Google Workspace 管理员

控制哪些第三方应用和内部应用可以访问 Google Workspace 数据

要按移动设备的操作系统来管理应用,请点击此处

您可以控制哪些第三方应用和网域拥有的应用可以访问敏感的 Google Workspace 数据。使用应用访问权限控制功能即可管理其他应用通过 OAuth 2.0 访问 Google Workspace 服务。为方便应用访问数据,安全性更高的现代应用会使用 OAuth 2.0 范围,该机制可以控制应用对用户帐号的访问权限。应用在获得这些范围的授权后,即可访问大多数 Google Workspace 服务(例如 Gmail、Google 云端硬盘、Google 日历和 Google 通讯录)中的受限用户数据。使用“应用访问权限控制”功能可执行以下操作:

  • 限制或不限制对大多数 Google Workspace 服务的访问。
  • 信任特定应用,允许其访问受限的 Google Workspace 服务。
  • 信任网域拥有的所有应用。

如要控制哪些第三方应用和内部应用可以访问 Google Workspace 数据,以及查找任何在用第三方应用的详细信息,请按照以下说明操作。此外,您还可以自定义错误消息,在用户尝试安装未经授权的应用时向其显示。

使用“应用访问权限控制”功能

展开所有部分   |   收起所有部分

查看您的环境中的第三方应用

在控制应用访问权限之前,请先查看已获准访问 Google Workspace 数据的应用列表。

注意:第三方应用的详细信息通常会在 24 - 48 小时内显示在结果中。

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件

    应用访问权限控制下方的概览部分列出了当前已配置的应用和访问过数据的应用的数量。

    • 已配置的应用是指您已对其应用访问权限政策(“受信任”或“已屏蔽”)的应用。如果您尚未信任或屏蔽任何应用,那么已配置的应用数量最初会显示为 0。
    • 访问过数据的应用是指您网域中的用户所使用的曾访问过 Google 数据的第三方应用。
  3. 点击管理第三方应用的访问权限

    默认情况下,系统会显示已配置的应用。要查看访问过数据的应用,请点击顶部访问过数据的应用卡片中的查看列表

  4. 对于已配置的应用,系统会显示以下详细信息: 
    • 应用名称
    • 类型
    • ID
    • 已验证状态 - 应用已通过 Google 审核。Google 以此确认应用遵守特定政策。请注意,许多广为人知的应用可能并未以此种方式经过验证。有关详情,请参阅什么是已经过验证的第三方应用?
    • 访问权限 - 显示“受信任”或“已屏蔽”

    对于访问过数据的应用,系统还会显示以下详细信息:

    • 用户 - 访问应用的用户数量。
    • 请求的服务 - 各应用当前正在使用的 Google 服务 API(OAuth2 范围),如 Gmail、日历或云端硬盘。系统会将未在“Google 服务”标签页中显示的服务列为“其他”
  5. 点击应用所在的表格行,打开应用详细信息页面。您可以在此页面执行以下操作:
    • 查看应用是否可以访问 Google 服务或者更改此设置 - 查看应用是被标记为“受信任”、“受限”还是“已屏蔽”。如果您更改了访问权限配置,请点击保存
    • 查看应用的相关信息 - 包括应用的完整 OAuth2 客户端 ID、用户数量、隐私权政策和支持信息。
    • 查看应用请求的 Google 服务 API(OAuth 范围)- 在应用详细信息页面的“请求的服务”部分,您可以查看各应用请求的 OAuth 范围列表。要查看各个 OAuth 范围,请务必展开相应表格行或点击全部展开
  6. (可选)要将表格中显示的应用信息下载到 CSV 文件中,请点击“访问过数据的应用”或“已配置的应用”列表顶部的导出列表
    • 系统会下载表格中的全部数据(包括由于您当前的“管理列”"" 设置而未显示的列数据)。
    • 对于已配置的应用,CSV 文件会包含表格中未显示的其他列:用户数量、请求的服务、与每项服务关联的 API 范围。(请注意,如果已配置的应用未访问过数据,则该应用的用户数量将显示为 0,其他两列将为空白)。

应用验证是 Google 的一项举措,旨在确保要访问敏感客户数据的第三方应用通过安全和隐私权检查。用户可能会被禁止激活您不信任的、未经验证的应用(请参阅下文,详细了解如何信任应用)。要详细了解应用验证,请参阅授权未经验证的第三方应用

管理对 Google 服务的访问权限:“受限”或“不受限”

您可以限制(或不限制)对大多数 Google Workspace 服务(包括机器学习一类的 Google Cloud 服务)的访问权限。对于 Gmail 和 Google 云端硬盘,您可以明确限制对高风险范围(例如,发送 Gmail 邮件或删除云端硬盘中的文件)的访问权限。虽然系统会提示用户同意使用应用,但如果相应应用使用受限范围,且您未明确信任该应用,那么用户就无法添加该应用。

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件

    应用访问权限控制下方的概览部分会列出当前受限的服务和不受限的服务的数量。

  3. 点击管理 Google 服务
  4. 在服务列表中,选中您要管理的服务所对应的复选框。

    您可以根据需要点击添加过滤条件,以使用下列条件精简列表内容:
    Google 服务 - 从服务列表中选择服务(例如云端硬盘Gmail),然后点击应用
    Google 服务访问权限 - 选择无限制受限,然后点击应用
    允许的应用数 - 指定允许的应用数量范围,然后点击应用
    用户数 - 指定用户数量范围,然后点击应用

