Controlar quais apps internos e de terceiros acessam os dados do G Suite

É possível controlar quais apps de terceiros e do domínio acessam dados confidenciais do G Suite. O controle de acesso de apps define o acesso aos serviços do G Suite usando o OAuth 2.0. Para facilitar o acesso, os apps modernos e mais seguros usam os escopos OAuth 2.0, que são conjuntos de procedimentos conhecidos como APIs externas. Esses escopos permitem o acesso a dados limitados de usuários da maioria dos serviços do G Suite, como Gmail, Google Drive, Agenda e Contatos. Use o controle de acesso de apps para fazer o seguinte: 

  • Restringir o acesso à maioria dos serviços do G Suite ou não fazer restrições
  • Confie em apps específicos para que eles acessem serviços restritos do G Suite.
  • Confie em todos os apps do domínio.

As etapas a seguir mostram como fazer isso e encontrar detalhes sobre apps de terceiros em uso. Você pode personalizar a mensagem de erro que os usuários veem quando tentam instalar um app não autorizado. 

Usar o controle de acesso de apps

Abrir tudo   |   Fechar tudo

Analisar os apps de terceiros no seu ambiente

Antes de implementar os controles, analise a lista de apps autorizados a acessar os dados do G Suite pelos usuários.

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Acesse Segurança > Controle de acesso ao app.

    Exige o privilégio de administrador Configurações de segurança.

    Na página inicial do Admin Console, acesse Menu e Segurança e Controle de acesso ao app.
    Observação: se você não tiver a configuração Controle de acesso ao app, siga as etapas para gerenciar apps. A nova interface da configuração "Controle de acesso ao app" será disponibilizada automaticamente nas próximas semanas.
  3. Na página principal "Controle de acesso de apps", selecione Gerenciar o acesso de apps de terceiros.
  4. Para ver detalhes sobre um app, procure-o na tabela de apps. 
    Cada entrada mostra estas informações: 
    • Nome do app
    • Tipo de app
    • Número de usuários que acessam o app
  5. Clique em uma entrada. 
    A página de detalhes do app mostra o seguinte:
    • Serviços do G Suite em uso pelo app
    • ID do cliente OAuth2 do app
    • Informações do editor, inclusive a política de privacidade e links de suporte
    • Se disponível, o status de verificação dos apps que acessam determinados escopos de API restritos

A verificação de apps é um programa do Google para que apps de terceiros que acessam dados confidenciais de clientes passem por verificações de segurança e privacidade. Os usuários podem ser impedidos de ativar apps não verificados e identificados como não confiáveis. Veja abaixo o que fazer para marcar apps como confiáveis. Veja mais informações sobre a verificação de apps em Autorizar apps de terceiros não verificados.

Restringir o acesso aos serviços do Google

Você pode restringir ou não o acesso à maioria dos serviços do G Suite, inclusive os serviços do Google Cloud Platform, como o machine learning. No Gmail e no Google Drive, você pode restringir especificamente o acesso a escopos de alto risco (por exemplo, enviar e-mails do Gmail ou excluir arquivos no Drive). Os usuários precisam permitir a instalação de apps. No entanto, se um app usar escopos restritos e não estiver marcado como confiável, os usuários não poderão adicioná-lo. 

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Acesse Segurança > Controle de acesso ao app.

    Exige o privilégio de administrador Configurações de segurança.

    Na página inicial do Admin Console, acesse Menu e Segurança e Controle de acesso ao app.
    Observação: se você não tiver a configuração Controle de acesso ao app, siga as etapas para gerenciar apps. A nova interface da configuração "Controle de acesso ao app" será disponibilizada automaticamente nas próximas semanas.
  3. Na página principal "Controle de acesso de apps", selecione Gerenciar serviços do Google.
    Os serviços do Google que você pode controlar incluem:
    • G Suite:
      • Administrador do G Suite
      • Gmail
      • Drive
      • Agenda
      • Contatos
      • Vault
      • Tempo de execução do Apps Script: controla as ações que os projetos do Apps Script podem executar. Inclui apps, complementos e scripts do App Maker dentro e fora do seu domínio.
      • API Apps Script: controla se os clientes podem usar a API Apps Script para gerenciar projetos.

