要管理贵组织的移动应用,请改为点击此处。
您可以控制应用访问贵组织 Google Workspace 数据的方式。您可以使用 Google 管理控制台中的设置来管理通过 OAuth 2.0 访问 Google Workspace 服务的权限。部分应用使用的是 OAuth 2.0 范围,这种机制可以限制对用户帐号的访问权限。
此外,您还可以自定义错误消息,在用户尝试安装未经授权的应用时向其显示。
注意:对于 Google Workspace 教育版,可能有其他限制会阻止中小学校的用户访问某些第三方应用。
控制应用对 Google Workspace 数据的访问权限
在控制应用访问权限之前,请先查看已获准访问 Google Workspace 数据的应用列表。第三方应用的详细信息通常会在授权后的 24 - 48 小时内显示。
-
-
在管理控制台首页,转到安全性
API 控件。
您可以查看已配置的应用和访问过数据的应用的数量。
- 已配置的应用是指具有访问权限政策(受信任或已屏蔽)的应用。如果您尚未信任或屏蔽任何应用,那么已配置的应用数量会显示为 0。
- 访问过数据的应用是指用户所使用的访问过 Google 数据的第三方应用。
- 点击管理第三方应用的访问权限。
默认情况下,系统会显示已配置的应用。您可以查看:- 应用名称
- 类型
- ID
- 验证状态 - 应用已通过 Google 审核。Google 通过审核来确认应用遵守特定政策。许多广为人知的应用可能并未以此种方式经过验证。有关详情,请参阅什么是已经过验证的第三方应用?
- 访问权限 - 显示“受信任”或“已屏蔽”。
- (可选)要查看访问过数据的应用,请在进行过访问的应用部分,点击查看列表。
对于访问过数据的应用,您还可以查看:
- 用户 - 访问应用的用户数量。
- 请求的服务 - 各应用当前正在使用的 Google 服务 API(OAuth2 范围),如 Gmail、日历或 Google 云端硬盘。非 Google 请求的服务会列为其他。
- 在已配置的应用或访问过数据的应用列表中,点击要查看的应用:
- 管理您的应用是否可以访问 Google 服务 - 查看应用是被标记为“受信任”、“受限”还是“已屏蔽”。如果您更改了访问权限配置,请点击保存。
- 查看应用的相关信息 - 查看应用的完整 OAuth2 客户端 ID、用户数量、隐私权政策和支持信息。
- 查看应用请求的 Google 服务 API(OAuth 范围)- 查看各应用请求的 OAuth 范围列表。要查看各个 OAuth 范围,请展开相应表格行或点击全部展开。
- (可选)要将应用信息下载到 CSV 文件中,请点击已配置的应用或访问过数据的应用列表顶部的下载列表。
- 系统会下载表格中的全部数据(包括未显示的数据)。
- 对于已配置的应用,CSV 文件会包含表格中未显示的其他列:用户数量、请求的服务、与每项服务关联的 API 范围。如果已配置的应用未访问过数据,则该应用的用户数量将显示为 0,其他两列将为空白。
应用验证是 Google 的一项举措,旨在确保要访问敏感客户数据的第三方应用通过安全和隐私权检查。用户可能会被禁止激活您不信任的、未经验证的应用(请参阅本页下文,详细了解如何信任应用)。如需详细了解应用验证,请参阅授权未经验证的第三方应用。
您可以限制(或不限制)对大多数 Google Workspace 服务(包括机器学习一类的 Google Cloud 服务)的访问权限。对于 Gmail 和 Google 云端硬盘,您可以明确限制对高风险服务(例如发送邮件或删除云端硬盘中的文件)的访问权限。虽然系统会提示用户同意使用应用,但如果相应应用请求使用受限的服务,而您未明确信任该应用,那么用户就无法添加该应用。
-
-
在管理控制台首页,转到安全性
- 点击管理 Google 服务。
- 在服务列表中,勾选您要管理的服务所对应的复选框。
勾选服务复选框可选中所有复选框。 - (可选)如需过滤此列表,请点击添加过滤条件,然后从以下条件中进行选择:
- Google 服务 - 从云端硬盘、Gmail 等服务列表中选择,然后点击应用。
- Google 服务访问权限 - 选择无限制或受限,然后点击应用。
- 允许的应用数 - 指定允许的应用数量范围,然后点击应用。
- 用户数 - 指定用户数量范围,然后点击应用。
- 点击顶部的更改访问权限,然后选择不受限或受限。
如果您将访问权限更改为“受限”,则之前安装的任何不受信任的应用都会停止运行,且令牌会被撤销。如果用户尝试安装范围受限的应用,系统会提示用户相应应用已被屏蔽。如果限制对云端硬盘服务的访问权限,那么对 Google Form API 的访问权限也会受到限制。
注意:系统会在授予或撤销令牌后的 48 小时内更新访问过数据的应该列表。 - (可选)如果您选择受限,那么如要允许访问未归类为高风险的 OAuth 范围(例如,允许应用访问用户选择的云端硬盘文件的范围),请勾选对于不受信任的应用,允许用户授权其访问未被归类为高风险的 OAuth 范围复选框(此复选框会在 Gmail 和云端硬盘等应用上显示,但不会对所有应用显示)。
