控制哪些第三方应用和内部应用可以访问 Google Workspace 数据

如需管理贵组织的移动应用,请改而参阅此处

在用户通过“使用 Google 账号登录”选项(单点登录)登录第三方应用时,您可以控制这些应用如何访问贵组织的 Google 数据。为此,需要使用 Google 管理控制台中的设置来管理它们通过 OAuth 2.0 访问 Google Workspace 服务的权限。部分应用使用的是 OAuth 2.0 范围,这种机制可以限制对用户账号的访问权限。

此外,您还可以自定义消息,在用户尝试安装未经授权的应用时向其显示。

注意:对于 Google Workspace 教育版,可能有其他限制会阻止中小学校的用户访问某些第三方应用。

准备工作:检查贵组织的第三方应用

在“应用访问权限控制”中,您可以检查以下类型的第三方应用:

  • 已配置的应用 - 已配置访问权限设置(“受信任”“受限”“特定 Google 数据”或“已屏蔽”)的应用。
  • 访问过的应用 - 用户使用这些应用访问过 Google 数据。
  • 待审核的应用(适用于教育版)- 有未满 18 周岁的用户申请了对这些应用的访问权限。

第三方应用的详细信息通常会在授权后的 24 - 48 小时内显示。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
    ''
  3. 点击管理第三方应用的访问权限即可查看您已配置的应用。如需过滤应用列表,请点击添加过滤条件,并选择一个选项。

    应用列表会显示各应用的应用名称、类型和 ID,以及如下信息:

    • 验证状态 - 经过验证的应用都已通过 Google 审核。Google 通过审核来确保应用符合特定政策。许多广为人知的应用可能并未以这种方式获得验证。有关详情,请参阅什么是已经过验证的第三方应用?
    • 访问权限 - 显示哪些组织部门已为应用配置访问权限政策。将光标指向某个应用,然后点击查看详细信息即可查看访问权限级别(“受信任”“受限”“特定 Google 数据”或“已屏蔽”)。点击更改访问权限更改应用的数据访问权限级别。 

      注意:如果您将访问权限级别“A”应用于特定组织部门,然后将访问权限级别“B”应用于整个组织,那么访问权限级别“A”对该组织部门仍然有效。

  4. 如需查看访问过的应用,请在访问过的应用部分,点击查看列表

    对于访问过的应用,您还可以检查:

    • 用户数 - 访问该应用的用户数量。
    • 请求的服务 - 各应用当前正在使用的 Google 服务 API(OAuth2 范围),如 Gmail、Google 日历或 Google 云端硬盘。请求的非 Google 服务会被列为其他
  5. 已配置的应用访问过的应用列表中,点击一款应用可执行以下操作:
    • 管理您的应用是否可以访问 Google 服务 - 显示该应用是被标记为“受信任”“受限”“特定 Google 数据”还是“已屏蔽”。如果您更改了访问权限配置,请点击保存
    • 查看应用的相关信息 - 显示该应用的完整 OAuth2 客户端 ID、用户数量、隐私权政策和支持信息。
    • 查看应用请求的 Google 服务 API(OAuth 范围)- 提供各应用请求的 OAuth 范围列表。如需查看各个 OAuth 范围,请展开表格中的相应行或点击全部展开
  6. (可选)如需将应用信息下载到 CSV 文件中,请点击已配置的应用访问过的应用列表顶部的下载列表
    • 系统会下载表格中的全部数据(包括未显示的数据)。
    • 对于已配置的应用,CSV 文件中包含以下额外的列:验证状态、用户数量、组织部门、请求的服务、与每项服务关联的 API 范围。如果已配置的应用未被访问过,其用户数将为零 (0),其他两列则为空白。
    • 对于访问过的应用,CSV 文件中包含以下额外的列:验证状态、组织部门、与每项服务关联的 API 范围。

应用验证是 Google 的一项举措,旨在确保要访问敏感客户数据的第三方应用通过安全和隐私权检查。用户可能会被禁止激活您不信任的未经验证的应用(本页后文详细介绍了关于信任应用的话题)。如需了解详情,请参阅授权未经验证的第三方应用

限制或取消限制 Google 服务

您可以限制或不限制(默认不限制)对大多数 Google Workspace 服务(包括机器学习一类的 Google Cloud 服务)的访问权限。各选项的含义如下:

  • 受限 - 只有访问权限设置配置为“受信任”的应用才能访问数据。
  • 不受限 - 只有访问权限设置配置为“受信任”“受限”或“特定 Google 数据”的应用才能访问管理员配置的范围,无论该范围的数据访问权限是“受限”还是“不受限”,情况都是如此。

