控管哪些第三方應用程式和內部應用程式可存取 G Suite 資料

您可以控管要讓哪些第三方和網域擁有的應用程式存取 G Suite 機密資料。透過應用程式存取權控制項,您可針對使用 OAuth 2.0 的 G Suite 服務管理存取權。為了讓應用程式順利存取資料,現今的高安全性應用程式皆採用 OAuth 2.0 範圍,這一系列程序亦稱為外部 API。應用程式可透過這些範圍從大部分 G Suite 服務 (例如 Gmail、Google 雲端硬碟、日曆和聯絡人) 存取有限的使用者資料。使用應用程式存取權控制項

  • 限制大部分 G Suite 服務的存取權,或者不對這些服務設定限制。
  • 信任特定應用程式,允許應用程式存取受限制的 G Suite 服務。
  • 信任網域擁有的所有應用程式。

以下步驟將說明如何執行這些操作,以及如何針對使用中的第三方應用程式尋找詳細資料。此外,如果使用者嘗試安裝未經授權的應用程式,您可以自訂要向他們顯示的錯誤訊息。

使用應用程式存取權控制項

全部展開   |   全部收合

檢查環境中的第三方應用程式

在執行控制項之前,請先檢查您的使用者授權了哪些應用程式存取 G Suite 資料。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 選單下一步 [安全性]下一步 [應用程式存取權控制項]
    注意:如果找不到「應用程式存取權控制項」設定,請按照這裡的步驟管理應用程式。新的「應用程式存取權控制項」介面將在數週後自動出現。
  3. 在「應用程式存取權控制項」主頁面中,選取 [管理第三方應用程式存取權]
  4. 如要查看應用程式的詳細資料,請在應用程式表格中尋找所需內容。 
    每個應用程式項目都會顯示以下資訊: 
    • 應用程式名稱
    • 應用程式類型
    • 存取該應用程式的使用者人數
  5. 點選任一項目。 
    應用程式詳細資料頁面會提供以下內容:
    • 應用程式正在使用的 G Suite 服務
    • 應用程式的完整 OAuth2 用戶端 ID
    • 發布者資訊,包括隱私權政策和支援連結
    • 如果存取特定受限 API 範圍的應用程式已通過驗證,這個頁面會顯示該應用程式的驗證狀態。

應用程式驗證是 Google 的一項計畫,旨在確保存取客戶機密資料的第三方應用程式皆能通過安全性與隱私權檢查。系統可能會禁止使用者啟用您不信任的未驗證應用程式 (詳情請參閱下文,瞭解如何信任應用程式)。如要進一步瞭解應用程式驗證,請參閱授權未經驗證的第三方應用程式

限制 Google 服務存取權

您可以限制 (或不限制) 大多數 G Suite 服務的存取權,包括機器學習等 Google Cloud Platform 服務。對於 Gmail 和 Google 雲端硬碟,您可以明確限制高風險範圍 (例如傳送 Gmail 郵件或刪除雲碟硬碟中的檔案) 的存取權。即使系統提示使用者同意授權特定應用程式,如果應用程式使用的範圍受到限制,且您並未明確信任該應用程式,那麼使用者將無法新增應用程式。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 選單下一步 [安全性]下一步 [應用程式存取權控制項]
    注意:如果找不到「應用程式存取權控制項」設定,請按照這裡的步驟管理應用程式。新的「應用程式存取權控制項」介面將在數週後自動出現。
  3. 在「應用程式存取權控制項」主頁面中,選取 [管理 Google 服務]
    您可以控管的 Google 服務包括:
    • G Suite:
      • G Suite 管理員
      • Gmail
      • 雲端硬碟
      • 日曆
      • 聯絡人
      • 保管箱
      • Apps Script Runtime (控管 Apps Script 專案可執行的動作,包括應用程式製作工具、外掛程式,以及來自貴機構內部或外部的指令碼)。
      • Apps Script API (控管用戶端能否透過 Apps Script API 管理專案)。

    • Google Cloud Platform:
      • Cloud Platform (包括所有 Google Cloud Platform 服務,機器學習和 Cloud Billing 除外)。
      • 機器學習 (包括 Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API 和 Cloud Vision API)。
      • Cloud Billing
  4. 檢查各項服務的存取權:
    • 未限制:所有第三方應用程式都可以在使用者同意的情況下存取此服務。
    • 受限制:只有您信任的應用程式才能在使用者同意的情況下存取此服務。
    • 受限制 - 高風險範圍存取權:只有獲得您信任的應用程式可以存取此服務的高風險範圍。所有應用程式都可以存取風險較低的範圍。另外,在任何情況下都必須徵得使用者同意。
      • Gmail 的高風險 OAuth 範圍如下:
        • https://mail.google.com/
        • https://www.googleapis.com/auth/gmail.compose
        • https://www.googleapis.com/auth/gmail.insert
        • https://www.googleapis.com/auth/gmail.metadata
        • https://www.googleapis.com/auth/gmail.modify
        • https://www.googleapis.com/auth/gmail.readonly
        • https://www.googleapis.com/auth/gmail.send
        • https://www.googleapis.com/auth/gmail.settings.basic
        • https://www.googleapis.com/auth/gmail.settings.sharing

