Как управлять доступом сторонних и внутренних приложений к данным Google Workspace

Вы также можете узнать, как настраивать мобильные приложения в организации.

Вы можете управлять доступом приложений к данным Google Workspace в вашей организации. Управление доступом к сервисам Google Workspace через протокол OAuth 2.0 осуществляется в консоли администратора. Некоторые приложения используют области действия OAuth 2.0 – механизм, который позволяет ограничить доступ к аккаунту пользователя.

Вы также можете изменить сообщение об ошибке, которое видят пользователи при попытке установить несанкционированное приложение.

Примечание. В Google Workspace for Education для пользователей из начальных и средних школ могут действовать дополнительные ограничения на доступ к некоторым сторонним приложениям.

Управление доступом приложений к данным Google Workspace

Развернуть все  |  Свернуть все

Подготовка: проверьте, каким сторонним приложениям разрешен доступ

Прежде чем выполнять настройку, проверьте список приложений, которым предоставлено разрешение на доступ к данным Google Workspace. Информация о сторонних приложениях обычно появляется в течение 24–48 часов после предоставления разрешения.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора нажмите Безопасностьа затемУправление API.

    Вы можете посмотреть, сколько приложений были настроены и получали доступ к данным.

    • Приложение считается настроенным, если для него заданы правила доступа (то есть оно внесено в список надежных или заблокированных приложений). Если вы не применяли эти правила, настроенных приложений у вас не будет.
    • Приложения, получавшие доступ к данным, – это сторонние приложения, с помощью которых пользователи осуществляли доступ к данным Google.
  3. Нажмите Управление правами доступа сторонних приложений.
    По умолчанию показываются настроенные приложения. Вы можете посмотреть:
    • Название приложения.
    • Тип.
    • Идентификатор.
    • Статус проверки. Проверенные приложения – это приложения, которые проверены специалистами Google на соответствие определенным правилам. Обратите внимание, что некоторые известные приложения могут быть не проверены. Более подробная информация приведена в статье Что такое проверенное стороннее приложение?
    • Доступ. Определяет статус приложения: надежное или заблокированное.
  4. В разделе Приложения, получавшие доступ к данным можно нажать Посмотреть список, чтобы увидеть такие приложения.

    В разделе Приложения, получавшие доступ к данным также можно посмотреть следующие параметры:

    • Пользователи. Число пользователей приложения.
    • Сервисы, к которым запрошен доступ. API сервисов Google (области действия OAuth2), которые использует каждое приложение, например Gmail, Календарь или Диск. Сторонние сервисы, к которым был запрошен доступ, перечислены в разделе Другое.
  5. В списке Настроенные приложения или Приложения, получавшие доступ к данным выберите приложение. Вы можете:
    • Проверить, имеет ли приложение доступ к сервисам Google, и изменить эту настройку с помощью метки "Надежные", "Ограниченный набор сервисов" или "Заблокированные". Если вы меняете эту настройку, для подтверждения нажмите Сохранить.
    • Изучить сведения о приложении, такие как полный идентификатор клиента OAuth2 для приложения, количество пользователей, политика конфиденциальности и информация о поддержке.
    • Посмотреть API сервисов Google (области действия OAuth), которые использует приложение – на странице сведений о приложении перечислены области действия OAuth, к которым обращается приложение. Чтобы посмотреть все области действия OAuth, разверните строку таблицы или нажмите Развернуть все.
  6. Чтобы скачать информацию о приложении в виде файла CSV, вверху списка Настроенные приложения или Приложения, получавшие доступ к данным нажмите Скачать список.
    • Будут скачаны все данные из таблицы, в том числе из скрытых столбцов.
    • Для настроенных приложений файл CSV содержит дополнительные столбцы, которые не показываются в таблице: "Количество пользователей", "Сервисы, к которым запрошен доступ" и "Области применения API" для каждого из сервисов. Если к настроенному приложению никто не осуществлял доступ, число пользователей будет равно нулю, а два других столбца будут пустыми.

