Как управлять доступом сторонних и внутренних приложений к данным Google Workspace

Сведения о том, как управлять приложениями на мобильных устройствах, приведены в этой статье.

Вы можете управлять тем, какие сторонние и принадлежащие домену приложения могут работать с конфиденциальными данными Google Workspace. При этом доступ приложений к сервисам Google Workspace регулируется с помощью OAuth 2.0. Чтобы упростить доступ, современные надежные приложения используют области действия OAuth 2.0, которые представляют собой наборы процедур (внешние API). Эти области действия обеспечивают доступ к закрытым пользовательским данным из большинства сервисов Google Workspace, таких как Gmail, Google Диск, Календарь и Контакты. Управление доступом приложений позволяет: 

  • Ограничить доступ к большинству сервисов Google Workspace или предоставить к ним полный доступ.
  • Включить определенные приложения в число надежных, чтобы они могли использовать сервисы Google Workspace с ограниченным доступом.
  • Включить в число надежных все принадлежащие домену приложения.

Ниже описывается, как управлять доступом сторонних и внутренних приложений к данным Google Workspace и находить сведения об используемых сторонних приложениях. Вы также можете изменить сообщение об ошибке, которое видят пользователи при попытке установить несанкционированное приложение.

Как управлять доступом приложений

Развернуть все | Свернуть все

Как проверить сторонние приложения в среде

Прежде чем выполнять настройку, проверьте список приложений, которым предоставлено разрешение на доступ к данным Google Workspace.

Примечание. Информация о сторонних приложениях обычно появляется в результатах в течение 24–48 часов.

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите "" а затем Безопасность а затем Разрешения API.
  3. В разделе Управление доступом приложений нажмите Управление правами доступа сторонних приложений.
  4. Сведения о приложении можно посмотреть в таблице приложений. 
    Для каждого приложения указаны следующие данные:
    • Название приложения.
    • Тип.
    • Идентификатор.
    • Проверенные приложения – это приложения, которые проверены специалистами Google на соответствие определенным правилам. Обратите внимание, что некоторые известные приложения могут быть не проверены. Подробнее о том, что такое проверенное стороннее приложение
    • Пользователи – число пользователей приложения.
    • Сервисы, к которым запрошен доступ – API сервисов Google (области действия OAuth2), которые использует каждое приложение, например Gmail, Календарь или Диск. Сервисы, не указанные на вкладке "Сервисы Google", перечислены в разделе Другое.
    • Доступ – определяет статус приложения: Надежные, Ограниченный набор сервисов или Заблокированные.
  5. Нажмите на строку приложения в таблице, чтобы открыть страницу с подробными сведениями о нем. Здесь вы сможете выполнять следующие действия:
    • Проверять, имеет ли приложение доступ к сервисам Google, и изменять эту настройку с помощью метки "Надежные", "Ограниченный набор сервисов" или "Заблокированные". Если вы меняете эту настройку, для подтверждения нажмите Сохранить.
    • Изучать сведения о приложении, такие как полный идентификатор клиента OAuth2 для приложения, количество пользователей, политика конфиденциальности и информация о поддержке.
    • Просматривать API сервисов Google (области действия OAuth), которые использует приложение – в разделе "Сервисы, к которым запрошен доступ" на странице сведений о приложении перечислены области действия OAuth, к которым обращается приложение. Чтобы посмотреть все области действия OAuth, разверните строку таблицы или нажмите Развернуть все.
  6. При необходимости скачайте информацию о приложении.

    Всю информацию, содержащуюся в таблице приложений, вы можете скачать в виде CSV-файла, нажав Скачать сведения о приложениях.

В рамках программы проверки приложений Google все сторонние приложения, которые получают доступ к конфиденциальным данным клиентов, должны пройти проверки безопасности и конфиденциальности. Вы можете заблокировать для пользователей возможность активировать небезопасные и непроверенные приложения. Информация о том, как включить приложение в число надежных, приведена ниже. Подробнее об авторизации непроверенных сторонних приложений

Как предоставить неограниченный или ограниченный доступ к сервисам Google

Вы можете ограничить (или оставить неограниченным) доступ к большинству сервисов Google Workspace (в числе которых и сервисы Google Cloud, например машинное обучение). Для Gmail и Google Диска вы можете отдельно ограничить доступ к областям с высоким уровнем риска (например, к отправке писем в Gmail или удалению файлов на Диске). Хотя пользователи увидят запрос на согласие при попытке установить приложение, которое использует области с ограниченным доступом и не внесено в список надежных, они не смогут добавить такое приложение. 

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите "" а затем Безопасность а затем Разрешения API.
  3. В разделе Управление доступом приложений нажмите Управление сервисами Google.
  4. В списке установите флажки для требуемых сервисов.