          如要進一步瞭解 Gmail 範圍,請參閱選擇驗證範圍

      • 雲端硬碟的高風險 OAuth 範圍如下:
        • https://www.googleapis.com/auth/drive
        • https://www.googleapis.com/auth/drive.apps.readonly
        • https://www.googleapis.com/auth/drive.metadata
        • https://www.googleapis.com/auth/drive.metadata.readonly
        • https://www.googleapis.com/auth/drive.readonly
        • https://www.googleapis.com/auth/drive.scripts
        • https://www.googleapis.com/auth/documents
          如要進一步瞭解雲端硬碟範圍,請參閱授權簡介
  5. (選用) 如要查看哪些應用程式有權存取服務,請按照以下步驟操作:
    1. 點選表格上方的 [應用程式]
    2. 依序點選 [新增篩選器] 下一步 [要求的服務]。
    3. 選取您要查看的服務。 
      系統會顯示有權存取 OAuth 範圍的應用程式,以及相關信任狀態。
  6. 如要變更存取權 (例如限制存取權),請按照以下步驟操作:
    • 如果只要設定一項服務,請在表格中將滑鼠游標指向該服務的資料列,然後按一下最右側的 [變更存取權]
    • 如要一次設定多項服務,請在表格中選取這些服務,然後按一下表格頂端的 [變更存取權]

將範圍更改為「受限制」後,先前安裝的應用程式如未獲得信任,則會全數停止運作,憑證也會遭到撤銷。如果使用者嘗試安裝的應用程式設有受限制的範圍,系統會對他們顯示通知,說明已封鎖該應用程式。

在信任清單中新增或移除應用程式

您可以信任特定應用程式,允許這些應用程式存取所有 G Suite 服務 (OAuth 範圍),也可以決定是否要信任網域擁有的所有應用程式。將應用程式設為信任後,使用者即可安裝未經濫用防制小組驗證的應用程式。未獲您信任的應用程式只能存取不受限制的服務,這類應用程式僅具備有限的 G Suite API 存取權。

提示:系統會向使用者顯示提示,請他們同意新增網頁應用程式。但在 G Suite Marketplace 中,您可以透過網域安裝程序略過同意畫面,這項程序僅適用於已核准的應用程式。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 選單下一步 [安全性]下一步 [應用程式存取權控制項]
    注意:如果找不到「應用程式存取權控制項」設定,請按照這裡的步驟管理應用程式。新的「應用程式存取權控制項」介面將在數週後自動出現。
  3. 在「應用程式存取權控制項」主頁面中,選取 [管理第三方應用程式存取權]
  4. 查看應用程式清單。
  5. 如要搜尋特定應用程式名稱、用戶端 ID 或應用程式存取的服務,請按一下 [新增篩選器]。
    如果應用程式列於清單內,表示該應用程式正在使用中,且/或已設為可信任項目。
  6. 如要變更存取權 (例如設為信任),請按照以下步驟操作:
    • 如果只要設定一個應用程式,請在表格中將滑鼠游標指向該應用程式的資料列,然後按一下最右側的 [變更存取權]
    • 如要一次設定多個應用程式,請在表格中選取這些應用程式,然後按一下表格頂端的 [變更存取權]。 

      您可以將應用程式設為以下狀態:
      • 可信任:能夠存取所有 Google 服務
      • 有限:只能存取不受限的 Google 服務
  7. (選用) 如果要信任的應用程式不在清單中,請按一下應用程式清單頂端的 [新增應用程式],然後選擇下列任一做法:
    • 如果是網頁應用程式:
      1. 按一下 [OAuth 應用程式名稱或用戶端 ID]
      2. 輸入用戶端 ID,然後點選 [搜尋]
      3. 選取應用程式,然後點選 [新增]
    • 如果是行動應用程式:
      1. 按一下 [Android] 或 [iOS]。
      2. 輸入應用程式名稱並點選 [搜尋],系統隨即會顯示可用應用程式的清單。
      3. 選取應用程式,然後點選 [新增]

注意:如果您將可信任應用程式的存取權變更為「有限」,當此應用程式沒有任何活躍使用者時,清單就不會再列出該應用程式 (除非您再次新增應用程式,或有使用者啟用該應用程式)。

允許內部應用程式存取受限制的 G Suite API

建立內部開發的應用程式時,您可以將這類應用程式全數設為可信任,允許它們存取受限制的 G Suite 服務。如果您選擇不這麼做,則須個別信任應用程式。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 選單下一步 [安全性]下一步 [應用程式存取權控制項]
    注意:如果找不到「應用程式存取權控制項」設定,請按照這裡的步驟管理應用程式。新的「應用程式存取權控制項」介面將在數週後自動出現。
  3. 在頁面底部勾選 [信任網域擁有的內部應用程式] 方塊,然後按一下 [儲存]。

網域擁有的應用程式包括:

  • 機構內使用者建立的 Google Apps Script 專案
  • Google Cloud Platform Console 中與機構相關聯的應用程式
自訂遭拒應用程式的訊息

視特定服務和應用程式而定,當使用者嘗試安裝第三方網頁應用程式時,他們會看到同意或拒絕的畫面。您可以自訂這個拒絕畫面,例如在其中新增支援服務聯絡資訊。 

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 選單下一步 [安全性]下一步 [應用程式存取權控制項]
    注意:如果找不到「應用程式存取權控制項」設定,請按照這裡的步驟管理應用程式。新的「應用程式存取權控制項」介面將在數週後自動出現。
  3. 前往 [設定]
  4. 在「如果使用者嘗試使用的應用程式無法存取受限制的 Google 服務,使用者就會看到這則訊息」下方的方塊中,輸入您自訂的文字。
  5. 按一下 [儲存]

相關主題

這對您有幫助嗎?
我們應如何改進呢?