将关联的应用列入白名单

管理对关联应用基于 OAuth 的访问权限

作为管理员,如果您不希望通过第三方 OAuth 应用或插件与单位网域外部的人员共享敏感的 Google 云端硬盘或 Gmail 内容,可以撤消 OAuth 访问令牌。

您也可以在各项 G Suite 服务中停用某些 API 作用域。这些服务包括 Gmail、云端硬盘、日历和 Google Cloud Platform 服务(如机器学习)。您可以有选择地将可访问这些作用域的第三方应用列入白名单。

如果针对某项 G Suite 服务(如日历)停用 API 作用域或信任第三方应用,相应设置将应用于该服务的所有作用域。其中也包括 OAuth 作用域。某些应用(如 Gmail)为预定义的涉及高风险的作用域提供了更高级别的访问控制。

如何将应用列入白名单

您必须以超级用户身份登录,才能执行此任务。

如果您使用的是云端硬盘企业版,则无法为 Gmail 或日历应用 API 访问权限设置。

要将应用列入白名单,请先限制第三方应用可以访问的 G Suite API 作用域,然后创建白名单,从而指定哪些应用可以访问已屏蔽的作用域。具体方法如下:

第 1 步:查看第三方应用对 API 作用域的访问权限
  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到安全

    您可能需要点击底部的更多控件,才能在首页看到“安全”。

  3. 点击 API 权限
  4. 检查以下每项核心服务的 API 访问权限:
    • G Suite:
      • Gmail
      • 云端硬盘
      • 日历
      • 通讯录
      • 管理员
      • 保险柜
      • Apps 脚本运行时 - 控制 Apps 脚本项目可以执行的操作,包括应用制作工具、插件以及来自您网域内部和外部的脚本。
      • Apps Script API - 控制是否允许客户端使用 Apps Script API 管理项目。
    • Google Cloud Platform:
      • Cloud Platform - 包括所有 Google Cloud Platform 服务(机器学习和 Cloud Billing 除外)。
      • 机器学习 - 包括 Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API 和 Cloud Vision API。
      • 云结算
  5. 点击每个 API 作用域下的应用链接,以确认目前可以访问核心服务的应用。
  6. (可选)您可以按 API 权限、名称或用户数筛选已安装的应用。
  7. (可选)要将应用添加到受信任的应用列表中,请点击右侧的“更多”图标 更多,然后选择信任
  8. 请先查看这些应用,然后再转到下一部分以创建白名单。
第 2 步:将应用添加到受信任应用的白名单中
  1. 在管理控制台首页上,转到安全 然后 API 权限
  2. 在应用列表底部,点击受信任的应用链接。
  3. 点击“将应用列入白名单”添加 
    系统会打开将应用添加到受信任列表窗口
  4. 选择应用类型列表中,选择一个选项:
    • Android
    • iOS
    • 网络应用 - 需要您填写 OAuth2 客户端 ID
  5. 如要选择 Android 或 iOS® 应用,请输入应用名称,然后点击搜索,系统会列出可用的应用。
  6. 向下滚动以查看更多应用。
  7. 当系统显示完整的应用列表后,使用 Ctrl + f⌘ + f (Mac) 搜索应用的全名或部分名称。
  8. 选中您要添加的应用旁边的复选框,然后点击添加
  9. (可选)要为内部应用提供访问受限制 G Suite API 的权限,请执行以下操作:
    1. 返回到“安全”页面。
    2. 在页面底部的内部应用设置旁边,勾选信任网域拥有的应用复选框,然后点击保存

注意:如果您停用信任网域拥有的应用功能,内部应用则无法访问受限制的 G Suite API。网域拥有的应用包括:

  • 网域内用户创建的任何 Google Apps 脚本项目
  • Google Cloud Platform Console 中与单位关联的归网域所拥有的应用
第 3 步:屏蔽特定的 API 作用域
  1. 在管理控制台首页上,转到安全 然后 API 权限
  2. 点击应用链接以确认哪些应用会受到影响。
    如果您撤消某个应用的访问权限,则最长需要 24 小时,该应用才会从列表中消失。
  3. 如果您点击“停用”选项,则可以屏蔽以下任一核心服务的 API 访问权限:
    • G Suite:
      • Gmail
      • 云端硬盘
      • 日历
      • 通讯录
      • 管理员
      • 保险柜
    • Google Cloud Platform:
      • Cloud Platform - 包括所有 Google Cloud Platform 服务(机器学习和 Cloud Billing 除外)。
      • 机器学习 - 包括 Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API 和 Cloud Vision API。
      • Cloud Billing
  4. 如要停用 Gmail 的 API 访问权限,请从下列选项中选择一项:
    • 所有使用行为 - 屏蔽所有第三方应用(您已列入白名单的除外)。
    • 高风险的使用行为 - 屏蔽 OAuth 作用域风险较高的第三方应用:
      • https://mail.google.com/
      • https://www.googleapis.com/auth/gmail.compose
      • https://www.googleapis.com/auth/gmail.insert
      • https://www.googleapis.com/auth/gmail.metadata
      • https://www.googleapis.com/auth/gmail.modify
      • https://www.googleapis.com/auth/gmail.readonly
      • https://www.googleapis.com/auth/gmail.send
      • https://www.googleapis.com/auth/gmail.settings.basic
      • https://www.googleapis.com/auth/gmail.settings.sharing

        要详细了解 Gmail 的作用域,请参阅 Choose Auth Scopes

  5. 如要停用云端硬盘的 API 访问权限,请选择相应选项:
    • 所有使用行为 - 屏蔽所有第三方应用(您已列入白名单的除外)。
    • 高风险的使用行为 - 屏蔽使用以下风险较高的 OAuth 作用域的第三方应用:
      • https://www.googleapis.com/auth/drive
      • https://www.googleapis.com/auth/drive.apps.readonly
      • https://www.googleapis.com/auth/drive.metadata
      • https://www.googleapis.com/auth/drive.metadata.readonly
      • https://www.googleapis.com/auth/drive.readonly
      • https://www.googleapis.com/auth/drive.scripts
      • https://www.googleapis.com/auth/documents

        要详细了解云端硬盘的作用域,请参阅 About Authorization

  6. 点击保存

如果您停用 API 访问权限:

  • 屏蔽作用域后,任何已安装的应用都会停止工作且令牌将被撤消。
  • 如果用户尝试安装的应用包含已屏蔽的作用域,他们就会看到错误消息显示在以下内容的下方:当用户尝试访问权限已遭停用的应用时,显示错误消息(在 API 作用域列表下方)。 您可在需要时编辑此默认消息(消息长度上限为 300 字符)。
第 4 步:从白名单中移除应用
  1. 在管理控制台首页上,转到安全 然后 API 权限
  2. 在应用列表底部,点击受信任的应用链接。
  3. 在您要从白名单中移除的应用旁边,点击 Action menu,然后选择移除
该内容对您有帮助吗?
您有什么改进建议?