В рамках программы проверки приложений Google все сторонние приложения, которые получают доступ к конфиденциальным данным клиентов, должны пройти проверки безопасности и конфиденциальности. Вы можете заблокировать для пользователей возможность активировать небезопасные и непроверенные приложения. Информация о том, как включить приложение в число надежных, приведена ниже. Подробнее о том, как разрешить использование непроверенных сторонних приложений

Шаг 2. Ограничьте или оставьте неограниченным доступ к сервисам Google

Вы можете ограничить (или оставить неограниченным) доступ к большинству сервисов Google Workspace (в числе которых и сервисы Google Cloud, например машинное обучение). Для Gmail и Google Диска можно отдельно ограничить доступ к областям действия с высоким уровнем риска (например, к отправке почты или удалению файлов на Диске). Хотя пользователи увидят запрос на доступ к таким областям действия, но если приложение не внесено в список надежных, они не смогут дать свое согласие.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора нажмите Безопасностьа затемУправление API.
  3. Нажмите Управление сервисами Google.
  4. В списке установите флажки для требуемых сервисов.
    Чтобы выбрать сразу все сервисы, установите флажок рядом с полем Сервис.
  5. Чтобы отфильтровать список, нажмите Добавить фильтр и выберите условие:
    • Сервисы Google – выберите нужные сервисы, например Диск или Gmail, и нажмите Применить.
    • Доступ к сервисам Google – выберите Неограниченный доступ или Доступ ограничен и нажмите Применить.
    • Разрешенные приложения – укажите диапазон для числа разрешенных приложений и нажмите Применить.
    • Пользователи – укажите диапазон для числа пользователей и нажмите Применить.
  6. В верхней части страницы нажмите Изменить настройки доступа и выберите Неограниченный доступ или Доступ ограничен.
    Если вы измените настройку на "Доступ ограничен", все ранее установленные приложения, которые не включены в список надежных, перестанут работать, а их токены будут отозваны. Когда пользователи попытаются установить приложение с областью действия с ограниченным доступом, они получат уведомление о его блокировке. Если ограничить доступ к Диску, также будет ограничен доступ к Google Forms API.
    Примечание. Список приложений, получавших доступ к данным, обновляется через 48 часов после предоставления или отзыва токена.
  7. Если вы выбрали вариант Доступ ограничен, то, чтобы разрешить доступ к областям действия OAuth, не относящимся к областям с высоким риском (например, для доступа к хранящимся на Диске файлам, выбранным пользователями), установите флажок Разрешить пользователям предоставлять приложениям, которые не помечены как надежные, доступ ко всем областям действия OAuth, за исключением областей с высоким риском. Этот флажок показывается только для некоторых приложений, таких как Gmail и Диск.
  8. Нажмите Изменить и при необходимости подтвердите.
  9. Чтобы проверить, какие приложения имеют доступ к сервису:
    1. В разделе Приложения, получавшие доступ к данным нажмите Посмотреть список.
    2. Нажмите Добавить фильтра затемСервисы, к которым запрошен доступ.
    3. Выберите нужные сервисы и нажмите Применить.

Как ограничить доступ к областям действия OAuth с высоким риском

Gmail и Диск также могут ограничивать доступ к предварительно заданному списку областей действия OAuth с высоким уровнем риска.

Области действия OAuth с высоким риском в Gmail:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    Подробнее об областях действия Gmail

Области действия OAuth с высоким риском на Диске:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Подробнее об областях действия Диска
Шаг 3. Задайте уровень доступа сторонних приложений к сервисам Google и добавьте приложения