- 点击更改并根据提示进行确认。
- (可选)要查看哪些应用可以访问某项服务,请按以下步骤操作:
- 在顶部的进行过访问的应用部分,点击查看列表。
- 点击添加过滤条件
- 选择您要查看的服务,然后点击应用。
限制对高风险 OAuth 范围的访问权限
Gmail 和云端硬盘还有预定义的高风险 OAuth 范围列表,您可以限制应用访问其中的范围。
Gmail 的高风险 OAuth 范围如下:
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
要详细了解 Gmail 的范围,请参阅 Choose Auth Scopes(选择身份验证范围)。
云端硬盘的高风险 OAuth 范围如下:
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/documents
要详细了解云端硬盘的范围,请参阅 API-specific authorization and authentication information(API 专用授权和身份验证信息)。
您可以屏蔽应用,将应用设为受信任的应用或仅允许应用访问无限制的 Google 服务,从而管理特定应用的访问权限。受信任的应用可以访问所有 Google Workspace 服务(OAuth 范围),包括受限的服务。不受信任的应用仅能访问不受限的服务。
-
-
在管理控制台首页,转到安全性
- 在应用访问权限控制下,点击管理第三方应用的访问权限。
- 在已配置的应用部分,点击查看列表。
- (可选)如需过滤列表,请点击添加过滤条件并选择一个选项:
- 应用名称 - 输入应用名称,然后点击应用。
- 类型 - 选择 Web 应用、iOS 或 Android,然后点击应用。
- ID - 输入应用 ID,然后点击应用。
- 验证状态 - 勾选已经过 Google 验证,然后点击应用,即可查看经 Google 审核并符合特定政策的应用。有关详情,请参阅什么是已经过验证的第三方应用?
- 访问权限 - 勾选受信任或已屏蔽复选框,然后点击应用。
- 将光标指向某个应用,然后点击更改访问权限。或者,勾选多个应用旁边的复选框,然后点击上方的更改访问权限。您可以决定将归网域所有的全部应用设为受信任的应用,也可以将这类应用屏蔽,从而禁止它们访问任何 Google Workspace 服务。
- 根据需要选择操作步骤:
- 受信任 - 信任应用会覆盖服务限制。Google 自有应用(例如 Chrome 浏览器)会自动获得信任,无法配置为受信任的应用。
- 受限:只能访问不受限的 Google 服务。
- 已屏蔽:无法访问任何 Google 服务。
如果您将某个应用列入了设备的许可名单,但同时使用 API 控件屏蔽了该应用,则系统会屏蔽该应用。通过 API 控件屏蔽应用的操作会覆盖将应用列入许可名单的操作。
- 点击更改。
如果您将应用的访问权限从“受限”改为“受信任”或“已屏蔽”,则应用会添加到“已配置的应用”列表中。如果您将访问权限更改为“受限”,则应用会从“已配置的应用”列表中移除。如果您将访问权限更改为“受限”,且应用没有活跃用户,那么除非有用户激活了该应用,否则您将无法在列表中看到该应用。
添加新应用
- 在应用访问权限控制下,点击管理第三方应用的访问权限。
- 在已配置的应用部分,点击添加应用。
- 选择 OAuth 应用名称或客户端 ID、Android 或 iOS。
- 输入应用的名称或客户端 ID,然后点击搜索。
- 将光标指向该应用,然后点击选择。
- 勾选您要配置的客户端 ID 所对应的复选框,然后点击选择。
- 选择受信任或已屏蔽,然后点击配置。
系统会提示用户同意添加 Web 应用,但在 Google Workspace Marketplace,您可以通过网域安装绕过同意屏幕,前提是相应应用已获批准。
为未经授权的应用自定义消息
-
-
在管理控制台首页,转到安全性
- 在应用访问权限控制下方的设置部分输入消息,然后点击保存。
禁止所有第三方 API 访问
您可以禁止所有第三方 API 的访问,以便拒绝第三方应用和网站对用户数据的访问请求。此设置会禁止访问所有 OAuth 范围,包括登录范围。这意味着用户将无法再通过 Google 登录第三方应用和网站。
-
-
在管理控制台首页,转到安全性
- 在应用访问权限控制下方的设置部分,勾选禁止所有第三方 API 访问复选框
有些设置会覆盖 API 设置。例如,如果有明确受信任的应用,即使您选中禁止所有第三方 API 访问复选框,用户仍然可以访问这个受信任的应用。
允许内部应用访问受限的 Google Workspace API
如果您构建的是归贵组织所有的内部应用,则可以信任所有应用,允许其访问受限的 Google Workspace API。这样,您就不必单独信任每个应用。
-
-
在管理控制台首页,转到安全性
- 在应用访问权限控制下,勾选信任网域拥有的内部应用复选框
相关主题
- Google API 的 OAuth 2.0 范围
- 应用进行 OAuth 验证前的准备工作提示(Google Developers 博客)