    • Google Cloud Platform:
      • Cloud Platform: inclui todos os serviços do Google Cloud Platform, exceto o machine learning e o faturamento do Cloud.
      • Machine learning: inclui a Cloud Video Intelligence, a API Cloud Speech, a API Cloud Natural Language, a API Cloud Translation e a API Cloud Vision.
      • Faturamento do Cloud
  4. Analise o acesso de cada serviço:
    • Não restrito: todos os apps de terceiros acessam este serviço com o consentimento do usuário.
    • Restrito: apenas os apps confiáveis acessam este serviço com o consentimento do usuário.
    • Restrito: acesso de alto risco : apenas apps confiáveis acessam os escopos de alto risco deste serviço. Todos os apps acessam escopos de menor risco. O consentimento do usuário é obrigatório em todos os casos.
      • Estes são os escopos OAuth de alto risco do Gmail:
        • https://mail.google.com/
        • https://www.googleapis.com/auth/gmail.compose
        • https://www.googleapis.com/auth/gmail.insert
        • https://www.googleapis.com/auth/gmail.metadata
        • https://www.googleapis.com/auth/gmail.modify
        • https://www.googleapis.com/auth/gmail.readonly
        • https://www.googleapis.com/auth/gmail.send
        • https://www.googleapis.com/auth/gmail.settings.basic
        • https://www.googleapis.com/auth/gmail.settings.sharing

          Veja mais informações sobre os escopos do Gmail em Escolher escopos do Auth (em inglês).

      • Estes são os escopos OAuth de alto risco do Drive:
        • https://www.googleapis.com/auth/drive
        • https://www.googleapis.com/auth/drive.apps.readonly
        • https://www.googleapis.com/auth/drive.metadata
        • https://www.googleapis.com/auth/drive.metadata.readonly
        • https://www.googleapis.com/auth/drive.readonly
        • https://www.googleapis.com/auth/drive.scripts
        • https://www.googleapis.com/auth/documents
          Veja mais detalhes sobre os escopos do Drive em Sobre autorização.
  5. (Opcional) Para analisar quais apps têm acesso a um serviço: 
    1. Acima da tabela, clique em Apps.
    2. Clique em Adicionar um filtroeServiços solicitados.
    3. Selecione os serviços que você está verificando.  
      Os apps confiáveis com acesso aos escopos OAuth são exibidos.
  6. Se você quiser alterar o acesso (por exemplo, para restringi-lo), faça o seguinte: 
    • Para alterar o acesso de apenas um serviço, aponte para a linha do serviço na tabela e clique em Alterar acesso no canto direito.
    • Para alterar o acesso de vários serviços de uma só vez, selecione-os na tabela e clique em Alterar acesso na parte superior da tabela.

Depois que você alterar os escopos para "Restrito", os apps instalados que não forem confiáveis deixarão de funcionar, e os tokens serão revogados. Quando um usuário tentar instalar um app com escopo restrito, ele receberá uma notificação informando que o app está bloqueado.

Adicionar ou remover um app da lista de apps confiáveis

Confie em apps específicos para que eles acessem todos os serviços do G Suite (escopos OAuth). Você pode confiar em todos os apps do domínio. Confiar nos apps também garante que os usuários poderão instalar apps não verificados pela nossa equipe de combate a abusos. Os apps não identificados como confiáveis têm acesso limitado às APIs do G Suite. Eles só podem acessar serviços não restritos.

Dica: os usuários precisam permitir a adição de apps da Web. No entanto, no caso dos aplicativos aprovados do G Suite Marketplace, você pode ignorar a tela de consentimento com a instalação no domínio.

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Acesse Segurança > Controle de acesso ao app.

