Vitlista anslutna appar

Hantera OAuth-baserad åtkomst till anslutna appar

Som avancerad administratör återkallar du OAuth-åtkomsttoken om du inte vill dela känsligt Drive- eller Gmail-innehåll utanför organisationens domän via externa OAuth-appar eller tillägg.

Nu kan du även inaktivera flera API-omfattningar i G Suite-tjänster. De inkluderar Gmail, Drive, Kalender och Google Cloud Platform-tjänster, till exempel maskininlärning. Du kan selektivt godkända externa appar som kan komma åt dessa omfattningar. Om du har Drive Enterprise-utgåvan gäller inte API-åtkomstinställningar för Gmail och Kalender.

Om du inaktiverar ett API-tillämpningsområde eller litar på en extern app för en G Suite-tjänst, exempelvis Kalender, kommer alla omfattningar som tillhandahålls av den att inkluderas. De inkluderar OAuth-omfattningar. Vissa appar, till exempel Gmail, ger en högre nivå av åtkomstkontroll för fördefinierade högriskomfattningar. 

Om du vill godkänna appar begränsar du först vilka G Suite API-omfattningar som externa appar kan komma åt. Använd sedan inställningarna för API-behörigheter under Säkerhet för att skapa vitlistor som definierar vilka specifika appar som kan komma åt blockerade omfattningar.

Så här godkänner du en app

Steg 1. Granska åtkomsten som appar från tredje part har till API-omfattningar
  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Öppna Säkerhet på startsidan för administratörskonsolen.

    Om du vill se Säkerhet på startsidan måste du kanske klicka på Fler kontroller längst ned.

  3. Klicka på API-behörigheter.
  4. Kontrollera API-åtkomst för någon av följande kärntjänster:
    • G Suite:
      • Gmail
      • Drive
        • Inkluderar möjligheten att begränsa enhetens åtkomst till Android Google Drive enbart till vitlistade Android-appar.
      • Kalender
      • Kontakter
      • Admin
      • Arkiv
      • Apps Script-körning – styr vilka åtgärder Apps Script-projekt kan utföra. Inkluderar App Maker-appar, tillägg och skript från din domän och utanför den.
      • Apps Script API – styr om klienter kan använda Apps Script API för att hantera projekt. 
    • Google Cloud Platform
      • Cloud Platform-inkluderar alla Google Cloud Platform-tjänster, förutom maskininlärning och Cloud Billing
      • Maskininlärning inkluderar Cloud Video Intelligence, Cloud Speech API, Cloud Natural Language API, Cloud Translation API och Cloud Vision API
      • Cloud Billing
  5. (Valfritt) Du kan filtrera dina installerade appar efter API-behörigheter, namn eller efter antalet användare.
  6. Klicka på länken Appar att bekräfta vilka appar som för närvarande har åtkomst till bastjänsten.
  7. Granska dessa appar innan du fortsätter till nästa avsnitt och skapar vitlistan.
Steg 2. Skapa en vitlista över betrodda appar
  1. Från administratörskonsolens översikt öppnar du Säkerhet följt av API-behörigheter.
  2. Längst ned i listan med appar klickar du på länken Betrodda appar.
  3. Klicka på Vitlista en app Lägg till 
    Fönstret Lägg till appen på listan över betrodda öppnas.
  4. Välj ett av följande alternativ i listan Välj apptyp:
    • Android
    • iOS
    • Webbappar – kräver att du anger klient-id för OAuth2.
  5. För Android eller iOS® anger du ett appnamn och klickar på Sök för att visa en lista över tillgängliga appar.
  6. Rulla ned för att se fler appar.
  7. Använd Ctrl + f eller ⌘ + f (Mac) när hela applistan visas och sök efter hela appnamnet eller en del av det.
  8. Markera kryssrutan bredvid den app du vill lägga till och klicka på Lägg till.
  9. (Valfritt) Om du vill ge interna appar åtkomst till begränsade G Suite API:n:
    1. Navigera tillbaka till sidan Säkerhet.
    2. Längst ned på sidan markerar du Lita på domänägda appar och klickar på Spara bredvid Interna appinställningar.

