escopos do OAuth) que o app está solicitando: na seção "Serviços solicitados" da página de detalhes do app, você pode ver uma lista dos escopos do OAuth solicitados por cada app. Para ver cada um dos escopos do OAuth, expanda a linha da tabela ou clique em EXPANDIR TUDO

A verificação de apps é um programa do Google para que apps de terceiros que acessam dados confidenciais de clientes passem por verificações de segurança e privacidade. Os usuários podem ser impedidos de ativar apps não verificados e identificados como não confiáveis. Veja abaixo o que fazer para marcar apps como confiáveis. Veja mais informações sobre a verificação de apps em Autorizar apps de terceiros não verificados.

Gerenciar o acesso aos serviços do Google: restrito ou irrestrito

Você pode restringir ou não o acesso à maioria dos serviços do Google Workspace, inclusive aos serviços do Google Cloud Platform, como o aprendizado de máquina. No Gmail e no Google Drive, você pode restringir especificamente o acesso a escopos de alto risco (por exemplo, enviar e-mails do Gmail ou excluir arquivos no Drive). Os usuários precisam permitir a instalação de apps. No entanto, se um app usar escopos restritos e não estiver marcado como confiável, os usuários não poderão adicioná-lo. 

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse "" e depois Segurançae depois Controles da API.
  3. Em Controle de acesso de apps, clique em GERENCIAR SERVIÇOS DO GOOGLE.
  4. Na lista de serviços, marque as caixas dos serviços que você quer gerenciar.

    Se necessário, clique em Adicionar um filtro para restringir o tamanho da lista usando estes critérios:
    Serviços do Google: selecione uma opção na lista de serviços do Google, como Drive ou Gmail, e clique em APLICAR.
    Acesso aos serviços do Google: selecione Não restrito ou Restrito e clique em APLICAR.
    Apps permitidos: especifique um intervalo para o número de apps permitidos e clique em APLICAR.
    Usuários: especifique um intervalo para o número de usuários e clique em APLICAR.

    Os serviços do Google que você pode controlar incluem:
    • Google Workspace:
      • Administrador do Google Workspace
      • Gmail
      • Drive
      • Agenda
      • Contatos
      • Vault
      • Sala de Aula
      • Tarefas
      • Grupos
      • Cloud Search
      • Tempo de execução do Apps Script
        Controla o acesso a projetos que solicitam determinados escopos de alto risco específicos dos projetos do Apps Script, por exemplo, UrlFetch e IU de contêiner. Isso inclui apps, complementos e scripts do App Maker dentro e fora da organização. O controle de tempo de execução do Apps Script funciona em conjunto com os controles da API Apps Script e não os substitui nos apps do Apps Script.
      • API Apps Script
        Controla o acesso a qualquer projeto (por exemplo, Apps Script, GCP, AWS etc.) que solicita escopos da API Apps Script, como Gerenciar projetosGerenciar implantações.

    • Google Cloud Platform:
      • Cloud Platform: inclui todos os serviços do Google Cloud Platform, exceto o machine learning e o faturamento do Cloud.
      • Machine learning: inclui a Cloud Video Intelligence, a API Cloud Speech, a API Cloud Natural Language, a API Cloud Translation e a API Cloud Vision.
      • Cloud Billing
  5. Após selecionar os serviços na lista, clique em Alterar acesso.

    Para apenas um serviço, aponte para uma linha na tabela. À direita, clique em Alterar acesso.
    Para vários serviços, clique nas caixas de seleção na tabela. Na parte superior da tabela, clique em Alterar acesso.
     
  6. para alterar o acesso, escolha uma destas opções:

    Não restrito: qualquer app aprovado pelo usuário pode acessar um serviço.
    Restrito: apenas apps confiáveis podem acessar um serviço.
     
  7. Clique em ALTERAR.
    Na página dos serviços do Google, a coluna Acesso exibirá o status do acesso aos serviços: Não restrito ou Restrito.
  8. (Opcional) Para analisar quais apps têm acesso a um serviço: 
    1. Acima da tabela, clique em APPS.
    2. Clique em Adicionar um filtroe depoisServiços solicitados.
    3. Selecione os serviços que você está verificando e clique em APLICAR.
      Os apps confiáveis com acesso aos escopos OAuth são exibidos.

Depois que você alterar os escopos para "Restrito", os apps instalados que não forem confiáveis deixarão de funcionar, e os tokens serão revogados. Quando um usuário tentar instalar um app com escopo restrito, ele receberá uma notificação informando que o app está bloqueado.

Escopos do OAuth de alto risco do Gmail e do Drive

O Gmail e o Drive também podem restringir o acesso a uma lista predefinida de escopos do OAuth de alto risco.

Estes são os escopos do OAuth de alto risco do Gmail:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

    Veja mais informações sobre os escopos do Gmail em Escolher escopos do Auth (em inglês).

Estes são os escopos do OAuth de alto risco do Drive:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Veja mais detalhes sobre os escopos do Drive em Sobre autorização (em inglês).
Gerenciar o acesso aos apps: "Confiável", "Limitado" ou "Bloqueado"

Na página "Controle de acesso de apps", você pode bloquear apps, marcá-los como confiáveis ou permitir que eles acessem apenas Serviços do Google não restritos.