Вы можете блокировать доступ некоторых приложений, назначать им статус надежных или предоставлять им доступ только к сервисам Google c неограниченным доступом. Надежное приложение имеет доступ ко всем сервисам Google Workspace (областям действия OAuth), в том числе к тем, доступ к которым ограничен. Ненадежные приложения могут работать только с сервисами с неограниченным доступом.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора нажмите Безопасностьа затемУправление API.
  3. В разделе Управление доступом приложений нажмите Управление правами доступа сторонних приложений.
  4. В разделе Настроенные приложения нажмите Посмотреть список.
  5. Чтобы отфильтровать список, нажмите Добавить фильтр и выберите условие:
    • Название приложения – введите название и нажмите Применить.
    • Тип – выберите Веб-приложение, iOS или Android и нажмите Применить.
    • Идентификатор – введите идентификатор приложения и нажмите Применить.
    • Статус проверки – выберите Проверено Google и нажмите Применить, чтобы посмотреть приложения, которые проверены Google и соответствуют определенным правилам. Более подробная информация приведена в статье Что такое проверенное стороннее приложение?
    • Доступ – установите флажок Надежные или Заблокированные и нажмите Применить.
  6. Наведите указатель на приложение и нажмите Изменить настройки доступа. Или установите флажки рядом с несколькими приложениями и нажмите Изменить настройки доступа. Вы также можете назначить надежными все принадлежащие домену приложения или заблокировать приложения, чтобы у них не было доступа ни к каким сервисам Google Workspace.
  7. Выберите один из вариантов:
    • Надежные. Если добавить приложение в число надежных, это переопределит его настройку доступа к сервисам. Приложения, принадлежащие Google, например Chrome, автоматически считаются надежными, и им нельзя присвоить эту категорию.
    • Ограниченный набор сервисов. Доступ разрешен только к сервисам Google с неограниченным доступом.
    • Заблокированные. Доступ ко всем сервисам Google заблокирован.
      Если вы внесете приложение в белый список, но одновременно заблокируете его с помощью элементов управления API, приложение будет заблокировано, так как блокировка на странице управления API имеет приоритет над белым списком.
  8. Нажмите Изменить.
    Если изменить для приложения категорию с "Ограниченный набор сервисов" на "Надежные" или "Заблокированные", оно появится в списке "Настроенные приложения". Если изменить категорию на "Ограниченный набор сервисов", приложение исчезнет из списка "Настроенные приложения". Если изменить настройку доступа на "Ограниченный набор сервисов" для приложения без активных пользователей, оно не будет показываться в списке, пока пользователь не активирует его.

Как добавить приложение

  1. В разделе Управление доступом приложений нажмите Управление правами доступа сторонних приложений.
  2. В разделе Настроенные приложения нажмите Добавить приложение.
  3. Выберите Название приложения OAuth или идентификатор клиента, Android или iOS.
  4. Введите название приложения или идентификатор клиента и нажмите Найти.
  5. Наведите указатель на приложение и нажмите Выбрать.
  6. Установите флажки для нужных идентификаторов клиента и нажмите Выбрать.
  7. Выберите Надежные или Заблокированные и нажмите Настроить.

Пользователи должны дать согласие на добавление веб-приложений, но в Google Workspace Marketplace для утвержденных приложений вы можете пропустить этот этап, выполнив установку на уровне домена.

Как настроить сообщение об ошибке, которое видят пользователи при попытке установить несанкционированное приложение

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора нажмите Безопасностьа затемУправление API.
  3. На странице Управление доступом приложений в разделе Настройки введите сообщение и нажмите Сохранить.
Шаг 4. Управляйте доступом через API

Как заблокировать доступ через API для всех сторонних приложений

Вы можете заблокировать доступ к данным пользователей через API для всех сторонних приложений. Эта настройка блокирует все области действия OAuth, в том числе для входа. Это значит, что пользователи больше не смогут входить в приложения и на сайты сторонних разработчиков с помощью учетных данных Google.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора нажмите Безопасностьа затемУправление API.
  3. На странице Управление доступом приложений в разделе Настройки установите флажок Блокировать доступ через API для сторонних приложенийа затемнажмите Сохранить.

Некоторые настройки переопределяют настройки для API. Например, пользователи все равно смогут получать доступ к приложениям, помеченным как надежные.

Как разрешить внутренним приложениям использовать Google Workspace API с ограниченным доступом

Если вы создаете внутренние приложения (принадлежащие организации), можно разрешить всем таким приложениям использовать Google Workspace API с ограниченным доступом. Так вам не придется добавлять их в надежные по отдельности.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора нажмите Безопасностьа затемУправление API.
  3. В разделе Управление доступом приложений установите флажок Доверять внутренним приложениям и приложениям, принадлежащим доменуа затемнажмите Сохранить.

Статьи по теме

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
true
true
true
73010
false
false