控制哪些第三方应用和内部应用可以访问 Google Workspace 数据

要管理贵组织的移动应用,请改为点击此处

在用户通过“使用 Google 账号登录”选项(单点登录)登录第三方应用时,您可以控制这些应用如何访问贵组织的 Google 数据。您可以使用 Google 管理控制台中的设置来管理通过 OAuth 2.0 访问 Google Workspace 服务的权限。部分应用使用的是 OAuth 2.0 范围,这种机制可以限制对用户账号的访问权限。

此外,您还可以自定义消息,在用户尝试安装未经授权的应用时向其显示。

注意:对于 Google Workspace 教育版,可能有其他限制会阻止中小学校的用户访问某些第三方应用。

准备工作:检查贵组织的第三方应用

在“应用访问权限控制”中,您可以检查以下类型的第三方应用:

  • 已配置的应用 - 已配置访问权限设置(“受信任”“受限”或“已屏蔽”)的应用
  • 访问过数据的应用 - 用户所使用的访问过 Google 数据的应用
  • 待审核的应用(适用于教育版)- 未满 18 周岁的用户申请访问权限的应用

第三方应用的详细信息通常会在授权后的 24 - 48 小时内显示。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 点击管理第三方应用的访问权限即可查看您已配置的应用。如需过滤应用列表,请点击添加过滤条件,并选择一个选项。

    应用列表会显示各应用的应用名称、类型和 ID 以及如下信息:

    • 验证状态 - 应用已通过 Google 审核。Google 通过审核来确认应用遵守特定政策。许多广为人知的应用可能并未以此种方式经过验证。有关详情,请参阅什么是已经过验证的第三方应用?
    • 访问权限 - 哪些组织部门已为应用配置访问权限政策。将光标指向某个应用,然后点击查看详细信息即可查看访问权限级别(“受信任”“受限”或“已屏蔽”)。点击更改访问权限更改应用的数据访问权限级别
  4. 要查看访问过数据的应用,请在进行过访问的应用部分,点击查看列表

    对于访问过数据的应用,您还可以查看:

    • 用户 - 访问应用的用户数量。
    • 请求的服务 - 各应用当前正在使用的 Google 服务 API(OAuth2 范围),如 Gmail、日历或 Google 云端硬盘。非 Google 请求的服务会列为其他
  5. 已配置的应用访问过数据的应用列表中,点击应用可看到如下操作:
    • 管理您的应用是否可以访问 Google 服务 - 检查应用是被标记为“受信任”“受限”还是“已屏蔽”。如果您更改了访问权限配置,请点击保存
    • 查看应用的相关信息 - 应用的完整 OAuth2 客户端 ID、用户数量、隐私权政策和支持信息。
    • 查看应用请求的 Google 服务 API(OAuth 范围)- 各应用请求的 OAuth 范围列表。要查看各个 OAuth 范围,请展开相应表格行或点击全部展开
  6. (可选)要将应用信息下载到 CSV 文件中,请点击已配置的应用访问过数据的应用列表顶部的下载列表
    • 系统会下载表格中的全部数据(包括未显示的数据)。
    • 对于已配置的应用,CSV 文件中包含以下额外的列:用户数量、请求的服务以及与每项服务关联的 API 范围。如果已配置的应用未访问过数据,则其用户数为零 (0),其他两列则为空白。

应用验证是 Google 的一项举措,旨在确保要访问敏感客户数据的第三方应用通过安全和隐私权检查。用户可能会被禁止激活您不信任的、未经验证的应用(请参阅本页下文,详细了解如何信任应用)。如需了解详情,请参阅授权未经验证的第三方应用

限制或取消限制 Google 服务

您可以限制(或不限制)对大多数 Google Workspace 服务(包括机器学习一类的 Google Cloud 服务)的访问权限。各选项的含义如下:

  • 受限:只有访问权限设置配置为“受信任”的应用才能访问数据。
  • 不受限:访问权限设置配置为“受信任”或“受限”的应用均可访问数据。

例如,如果您将日历访问权限设为“受限”,则只有访问权限设置配置为“受信任”的应用才能访问日历数据。访问权限设置配置为“受限”的应用无法访问日历数据。

注意:对于 Gmail 和 Google 云端硬盘,您可以明确限制对高风险服务(例如发送邮件或删除云端硬盘中的文件)的访问权限。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 点击管理 Google 服务
  4. 在服务列表中,勾选您要管理的服务所对应的复选框。 如需勾选所有复选框,请勾选服务复选框。
  5. (可选)如需过滤此列表,请点击添加过滤条件,然后从以下条件中进行选择:
    • Google 服务 - 从服务列表中进行选择,然后点击应用
    • Google 服务访问权限 - 选择无限制受限,然后点击应用
    • 允许的应用数 - 指定允许的应用数量范围,然后点击应用
    • 用户数 - 指定用户数量范围,然后点击应用
  6. 点击顶部的更改访问权限,然后选择不受限受限
    如果您将访问权限更改为“受限”,则之前安装的任何不受信任的应用都会停止运行,且令牌会被撤销。当用户尝试使用其 Google 账号登录具有受限范围的应用时,系统会通知其该应用已被屏蔽。如果限制对云端硬盘服务的访问权限,那么对 Google Form API 的访问权限也会受到限制。
    注意:系统会在授予或撤销令牌后的 48 小时内更新访问过数据的应用列表。
  7. (可选)如果您选择受限,那么如要允许访问未归类为高风险的 OAuth 范围(例如,允许应用访问用户选择的云端硬盘文件的范围),请勾选对于不受信任的应用,允许用户授权其访问未被归类为高风险的 OAuth 范围复选框(此复选框会对 Gmail 和云端硬盘等应用显示,但不会对所有应用显示)。
  8. 点击更改并根据提示进行确认。
  9. (可选)要查看哪些应用可以访问某项服务,请执行以下操作: 
    1. 在顶部的进行过访问的应用部分,点击查看列表
    2. 点击添加过滤条件 接着点击 请求的服务
    3. 选择您要查看的服务,然后点击应用

限制对高风险 OAuth 范围的访问权限

Gmail 和云端硬盘还有预定义的高风险 OAuth 范围列表,您可以限制应用访问其中的范围。

Gmail 高风险 OAuth 范围
  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

要详细了解 Gmail 的范围,请参阅选择授权范围

云端硬盘高风险 OAuth 范围
  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents

要详细了解云端硬盘的范围,请参阅 API 专属授权和身份验证信息

管理第三方应用对 Google 服务的访问权限以及添加应用

您可以屏蔽特定应用、将应用标记为受信任或受限,从而管理这些应用的访问权限。受信任的应用可以访问所有 Google Workspace 服务(OAuth 范围),包括受限的服务。您可以将 OAuth 客户端 ID 配置的应用列入许可名单,以保留应用编程接口 (API) 对 Google Workspace 服务的访问权限,即使这些服务具有适用于 API 访问权限的情境感知访问权限政策时也是如此。受限的应用只能访问不受限的服务。您可以通过应用列表或应用信息页面更改应用的数据访问权限设置。

通过应用列表更改访问权限

  1. API 控制 接着点击应用访问权限控制中,点击管理第三方应用的访问权限

  2. 在已配置的应用列表或访问过数据的应用列表中,将鼠标光标悬停在某个应用上,然后点击更改访问权限。或者,勾选多个应用旁边的复选框,然后点击列表顶部的更改访问权限。 
  3. 选择要为哪些组织部门配置访问权限:
    • 如要将设置应用于所有用户,请将顶级组织部门保持为已选中状态。
    • 如要将其应用于特定组织部门,请点击选择组织部门接着点击包括组织,然后选择特定组织部门。
  4. 点击下一页
  5. 根据需要选择操作步骤:
    • 受信任 - 应用可以访问所有 Google 服务(受限和不受限)。Google 自有应用(例如 Chrome 浏览器)会自动获得信任,无法配置为受信任的应用。 
      (可选)要让所选应用保持对 Google Workspace 服务的 API 访问权限,即使这些服务具有适用于 API 访问权限的情境感知访问权限政策,请选择在情境感知访问权限中豁免 API 访问权限的许可名单。此选项仅适用于使用 OAuth 客户端 ID 添加的 Web、Android 或 iOS 应用。选择此选项并不会自动使应用不受 API 访问权限的约束。此外,您还需要在分配情境感知访问权限级别时豁免相应应用。此许可名单仅适用于您在第 3 步(本页上方)中指定的组织部门。
    • 受限:只能访问不受限的 Google 服务。
    • 已屏蔽:无法访问任何 Google 服务。
      如果您将某个应用列入了设备的许可名单,但同时使用 API 控件屏蔽了该应用,则系统会屏蔽该应用。通过 API 控件屏蔽应用的操作会覆盖将应用列入许可名单的操作。
  6. 点击下一步
  7. 检查范围和访问权限设置,然后点击更改访问权限
通过应用信息页面更改访问权限
  1. 点击列表中的一个应用,然后点击“对 Google 数据的访问权限”。
  2. 在左侧点击要设置数据访问权限的群组或组织部门。默认情况下系统会选中顶级单位部门,相应更改会应用于整个单位。
  3. 选择数据访问权限级别。
  4. 点击保存
  5. (可选)根据需要为不同的组织部门应用不同的设置。例如:
    • 要禁止某个应用访问您所有用户的数据,请选择您的顶级组织部门,然后选择已屏蔽
    • 要仅禁止部分用户访问数据,请将访问权限设置为受信任(对于顶级组织部门)和已屏蔽(对于包含这些用户的下级组织部门)。(完成每个组织部门的设置后,点击保存。)
添加新应用
  1. 应用访问权限控制中,点击管理第三方应用的访问权限
  2. 已配置的应用部分,点击添加应用
  3. 选择 OAuth 应用名称或客户端 ID(选择此选项以稍后将应用列入 API 豁免许可名单)、AndroidiOS
  4. 输入应用的名称或客户端 ID,然后点击搜索
  5. 将光标指向该应用,然后点击选择
  6. 勾选您要配置的客户端 ID 所对应的复选框,然后点击选择
  7. 请选择要为哪些对象配置访问权限:
    1. 默认情况下,系统会选中顶级组织部门。选中此选项即可为贵组织中的所有用户设置访问权限。
    2. 如要为特定组织部门配置访问权限,请点击选择组织部门,然后点击 + 以查看您的组织部门。勾选所需的组织部门,然后点击选择
  8. 点击继续
  9. 根据需要选择操作步骤:
    • 受信任 - 应用可以访问所有 Google 服务(受限和不受限)。
      (可选)要让所选应用保持对 Google Workspace 服务的 API 访问权限,即使这些服务具有适用于 API 访问权限的情境感知访问权限政策,请选择在情境感知访问权限中豁免 API 访问权限的许可名单。此选项仅适用于使用 OAuth 客户端 ID 添加的 Web、Android 或 iOS 应用。选择此选项并不会自动使应用不受 API 访问权限的约束。此外,您还需要在分配情境感知访问权限级别时豁免相应应用。此许可名单仅适用于您在第 7 步中指定的组织部门。
    • 受限:只能访问不受限的 Google 服务。
    • 已屏蔽:无法访问任何 Google 服务。
      如果您将某个应用列入了设备的许可名单,但同时使用 API 控件屏蔽了该应用,则系统会屏蔽该应用。通过 API 控件屏蔽应用的操作会覆盖将应用列入许可名单的操作。
  10. 检查新应用的设置,然后点击完成