例如,如果您将日历访问权限设为“受限”,则只有访问权限设置配置为“受信任”的应用才能访问日历数据。访问权限设置配置为“受限”的应用无法访问日历数据。

注意:对于 Gmail、Google 云端硬盘和 Google Chat,您可以专门限制对高风险服务(例如发送邮件或删除云端硬盘中的文件)的访问权限。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 点击管理 Google 服务
  4. 在服务列表中,勾选您要管理的服务所对应的复选框。如需勾选所有复选框,请勾选服务复选框。
  5. (可选)如需过滤此列表,请点击添加过滤条件,然后从以下条件中进行选择:
    • Google 服务 - 从服务列表中进行选择,然后点击应用
    • Google 服务访问权限 - 选择不受限受限,然后点击应用
    • 允许的应用数 - 指定允许的应用数量范围,然后点击应用
    • 用户数 - 指定用户数量范围,然后点击应用
  6. 点击顶部的更改访问权限,然后选择不受限受限
    如果您将访问权限更改为“受限”,则之前安装的任何不受信任的应用都会停止运行,且令牌会被撤消。如果用户尝试安装(或登录)不受信任并访问受限服务的应用,系统会通知用户该应用已被屏蔽。如果限制对云端硬盘服务的访问权限,那么对 Google Forms API 的访问权限也会受到限制。
    注意:系统会在授予或撤消令牌 48 小时后更新访问过的应用列表。
  7. (可选)如果您选择“受限”,那么如要允许访问未归类为高风险的 OAuth 范围(例如,允许应用访问用户选择的云端硬盘文件的范围),请勾选对于不受信任的应用,允许用户授权其访问未被归类为高风险的 OAuth 范围复选框。(对于 Gmail 和云端硬盘之类的应用,会显示此复选框;对于其他一些应用,则不显示)。
  8. 点击更改并按需进行确认。
  9. (可选)如需查看哪些应用可以访问某项服务,请执行以下操作: 
    1. 在顶部的访问过的应用部分,点击查看列表
    2. 依次点击添加过滤条件 接着点击 请求的服务
    3. 选择您要查看的服务,然后点击应用

限制对高风险 OAuth 范围的访问权限

打开此部分  |  全部收起并转至页首

Gmail、Google 云端硬盘、Google 文档和 Google Chat 还可以限制对预定义的一系列高风险 OAuth 范围的访问权限。

Gmail 的高风险 OAuth 范围
  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

如需详细了解 Gmail 范围,请参阅选择 Gmail API 范围

Google 云端硬盘和 Google 文档的高风险 OAuth 范围
  • https://www.googleapis.com/auth/documents
  • https://www.googleapis.com/auth/documents.readonly
  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.activity
  • https://www.googleapis.com/auth/drive.activity.readonly
  • https://www.googleapis.com/auth/drive.admin
  • https://www.googleapis.com/auth/drive.admin.labels
  • https://www.googleapis.com/auth/drive.admin.labels.readonly
  • https://www.googleapis.com/auth/drive.admin.readonly
  • https://www.googleapis.com/auth/drive.admin.shareddrive
  • https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
  • https://www.googleapis.com/auth/drive.apps
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.categories.readonly
  • https://www.googleapis.com/auth/drive.labels.readonly
  • https://www.googleapis.com/auth/drive.meet.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.photos.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/drive.teams
  • https://www.googleapis.com/auth/forms.body
  • https://www.googleapis.com/auth/forms.body.readonly
  • https://www.googleapis.com/auth/forms.currentonly
  • https://www.googleapis.com/auth/forms.responses.readonly
  • https://www.googleapis.com/auth/presentations
  • https://www.googleapis.com/auth/presentations.readonly
  • https://www.googleapis.com/auth/script.addons.curation
  • https://www.googleapis.com/auth/script.projects
  • https://www.googleapis.com/auth/sites
  • https://www.googleapis.com/auth/sites.readonly
  • https://www.googleapis.com/auth/spreadsheets
  • https://www.googleapis.com/auth/spreadsheets.readonly

如需详细了解范围,请参阅:

Google Chat 的高风险 OAuth 范围
  • https://www.googleapis.com/auth/chat.delete
  • https://www.googleapis.com/auth/chat.import
  • https://www.googleapis.com/auth/chat.messages
  • https://www.googleapis.com/auth/chat.messages.readonly

如需详细了解 Chat 范围,请参阅 Chat API 范围

管理第三方应用对 Google 服务的访问权限并添加应用

通过屏蔽特定应用、将应用标记为“受信任”“特定 Google 数据”或“受限”,您可以管理对这些应用的访问权限:

  • 受信任 - 应用可以访问所有 Google Workspace 服务(OAuth 范围),包括受限的服务。您可以将使用 OAuth 客户端 ID 配置的应用列入许可名单,以保留应用编程接口 (API) 对 Google Workspace 服务的访问权限,即使在这些服务具有适用于 API 访问权限的情境感知访问权限政策时也是如此。
  • 特定 Google 数据 - 只能请求访问您在配置应用时指定的范围内的数据。
  • 受限 - 应用只能访问不受限的服务。您可以通过应用列表或应用信息页面更改应用的数据访问权限设置。

打开此部分  |  全部收起并转至页首

通过应用列表更改访问权限
  1. API 控件 接着点击 应用访问权限控制中,点击管理第三方应用的访问权限

  2. 在“已配置的应用”列表或“访问过的应用”列表中,将光标指向某个应用,然后点击更改访问权限。您也可以勾选多个应用旁边的复选框,然后点击列表顶部的更改访问权限
  3. 选择要配置访问权限的组织部门:
    • 如需将设置应用于所有用户,请将顶级组织部门保持为已选中状态。
    • 如需将其应用于特定组织部门,请点击选择组织部门 接着点击 包括组织,然后选择特定组织部门。
  4. 点击下一步
  5. 选择一个选项:
    • 受信任 - 可以访问所有 Google 服务(受限和不受限)。Google 自有应用(例如 Chrome 浏览器)会自动获得信任,无法配置为受信任的应用。 
      (可选)要让所选应用保留对 Google Workspace 服务的 API 访问权限(即使这些服务具有适用于 API 访问权限的情境感知访问权限政策),请选择将应用列入许可名单,使其不受情境感知访问权限设置中 API 访问屏蔽的限制。此选项仅适用于使用 OAuth 客户端 ID 添加的 Web、Android 或 iOS 应用。选择此选项并不会自动使应用不受 API 访问屏蔽的限制。此外,您还需要在分配情境感知访问权限级别时豁免相应应用。此许可名单仅适用于您在第 3 步中指定的组织部门。
    • 受限 - 只能访问不受限的 Google 服务。
    • 特定 Google 数据 - 只能请求访问您在配置应用时指定的范围内的数据。
      注意:您必须添加应用所需的 Google 登录范围,以允许用户使用其 Google 账号进行登录。
    • 已屏蔽 - 无法访问任何 Google 服务。
      如果您将某个应用列入了设备的许可名单,但同时使用 API 控件屏蔽了该应用,则系统会屏蔽该应用。通过 API 控件屏蔽应用的操作会覆盖将应用列入许可名单的操作。

    提示:如需取消配置应用,请使用批量添加和配置第三方应用中所述的 CSV 上传选项。

  6. 点击下一步
  7. 检查范围和访问权限设置,然后点击更改访问权限
通过应用信息页面更改访问权限

观看视频

Change access from the app information page

更改应用访问权限

  1. 点击列表中的一个应用,然后点击对 Google 数据的访问权限
  2. 点击您要设置数据访问权限的群组或组织部门。默认情况下系统会选中顶级组织部门,相应更改会应用于整个组织。
  3. 选择数据访问权限级别。
  4. 点击保存
  5. (可选)根据需要为不同的组织部门应用不同的设置。例如:
    • 如需禁止某个应用访问您所有用户的数据,请选择您的顶级组织部门,然后选择已屏蔽
    • 如需仅禁止部分用户访问数据,请将访问权限设置为受信任(对于顶级组织部门)和已屏蔽(对于包含这些用户的下级组织部门)。(完成每个组织部门的设置后,点击保存。)
添加新应用
  1. 应用访问权限控制中,点击管理第三方应用的访问权限
  2. 已配置的应用部分,点击添加应用
  3. 选择 OAuth 应用名称或客户端 ID(选择此选项以稍后将应用列入 API 豁免许可名单)、AndroidiOS
  4. 输入应用的名称或客户端 ID,然后点击搜索
  5. 将光标指向该应用,然后点击选择
  6. 勾选您要配置的客户端 ID 所对应的复选框,然后点击选择
  7. 请选择要为哪些对象配置访问权限:
    1. 默认情况下,系统会选中顶级组织部门。选中此选项即可为贵组织中的所有用户设置访问权限。
    2. 如需为特定组织部门配置访问权限,请点击选择组织部门,然后点击 + 以查看您的组织部门。勾选所需的组织部门,然后点击选择
  8. 点击继续
  9. 选择一个选项:
    • 受信任 - 可以访问所有 Google 服务(受限和不受限)。
      (可选)要让所选应用保留对 Google Workspace 服务的 API 访问权限(即使这些服务具有适用于 API 访问权限的情境感知访问权限政策),请选择将应用列入许可名单,使其不受情境感知访问权限设置中 API 访问屏蔽的限制。此选项仅适用于使用 OAuth 客户端 ID 添加的 Web、Android 或 iOS 应用。选择此选项并不会自动使应用不受 API 访问屏蔽的限制。此外,您还需要在分配情境感知访问权限级别时豁免相应应用。此许可名单仅适用于您在第 7 步中指定的组织部门。
    • 受限:只能访问不受限的 Google 服务。
    • 特定 Google 数据 - 只能请求访问您在配置应用时指定的范围内的数据。
      注意:您必须添加应用所需的 Google 登录范围,以允许用户使用其 Google 账号进行登录。
    • 已屏蔽 - 无法访问任何 Google 服务。
      如果您将某个应用列入了设备的许可名单,但同时使用 API 控件屏蔽了该应用,则系统会屏蔽该应用。通过 API 控件屏蔽应用的操作会覆盖将应用列入许可名单的操作。
  10. 检查新应用的设置,然后点击完成

