控制哪些第三方应用和内部应用可以访问 Google Workspace 数据

要管理贵组织的移动应用,请改为点击此处

您可以控制应用访问贵组织 Google Workspace 数据的方式。您可以使用 Google 管理控制台中的设置来管理通过 OAuth 2.0 访问 Google Workspace 服务的权限。部分应用使用的是 OAuth 2.0 范围,这种机制可以限制对用户帐号的访问权限。

此外,您还可以自定义错误消息,在用户尝试安装未经授权的应用时向其显示。

注意:对于 Google Workspace 教育版,可能有其他限制会阻止中小学校的用户访问某些第三方应用。

控制应用对 Google Workspace 数据的访问权限

全部展开  |  全部收起

准备工作:查看已获授权的第三方应用

在控制应用访问权限之前,请先查看已获准访问 Google Workspace 数据的应用列表。第三方应用的详细信息通常会在授权后的 24 - 48 小时内显示。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件

    您可以查看已配置的应用和访问过数据的应用的数量。

    • 已配置的应用是指具有访问权限政策(受信任或已屏蔽)的应用。如果您尚未信任或屏蔽任何应用,那么已配置的应用数量会显示为 0。
    • 访问过数据的应用是指用户所使用的访问过 Google 数据的第三方应用。
  3. 点击管理第三方应用的访问权限
    默认情况下,系统会显示已配置的应用。您可以查看:
    • 应用名称
    • 类型
    • ID
    • 验证状态 - 应用已通过 Google 审核。Google 通过审核来确认应用遵守特定政策。许多广为人知的应用可能并未以此种方式经过验证。有关详情,请参阅什么是已经过验证的第三方应用?
    • 访问权限 - 显示“受信任”或“已屏蔽”。
  4. (可选)要查看访问过数据的应用,请在进行过访问的应用部分,点击查看列表

    对于访问过数据的应用,您还可以查看:

    • 用户 - 访问应用的用户数量。
    • 请求的服务 - 各应用当前正在使用的 Google 服务 API(OAuth2 范围),如 Gmail、日历或 Google 云端硬盘。非 Google 请求的服务会列为其他
  5. 已配置的应用访问过数据的应用列表中,点击要查看的应用:
    • 管理您的应用是否可以访问 Google 服务 - 查看应用是被标记为“受信任”、“受限”还是“已屏蔽”。如果您更改了访问权限配置,请点击保存
    • 查看应用的相关信息 - 查看应用的完整 OAuth2 客户端 ID、用户数量、隐私权政策和支持信息。
    • 查看应用请求的 Google 服务 API(OAuth 范围)- 查看各应用请求的 OAuth 范围列表。要查看各个 OAuth 范围,请展开相应表格行或点击全部展开
  6. (可选)要将应用信息下载到 CSV 文件中,请点击已配置的应用访问过数据的应用列表顶部的下载列表
    • 系统会下载表格中的全部数据(包括未显示的数据)。
    • 对于已配置的应用,CSV 文件会包含表格中未显示的其他列:用户数量、请求的服务、与每项服务关联的 API 范围。如果已配置的应用未访问过数据,则该应用的用户数量将显示为 0,其他两列将为空白。

应用验证是 Google 的一项举措,旨在确保要访问敏感客户数据的第三方应用通过安全和隐私权检查。用户可能会被禁止激活您不信任的、未经验证的应用(请参阅本页下文,详细了解如何信任应用)。如需详细了解应用验证,请参阅授权未经验证的第三方应用

第 2 步:限制或不限制 Google 服务

您可以限制(或不限制)对大多数 Google Workspace 服务(包括机器学习一类的 Google Cloud 服务)的访问权限。对于 Gmail 和 Google 云端硬盘,您可以明确限制对高风险服务(例如发送邮件或删除云端硬盘中的文件)的访问权限。虽然系统会提示用户同意使用应用,但如果相应应用请求使用受限的服务,而您未明确信任该应用,那么用户就无法添加该应用。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 点击管理 Google 服务
  4. 在服务列表中,勾选您要管理的服务所对应的复选框。
    勾选服务复选框可选中所有复选框。
  5. (可选)如需过滤此列表,请点击添加过滤条件,然后从以下条件中进行选择:
    • Google 服务 - 从云端硬盘Gmail 等服务列表中选择,然后点击应用
    • Google 服务访问权限 - 选择无限制受限,然后点击应用
    • 允许的应用数 - 指定允许的应用数量范围,然后点击应用
    • 用户数 - 指定用户数量范围,然后点击应用
  6. 点击顶部的更改访问权限,然后选择不受限受限
    如果您将访问权限更改为“受限”,则之前安装的任何不受信任的应用都会停止运行,且令牌会被撤销。如果用户尝试安装范围受限的应用,系统会提示用户相应应用已被屏蔽。如果限制对云端硬盘服务的访问权限,那么对 Google Form API 的访问权限也会受到限制。
    注意:系统会在授予或撤销令牌后的 48 小时内更新访问过数据的应该列表。
  7. (可选)如果您选择受限,那么如要允许访问未归类为高风险的 OAuth 范围(例如,允许应用访问用户选择的云端硬盘文件的范围),请勾选对于不受信任的应用,允许用户授权其访问未被归类为高风险的 OAuth 范围复选框(此复选框会在 Gmail 和云端硬盘等应用上显示,但不会对所有应用显示)。
  8. 点击更改并根据提示进行确认。
  9. (可选)要查看哪些应用可以访问某项服务,请按以下步骤操作: 
    1. 在顶部的进行过访问的应用部分,点击查看列表
    2. 点击添加过滤条件 接着点击 请求的服务
    3. 选择您要查看的服务,然后点击应用