Confie em apps específicos para acessar todos os serviços do Google Workspace (escopos do OAuth) ou confie em todos os apps do domínio. Confiar nos apps também garante que os usuários poderão instalar apps não verificados pela nossa equipe de combate a abusos. Os apps não identificados como confiáveis têm acesso limitado às APIs do Google Workspace. Eles só podem acessar serviços não restritos. Você também pode bloquear apps para que eles não acessem os serviços do Google Workspace.

Dica: os usuários precisam permitir a adição de apps da Web. No entanto, no caso dos apps aprovados do Google Workspace Marketplace, você pode ignorar a tela de consentimento com a instalação no domínio.

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse "" e depois Segurançae depois Controles da API.
  3. Em Controle de acesso de apps, clique em GERENCIAR O ACESSO DE APPS DE TERCEIROS.
  4. Na lista de apps, marque as caixas dos apps que você quer gerenciar.

    Se necessário, clique em Adicionar um filtro para restringir o tamanho da lista usando estes critérios:
    • Nome do app: digite o nome do app no campo Contém e clique em APLICAR.
    • Tipo: escolha Aplicativo da Web, iOS ou Android e clique em APLICAR.
    • ID: digite uma string no campo Correspondências e clique em APLICAR.
    • Status verificado: o Google analisa os apps verificados para garantir compliance com determinadas políticas. Talvez muitos apps conhecidos não sejam verificados dessa maneira. Veja mais detalhes em O que é um app verificado de terceiros?.
    • Usuários: especifique um intervalo para o número de usuários e clique em APLICAR.
    • Serviços solicitados: escolha serviços como o Gmail ou o Drive e clique em APLICAR.
    • Acesso: clique em Confiável, Limitado ou Bloqueado e clique em APLICAR.
  5. Após selecionar os apps na lista, clique em Alterar acesso.
  6. Para alterar o acesso, escolha uma destas opções:
     
    • Confiável: pode acessar todos os Serviços do Google.
    • Limitado: acessa só os Serviços do Google sem restrições.
    • Bloqueado: não acessa nenhum Serviço do Google.
    Observação: se você autorizar um app nos seus dispositivos, mas também bloqueá-lo na página de controles de API, o app será bloqueado. Isso modifica a autorização.
     
  7. Clique em ALTERAR.
    Na página "Apps", a coluna Acesso exibe o status de acesso dos apps: Confiável, Limitado ou Bloqueado.

Observação: se você alterar o acesso de um app confiável ou bloqueado para "Limitado" e ele não tiver usuários ativos, o app desaparecerá da lista até que você o adicione novamente ou um usuário o ative.

Para gerenciar apps não incluídos na lista:

  1. Em Controle de acesso de apps, clique em GERENCIAR O ACESSO DE APPS DE TERCEIROS.
  2. Clique em Configurar novo app e escolha Nome ou ID do cliente do app OAuth, Android ou IOS.
  3. Digite o nome do app e clique em PESQUISAR.
  4. Na lista de resultados da pesquisa, clique em Selecionar ao lado do app que você quer gerenciar.
    Observação: se você estiver configurando por Nome ou ID do cliente do app OAuth, marque as caixas dos IDs de clientes que você quer configurar e clique em SELECIONAR.
  5. Escolha uma destas opções:

    Confiável: pode acessar todos os serviços do Google
    Bloqueado: não pode acessar os serviços do Google
     
  6. Clique em CONFIGURAR.

    Na página "Apps", a coluna Acesso exibe o status de acesso dos apps: Confiável ou Bloqueado.
Permitir que apps internos acessem APIs restritas do Google Workspace

Se você criar apps internos, poderá classificar todos como confiáveis para acessar os serviços restritos do Google Workspace. Caso contrário, você precisará classificar cada app como confiável.

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse "" e depois Segurançae depois Controles da API.
  3. Em Controle de acesso de apps, marque a caixa Confiar em apps internos do domínio e clique em SALVAR.

Os apps do domínio incluem o seguinte:

  • Projetos do Google Apps Script criados por usuários na organização
  • Apps associados à organização no Console do Google Cloud Platform 

Observação: quando você confia em apps internos do domínio, mas também gerencia o acesso de apps de terceiros para bloquear um desses apps, o app será bloqueado. Saiba mais em Gerenciar o acesso aos apps: "Confiável", "Limitado" ou "Bloqueado".

Personalizar a mensagem de app rejeitado

Dependendo do serviço e do app, quando um usuário tentar instalar um app da Web de terceiros, ele verá uma tela de consentimento ou rejeição. Você pode personalizar essa tela de rejeição. Por exemplo, é possível adicionar as informações de contato do suporte.  

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse "" e depois Segurançae depois Controles da API.
  3. Em Controle de acesso de apps, acesse a seção Configurações.
  4. Digite seu texto personalizado na caixa abaixo da mensagem Mostrar esta mensagem se um usuário tentar usar um app que não tem acesso aos serviços restritos do Google.
  5. Clique em "SALVAR".

Temas relacionados

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.