系统会提示用户同意添加 Web 应用。在 Google Workspace Marketplace 中,您可以通过网域安装绕过同意页面,前提是相应应用已获批准。

为未配置的应用选择设置

您未配置为“受信任”“受限”“特定 Google 数据”或“已屏蔽”的第三方应用(如管理第三方应用对 Google 服务的访问权限并添加应用中所述)会被视为未配置的应用。您可以控制在用户尝试使用其 Google 账号登录未配置的应用时,系统会如何处理。

观看视频

Find the settings for unconfigured apps

查找设置

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 点击设置以展开设置部分。
  4. (可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门显示具体方法
  5. 选择您的设置。如需了解详情,请参阅未配置的应用设置
  6. 点击保存

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

未配置的应用设置

打开此部分  |  全部收起并转至页首

自定义用户消息

这是在用户无法访问被屏蔽的应用时显示的一条自定义消息。如需创建自定义消息,请选择开启,然后输入消息。

如果自定义消息处于关闭状态或无法显示,则用户会看到默认消息。

未配置的第三方应用

此设置用于控制在用户尝试使用其 Google 账号登录未配置的应用时,系统会如何处理。无论此设置是什么,用户仍可访问配置了“受信任”“受限”或“特定 Google 数据”访问权限的应用。

选择一个选项:

  • 允许用户访问任何第三方应用(默认选项)- 用户可以使用 Google 账号登录任何第三方应用。访问过的应用可以请求访问该用户的不受限 Google 数据。
  • 允许用户使用那些只请求访问“使用 Google 账号登录”功能所需的基本信息的第三方应用 - 用户可以使用 Google 账号登录仅请求基本个人资料信息(用户的 Google 账号名称、电子邮件地址和个人资料照片)的第三方应用。
  • 不允许用户访问任何第三方应用 - 除非您为第三方应用和网站配置访问权限设置,否则用户将无法使用 Google 账号登录任何此类第三方应用和网站。有关详情,请参阅管理第三方应用对 Google 服务的访问权限并添加应用

Google Workspace 教育版:您可以为年满 18 周岁和未满 18 周岁的用户选择不同的设置。如果您使用此设置屏蔽第三方应用,则可以通过用户请求访问未配置的应用设置允许未满 18 周岁的用户请求访问被屏蔽的应用。

内部应用

此设置允许贵组织构建的内部应用访问受限的 Google Workspace API。

如需允许所有内部应用访问 API,请勾选信任内部应用复选框。

用户请求访问未配置的应用

只有 Google Workspace 教育版提供这些功能。

针对年满 18 周岁用户的设置

这些设置允许教育工作者和年满 18 周岁的用户为自己或代表他人(代理请求)请求应用访问权限。例如,教师可以代表学生发出代理请求。您可以查看这些请求,并授予或拒绝访问权限。

系统会在有人发出请求时通知您。您可以为以下用户配置访问权限:为自己请求访问权限的用户,以及代表他人发出请求(代理请求)的用户。

如需允许用户为自己请求访问权限,请勾选允许用户为自己请求应用访问权限复选框。

如需允许用户发出代理请求,请勾选允许用户代表其他用户发出请求(代理请求)复选框。

注意:请与教育工作者分享此链接,让他们能够代表他人发出代理请求。

针对未满 18 周岁用户的设置

此设置允许未满 18 周岁的用户为自己请求应用访问权限。

如需允许用户为自己请求应用访问权限,请勾选允许用户为自己请求应用访问权限复选框。

如需访问这些设置,请参阅查找设置

相关主题

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
Google 应用
主菜单