限制对高风险 OAuth 范围的访问权限

Gmail 和云端硬盘还有预定义的高风险 OAuth 范围列表,您可以限制应用访问其中的范围。

Gmail 的高风险 OAuth 范围如下:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    要详细了解 Gmail 的范围,请参阅 Choose Auth Scopes(选择身份验证范围)。

云端硬盘的高风险 OAuth 范围如下:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    要详细了解云端硬盘的范围,请参阅 API-specific authorization and authentication information(API 专用授权和身份验证信息)。
第 3 步:管理第三方应用对 Google 服务的访问权限并添加应用

您可以屏蔽应用,将应用设为受信任的应用或仅允许应用访问无限制的 Google 服务,从而管理特定应用的访问权限。受信任的应用可以访问所有 Google Workspace 服务(OAuth 范围),包括受限的服务。不受信任的应用仅能访问不受限的服务。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 应用访问权限控制下,点击管理第三方应用的访问权限
  4. 已配置的应用部分,点击查看列表
  5. (可选)如需过滤列表,请点击添加过滤条件并选择一个选项:
    • 应用名称 - 输入应用名称,然后点击应用
    • 类型 - 选择 Web 应用iOSAndroid,然后点击应用
    • ID - 输入应用 ID,然后点击应用
    • 验证状态 - 勾选已经过 Google 验证,然后点击应用,即可查看经 Google 审核并符合特定政策的应用。有关详情,请参阅什么是已经过验证的第三方应用
    • 访问权限 - 勾选受信任已屏蔽复选框,然后点击应用
  6. 将光标指向某个应用,然后点击更改访问权限。或者,勾选多个应用旁边的复选框,然后点击上方的更改访问权限。您可以决定将归网域所有的全部应用设为受信任的应用,也可以将这类应用屏蔽,从而禁止它们访问任何 Google Workspace 服务。
  7. 根据需要选择操作步骤:
    • 受信任 - 信任应用会覆盖服务限制。Google 自有应用(例如 Chrome 浏览器)会自动获得信任,无法配置为受信任的应用。
    • 受限:只能访问不受限的 Google 服务。
    • 已屏蔽:无法访问任何 Google 服务。
      如果您将某个应用列入了设备的许可名单,但同时使用 API 控件屏蔽了该应用,则系统会屏蔽该应用。通过 API 控件屏蔽应用的操作会覆盖将应用列入许可名单的操作。
  8. 点击更改
    如果您将应用的访问权限从“受限”改为“受信任”或“已屏蔽”,则应用会添加到“已配置的应用”列表中。如果您将访问权限更改为“受限”,则应用会从“已配置的应用”列表中移除。如果您将访问权限更改为“受限”,且应用没有活跃用户,那么除非有用户激活了该应用,否则您将无法在列表中看到该应用。

添加新应用

  1. 应用访问权限控制下,点击管理第三方应用的访问权限
  2. 已配置的应用部分,点击添加应用
  3. 选择 OAuth 应用名称或客户端 IDAndroidiOS
  4. 输入应用的名称或客户端 ID,然后点击搜索
  5. 将光标指向该应用,然后点击选择
  6. 勾选您要配置的客户端 ID 所对应的复选框,然后点击选择
  7. 选择受信任已屏蔽,然后点击配置

系统会提示用户同意添加 Web 应用,但在 Google Workspace Marketplace,您可以通过网域安装绕过同意屏幕,前提是相应应用已获批准。

为未经授权的应用自定义消息

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 应用访问权限控制下方的设置部分输入消息,然后点击保存
第 4 步:控制 API 访问权限

禁止所有第三方 API 访问

您可以禁止所有第三方 API 的访问,以便拒绝第三方应用和网站对用户数据的访问请求。此设置会禁止访问所有 OAuth 范围,包括登录范围。这意味着用户将无法再通过 Google 登录第三方应用和网站。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 应用访问权限控制下方的设置部分,勾选禁止所有第三方 API 访问复选框 接着点击 点击保存

有些设置会覆盖 API 设置。例如,如果有明确受信任的应用,即使您选中禁止所有第三方 API 访问复选框,用户仍然可以访问这个受信任的应用。

允许内部应用访问受限的 Google Workspace API

如果您构建的是归贵组织所有的内部应用,则可以信任所有应用,允许其访问受限的 Google Workspace API。这样,您就不必单独信任每个应用。

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 应用访问权限控制下,勾选信任网域拥有的内部应用复选框 接着点击 点击保存

相关主题

该内容对您有帮助吗?
您有什么改进建议?

需要更多帮助?

登录可获取更多支持选项,以便快速解决您的问题

搜索
清除搜索查询
关闭搜索框
Google 应用
主菜单
搜索支持中心
true
true
true
true
73010
false
false