系统会提示用户同意添加 Web 应用,但在 Google Workspace Marketplace,您可以通过网域安装绕过同意屏幕,前提是相应应用已获批准。

为未配置的应用选择设置

您未配置为受信任、受限或已屏蔽的第三方应用(如上一部分管理第三方应用对 Google 服务的访问权限并添加应用中所述)会被视为未配置的应用。您可以控制在用户尝试使用其 Google 账号登录未配置的应用时,系统会如何处理。

查找设置

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 点击设置,然后选择您的设置。请参阅下文了解这些设置
  4. 点击保存

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

未配置的应用设置

自定义用户消息

这是在用户无法访问被屏蔽的应用时显示的一条自定义消息。如要创建自定义消息,请选择开启,然后输入消息。

如果自定义消息处于关闭状态或无法显示,则用户会看到默认消息。

未配置的第三方应用

此设置用于控制在用户尝试使用其 Google 账号登录未配置的应用时,系统会如何处理。无论此设置是什么,用户仍可访问配置了受信任或受限访问权限的应用。

选择一个选项:

  • 允许用户访问任何第三方应用(默认选项)- 用户可以使用 Google 账号登录任何第三方应用。访问过数据的应用可以为该用户请求不受限的 Google 数据。
  • 允许用户使用那些只请求访问“使用 Google 账号登录”功能所需的基本信息的第三方应用 - 用户可以使用 Google 账号登录仅请求基本个人资料信息(用户的 Google 账号名称、电子邮件地址和个人资料照片)的第三方应用。有关详情,请参阅使用您的 Google 账号登录其他应用或服务
  • 不允许用户访问任何第三方应用 - 除非您为第三方应用和网站配置访问权限设置,否则用户将无法使用 Google 账号登录任何此类第三方应用和网站。有关详情,请参阅上一部分:管理第三方应用对 Google 服务的访问权限并添加应用

Google Workspace 教育版 :您可以为年满 18 周岁的用户选择不同的设置。如果您使用此设置屏蔽第三方应用,则可以通过用户请求访问未配置的应用设置允许用户请求访问那些被屏蔽的应用。
 

内部应用

这样一来,贵组织构建的内部应用即可访问受限的 Google Workspace API。

如要允许所有内部应用访问 API,请勾选信任内部应用复选框。

用户请求访问未配置的应用

只有 Google Workspace 教育版提供此功能。

这样,用户即可申请访问受未配置的第三方应用设置屏蔽的应用。

在用户申请访问某个应用时,管理员会收到通知,并且可以选择配置访问权限设置,以允许用户访问应用。

如要允许用户申请访问权限,请勾选允许用户请求访问未配置的第三方应用复选框

相关主题

该内容对您有帮助吗?
您有什么改进建议?

需要更多帮助?

请尝试以下步骤:

与我们联系 向我们提供更多信息,以便我们帮您解决问题
true
立即开始免费试用 14 天

专业电子邮件地址、在线存储空间、共享日历、视频会议等工具一应俱全。立即开始免费试用 G Suite

搜索
清除搜索查询
关闭搜索框
Google 应用
主菜单
true
搜索支持中心
true
true
true
true
true
73010