    При необходимости нажмите Добавить фильтр, чтобы сократить список, используя следующие критерии:
    Сервисы Google – выберите нужные сервисы, например Диск или Gmail, и нажмите Применить.
    Доступ к сервисам Google – выберите Неограниченный доступ или Доступ ограничен и нажмите Применить.
    Разрешенные приложения – укажите диапазон для числа разрешенных приложений и нажмите Применить.
    Пользователи – укажите диапазон для числа пользователей и нажмите Применить.

    Вы можете управлять следующими сервисами Google:
    • Google Workspace:
      • Консоль администратора Google Workspace
      • Gmail
      • Диск
      • Календарь
      • Контакты
      • Сейф
      • Класс
      • Задачи
      • Группы
      • Cloud Search
      • Среда выполнения Apps Script
        Контролирует доступ к проектам, для работы которых требуются области действия с высоким уровнем риска, относящиеся к среде Apps Script, например UrlFetch и Container UI. Сюда относятся приложения, дополнения и скрипты, которые создаются как в организации, так и за ее пределами. Средства управления средой Apps Script работают вместе со средствами управления Apps Script API и не имеют приоритета над ними для приложений Apps Script.
      • Apps Script API
        Контролирует доступ к любым проектам (например, Apps Script, Google Cloud, AWS и т. д.), для работы которых требуются области действия Apps Script API (например, Управление проектами и Управление развертываниями).

    • Google Cloud:
      • Google Cloud (включает все сервисы Google Cloud, за исключением машинного обучения и Cloud Billing);
      • машинное обучение (включает Cloud Video Intelligence, Cloud Speech API, Cloud Natural Language API, Cloud Translation API и Cloud Vision API);
      • Cloud Billing.
  5. Выбрав сервисы в списке, нажмите Изменить настройки доступа.

    Если нужно выбрать один сервис, наведите указатель на его строку в таблице и справа нажмите Изменить настройки доступа.
    Если нужно выбрать несколько сервисов, установите в таблице флажки. В верхней части таблицы нажмите Изменить настройки доступа.
     
  6. Выберите один из вариантов:

    Неограниченный доступ – доступ к сервису разрешен всем приложениям.
    Доступ ограничен – доступ к сервису разрешен только надежным приложениям.
     
  7. Нажмите Изменить.
    На странице сервисов Google в столбце Доступ будет показан статус доступа для сервисов: Неограниченный доступ или Доступ ограничен.
  8. Чтобы проверить, какие приложения имеют доступ к сервису: 
    1. Над таблицей нажмите Приложения.
    2. Нажмите Добавить фильтр а затем Сервисы, к которым запрошен доступ.
    3. Выберите нужные сервисы и нажмите Применить.
      Будут показаны приложения, у которых есть доступ к их областям OAuth, и их статус доверия.

После изменения статуса областей на "Доступ ограничен" все ранее установленные приложения, которые не включены в список надежных, перестанут работать, а их токены будут отозваны. Если пользователи попытаются установить приложение с областью действия с ограниченным доступом, они получат уведомление о его блокировке.

Области действия OAuth с высоким риском в Gmail и на Диске

Gmail и Диск также могут ограничивать доступ к предварительно заданному списку областей действия OAuth с высоким уровнем риска.

Области действия OAuth с высоким риском в Gmail:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

    Подробнее об областях действия Gmail

Области действия OAuth с высоким риском на Диске:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Подробнее об областях действия Диска
Как управлять доступом приложений с помощью категорий "Надежные", "Ограниченный набор сервисов" и "Заблокированные"

На странице управления доступом приложений можно блокировать доступ некоторых приложений, назначать им статус надежных или предоставлять им доступ только к сервисам Google c неограниченным доступом. 

Вы можете включить в список надежных определенные приложения, которым нужно предоставить доступ ко всем сервисам Google Workspace (областям OAuth). В этот список можно добавить все принадлежащие домену приложения. Включение приложений в число надежных также позволяет пользователям устанавливать те приложения, которые ещё не проверены нашими специалистами. Небезопасные приложения имеют ограниченный доступ к Google Workspace API и могут работать только с сервисами с неограниченным доступом. Вы также можете блокировать приложения, полностью запрещая им доступ к сервисам Google Workspace.

Совет. Пользователи должны дать согласие на добавление веб-приложений, но в Google Workspace Marketplace для утвержденных приложений вы можете пропустить этот этап, выполнив установку на уровне домена.

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите "" а затем Безопасность а затем Разрешения API.
  3. В разделе Управление доступом приложений нажмите Управление правами доступа сторонних приложений.
  4. В списке установите флажки для приложений, которые хотите выбрать.