Obs! Om du inaktiverar Lita på appar som ägs av domänen har interna appar inte längre åtkomst till de begränsade API:erna för G Suite. Domänägda appar omfattar:

  • alla Google Apps Script-projekt som skapats av användare på domänen
  • appar som är kopplade till organisationen i Google Cloud Platform Console som ägs av domänen. 
Steg 3. Blockera specifika API-omfattningar
  1. Från administratörskonsolens översikt öppnar du Säkerhet följt av API-behörigheter.
  2. Klicka på länken Appar att bekräfta vilka appar som påverkas.
    Om du återkallar appens åtkomst kan det ta upp till 24 timmar innan den försvinner från listan.
  3. Om du klickar på Inaktivera alternativ kan du blockera API-åtkomst för någon av dessa kärntjänster:
    • G Suite:
      • Gmail
      • Drive
        • (Valfritt för Drive) Om du vill begränsa åtkomsten till Android-appar till Android Google Drive väljer du Inaktivera och markerar sedan Blockera åtkomst till enhet (Drive). Detta blockerar åtkomsten till Drive om inte Android-appen är vitlistad eller är en Google-app som Gmail.
      • Kalender
      • Kontakter
      • Admin
      • Arkiv
    • Google Cloud Platform
      • Cloud Platform-inkluderar alla Google Cloud Platform-tjänster, förutom maskininlärning och Cloud Billing
      • Maskininlärning inkluderar Cloud Video Intelligence, Cloud Speech API, Cloud Natural Language API, Cloud Translation API och Cloud Vision API
      • Cloud Billing
  4. Om du inaktiverar API-åtkomst för Gmail väljer du ett alternativ:
    • Åtkomst till allt – blockera alla appar från tredje part, förutom de som du har vitlistat.
    • Högriskåtkomst – blockera appar från tredje part med OAuth-högriskomfång:
      • https://mail.google.com/
      • https://www.googleapis.com/auth/gmail.compose
      • https://www.googleapis.com/auth/gmail.insert
      • https://www.googleapis.com/auth/gmail.metadata
      • https://www.googleapis.com/auth/gmail.modify
      • https://www.googleapis.com/auth/gmail.readonly
      • https://www.googleapis.com/auth/gmail.send
      • https://www.googleapis.com/auth/gmail.settings.basic
      • https://www.googleapis.com/auth/gmail.settings.sharing
        Mer information om Gmail-omfång finns i Välja autentiseringsomfång.
  5. Om du inaktiverar API-åtkomst för Drive väljer du ett alternativ:
    • Åtkomst till allt – blockera alla appar från tredje part, förutom de som du har vitlistat.
    • Högriskåtkomst – blockera appar från tredje part med OAuth-högriskomfång:
      • https://www.googleapis.com/auth/drive
      • https://www.googleapis.com/auth/drive.apps.readonly
      • https://www.googleapis.com/auth/drive.metadata
      • https://www.googleapis.com/auth/drive.metadata.readonly
      • https://www.googleapis.com/auth/drive.readonly
      • https://www.googleapis.com/auth/drive.scripts
        Mer information om Drive-omfång finns i Om auktorisering.
  6. Klicka på Spara.

Om du inaktiverar API-åtkomst:

  • När omfattningarna har blockerats slutar installerade appar att fungera och token återkallas.
  • När en användare installerar en app med en svartlistad omfattning visas följande felmeddelande:

    Åtkomst till kontots data begränsas av policyer inom organisationen. Kontakta administratören för mer information. 

Steg 4. Ta bort appar från en vitlista
  1. Från administratörskonsolens översikt öppnar du Säkerhet följt av API-behörigheter.
  2. Längst ned i listan med appar klickar du på länken Betrodda appar.
  3. Klicka på Action menu bredvid appen som du vill ta bort från vitlistan och välj Ta bort.
Var det här till hjälp?
Hur kan vi förbättra den?