    Exige o privilégio de administrador Configurações de segurança.

    Na página inicial do Admin Console, acesse Menu e Segurança e Controle de acesso ao app.
    Observação: se você não tiver a configuração Controle de acesso ao app, siga as etapas para gerenciar apps. A nova interface da configuração "Controle de acesso ao app" será disponibilizada automaticamente nas próximas semanas.
  3. Na página principal "Controle de acesso de apps", selecione Gerenciar o acesso de apps de terceiros.
  4. Analise a lista de apps. 
  5. Para pesquisar um nome de app específico, um ID de cliente ou os serviços que o app acessa, clique em "Adicionar um filtro".
    Se o app aparecer na lista, ele está em uso, é confiável ou está em uso e é confiável.
  6. Se você quiser alterar o acesso (por exemplo, marcar o app como confiável): 
    • Para alterar o acesso de apenas um app, aponte para a linha do app na tabela e clique em Alterar acesso no canto direito.
    • Para alterar o acesso de vários apps de uma só vez, selecione-os na tabela e clique em Alterar acesso na parte superior da tabela. 

      Você pode definir estes estados para um app:
      • Confiável: acessa todos os serviços do Google.
      • Limitado: só acessa os serviços irrestritos do Google.
  7. (Opcional) Para confiar em um app que não está na lista, na parte superior da lista de apps, clique em Adicionar app e selecione uma opção:
    • Nos apps da Web:
      1. Clique em Nome ou ID do cliente do app OAuth
      2. Digite o ID do cliente e clique em Pesquisar.
      3. Selecione o app e clique em Adicionar
    • Nos apps para dispositivos móveis:
      1. Clique em Android ouiOS. 
      2. Digite um nome de app e clique em Pesquisar para exibir uma lista dos apps disponíveis.
      3. Selecione o app e clique em Adicionar

Observação: se você alterar o acesso de um app confiável para "Limitado" e ele não tiver usuários ativos, o app desaparecerá da lista até que você o adicione novamente ou um usuário o ative.

Permitir que apps internos acessem APIs restritas do G Suite

Se você cria apps locais, poderá confiar em todos esses apps para acessar serviços restritos do G Suite. Caso contrário, você precisará confiar neles individualmente.

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Acesse Segurança > Controle de acesso ao app.

    Exige o privilégio de administrador Configurações de segurança.

    Na página inicial do Admin Console, acesse Menu e Segurança e Controle de acesso ao app.
    Observação: se você não tiver a configuração Controle de acesso ao app, siga as etapas para gerenciar apps. A nova interface da configuração "Controle de acesso ao app" será disponibilizada automaticamente nas próximas semanas.
  3. Na parte inferior da página, marque a caixa Confiar em apps internos do domínio e clique em Salvar.

Os apps do domínio incluem o seguinte:

  • Projetos do Google Apps Script criados por usuários na organização
  • Apps associados à organização no Console do Google Cloud Platform 
Personalizar a mensagem de app rejeitado

Dependendo do serviço e do app, quando um usuário tentar instalar um app da Web de terceiros, ele verá uma tela de consentimento ou rejeição. Você pode personalizar essa tela de rejeição. Por exemplo, é possível adicionar as informações de contato do suporte.  

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Acesse Segurança > Controle de acesso ao app.

    Exige o privilégio de administrador Configurações de segurança.

    Na página inicial do Admin Console, acesse Menu e Segurança e Controle de acesso ao app.
    Observação: se você não tiver a configuração Controle de acesso ao app, siga as etapas para gerenciar apps. A nova interface da configuração "Controle de acesso ao app" será disponibilizada automaticamente nas próximas semanas.
  3. Acesse Configurações.
  4. Na caixa em “Mostrar esta mensagem se um usuário tentar usar um app que não tem acesso aos serviços restritos do Google”, digite seu texto personalizado.
  5. Clique em Salvar.

Tópicos relacionados

Isso foi útil?
Como podemos melhorá-lo?