    При необходимости нажмите Добавить фильтр, чтобы сократить список, используя следующие критерии:
    • Название приложения – введите название приложения в поле Содержит и нажмите Применить.
    • Тип – выберите Веб-приложение, iOS или Android и нажмите Применить.
    • Идентификатор – введите строку в поле Соответствует и нажмите Применить.
    • Проверенные приложения – это приложения, которые проверены специалистами Google на соответствие определенным правилам. Обратите внимание, что некоторые известные приложения могут быть не проверены. Подробнее о том, что такое проверенное стороннее приложение
    • Пользователи – укажите диапазон для числа пользователей и нажмите Применить.
    • Сервисы, к которым запрошен доступ – выберите сервисы, например Gmail или Диск, и нажмите Применить.
    • Доступ – выберите категорию Надежные, Ограниченный набор сервисов или Заблокированные и нажмите Применить.
  5. Выбрав сервисы в списке, нажмите Изменить настройки доступа.
  6. Выберите один из вариантов:
     
    • Надежные – доступ разрешен ко всем сервисам Google.
    • Ограниченный набор сервисов – доступ разрешен только к сервисам Google с неограниченным доступом.
    • Заблокированные – доступ ко всем сервисам Google заблокирован.
    Примечание. Если вы внесете приложение в белый список, но одновременно заблокируете его с помощью элементов управления API, приложение будет заблокировано, так как блокировка на странице управления API имеет приоритет над белым списком.
     
  7. Нажмите Изменить.
    На странице приложений в столбце Доступ будет показан статус доступа для приложений: Надежные, Ограниченный набор сервисов или Заблокированные.

Примечание. Если вы измените статус для надежного или заблокированного приложения без активных пользователей на "Ограниченный набор сервисов", оно перестанет отображаться в списке, пока вы снова не добавите его или пока оно не будет активировано пользователем.

Чтобы настроить доступ для приложений, отсутствующих в списке:

  1. В разделе Управление доступом приложений нажмите Управление правами доступа сторонних приложений.
  2. Нажмите Настроить новое приложение и выберите Название приложения OAuth или Client ID, Android или iOS.
  3. Введите название приложения и нажмите Поиск.
  4. В списке результатов поиска нажмите Выбрать для нужного приложения.
    Примечание. Если вы ищете приложение по параметру Название приложения OAuth или Client ID, установите флажки для нужных идентификаторов клиента и нажмите Выбрать.
  5. Выберите один из вариантов:

    Надежные – приложения имеют доступ ко всем сервисам Google.
    Заблокированные – приложения не имеют доступа к сервисам Google.
     
  6. Нажмите Настроить.

    На странице приложений в столбце Доступ будет показан статус доступа для приложений: Надежные или Заблокированные.
Как заблокировать доступ через API для всех сторонних приложений

На странице управления API можно заблокировать доступ через API для всех сторонних приложений. Эта настройка позволяет отклонять запросы на доступ к данным пользователей от сторонних приложений и сайтов. Она блокирует все области действия OAuth, в том числе для входа. Это значит, что пользователи больше не смогут входить в приложения и на сайты сторонних разработчиков с помощью учетных данных Google.

Важно! Даже если включен параметр Блокировать доступ через API для сторонних приложений, пользователи сохранят доступ к надежным приложениям, в том числе принадлежащим домену. Дополнительные сведения о надежных приложениях можно найти в разделах Как управлять доступом приложений с помощью категорий "Надежные", "Ограниченный набор сервисов" и "Заблокированные" и Как разрешить внутренним приложениям использовать Google Workspace API с ограниченным доступом.

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите "" а затем Безопасность а затем Разрешения API.
  3. В разделе Управление доступом приложений установите флажок Блокировать доступ через API для сторонних приложений и нажмите Сохранить.
Как разрешить внутренним приложениям использовать Google Workspace API с ограниченным доступом

Если вы создаете внутренние приложения, можно разрешить всем таким приложениям использовать сервисы Google Workspace с ограниченным доступом. Или же можно включить такие приложения в число надежных по отдельности.

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите "" а затем Безопасность а затем Разрешения API.
  3. В разделе Управление доступом приложений установите флажок Доверять внутренним приложениям и приложениям, принадлежащим домену и нажмите Сохранить.

В число принадлежащих домену приложений входят следующие:

  • Проекты Google Apps Script, созданные пользователями в организации.
  • Связанные с организацией приложения в Google Cloud Console.

Примечание. Если вы установили флажок "Доверять внутренним приложениям и приложениям, принадлежащим домену", но также используете управление правами доступа сторонних приложений, чтобы заблокировать какое-либо из этих приложений, оно будет заблокировано. Подробнее о том, как управлять доступом приложений с помощью категорий "Надежные", "Ограниченный набор сервисов" и "Заблокированные"

Как изменить сообщение об отклоненном приложении

При попытке установить стороннее веб-приложение пользователь видит экран с уведомлением о том, что нужно предоставить согласие, или о том, что приложение отклонено (в зависимости от сервиса или приложения). При желании вы можете изменить это сообщение, например добавить контактную информацию службы поддержки.  

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите "" а затем Безопасность а затем Разрешения API.
  3. На странице Управление доступом приложений перейдите в раздел Настройки.
  4. В поле под надписью Показывать это сообщение при попытке использовать приложение, у которого нет доступа к сервисам Google с ограниченным доступом введите текст сообщения.
  5. Нажмите "Сохранить".

Статьи по теме

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.