    您可以控制的 Google 服务包括:
    • Google Workspace:
      • Google Workspace 管理员
      • Gmail
      • 云端硬盘
      • 日历
      • 通讯录
      • 保险柜
      • 课堂
      • Keep
      • Tasks
      • Google 网上论坛
      • Cloud Search
      • Apps 脚本运行时
        控制对某些项目的访问权限,此类项目会请求 Apps 脚本项目(如 UrlFetch 和 Container UI)专有的特定高风险范围。这包含贵单位内外的插件和脚本。Apps 脚本运行时控件与 Apps Script API 控件配合使用,且不会取代 Apps 脚本应用。

      • Apps Script API
        控制对所有请求 Apps Script API 范围的项目的访问权限,此类项目包括 Apps 脚本、Google Cloud、AWS 等项目,Apps Script API 包括 Manage Projects 和 Manage Deployments

    • Google Cloud
      • Cloud(包括所有 Google Cloud 服务,除了机器学习和 Cloud Billing。)
      • 机器学习(包括 Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API 和 Cloud Vision API。)
      • Cloud Billing
  5. 从列表中选择服务后,点击更改访问权限

    如果是一项服务,请将光标指向该服务在表格中所在的行。点击最右侧的更改访问权限
    如果要设置多项服务,请在表格中点击各服务所对应的复选框。点击表格顶部的更改访问权限
     
  6. 从下列选项中选择一项,以更改访问权限:

    无限制:任何获得用户批准的应用皆可访问服务
    受限:仅受信任的应用可以访问服务
     
  7. 点击更改
    在“Google 服务”页面上,“访问权限”一栏会显示服务的访问权限状态:“无限制”或“受限”
  8. (可选)要查看哪些应用可以访问某项服务,请按以下步骤操作: 
    1. 点击表格上方的应用
    2. 点击添加过滤条件 接着点击 请求的服务
    3. 选择您要查看的服务,然后点击应用
      系统会显示有权访问相应服务的 OAuth 范围的应用以及它们的受信任状态。

将范围更改为“受限”后,如果您没有将之前安装的应用指定为受信任的应用,则这些应用会停止工作,且令牌会被撤消。如果用户尝试安装范围受限的应用,系统会提示用户相应应用已被屏蔽。

注意:如果限制对云端硬盘服务的访问权限,那么对 Google Form API 的访问权限也会受到限制。

Gmail 和云端硬盘的高风险 OAuth 范围

Gmail 和云端硬盘还有预定义的高风险 OAuth 范围列表,您可以限制应用访问其中的范围。

Gmail 的高风险 OAuth 范围如下:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

    要详细了解 Gmail 的范围,请参阅 Choose Auth Scopes(选择授权范围)。

云端硬盘的高风险 OAuth 范围如下:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    要详细了解云端硬盘的范围,请参阅 About Authorization(关于授权)。
管理应用的访问权限:“受信任”、“受限”或“已屏蔽”

在“应用访问权限控制”页面,您可以屏蔽应用,将应用设为受信任的应用或仅允许应用访问无限制的 Google 服务,从而管理特定应用的访问权限。

重要提示:如果信任应用,服务限制就会被覆盖。受信任的应用可以访问所有 Google Workspace 服务(OAuth 范围),包括受限的服务。不受信任的应用仅能访问不受限的服务。

将应用设为受信任的应用还能确保用户可以安装未经我们的反滥用团队验证的应用。您还可以决定将归网域所有的全部应用设为受信任的应用,也可以将这类应用屏蔽,从而禁止它们访问任何 Google Workspace 服务。

提示:系统会提示用户同意添加 Web 应用,但在 Google Workspace Marketplace,您可以通过网域安装绕过同意页面,前提是相应应用已获批准。

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 应用访问权限控制下,点击管理第三方应用的访问权限
  4. 点击访问过数据的应用卡片右上角的查看列表
  5. (可选)您可以根据需要点击添加过滤条件,以使用下列条件精简列表内容:
    • 应用名称- 在“包含”字段中输入应用名称,然后点击应用
    • 类型 - 选择Web 应用iOSAndroid,然后点击应用
    • ID- 在匹配字段输入字符串,然后点击应用
    • 已验证状态 - 应用已通过 Google 审核。Google 以此确认应用遵守特定政策。请注意,许多广为人知的应用可能并未以此种方式经过验证。有关详情,请参阅什么是已经过验证的第三方应用?
    • 用户数 - 指定用户数量范围,然后点击应用
    • 请求的服务 - 选择服务(例如 Gmail 或云端硬盘等),然后点击应用
  6. 如要更改某个应用的访问权限,请将光标悬停在列表中的相应应用上方,然后点击右侧的更改访问权限。如要更改多个应用的访问权限,请选中这些应用对应的复选框,然后点击列表顶部的更改访问权限
  7. 从下列选项中选择一项,以更改访问权限:
    • 受信任:可以访问所有 Google 服务(包括受限的服务)
    • 受限:只能访问不受限的 Google 服务
    • 已屏蔽:无法访问任何 Google 服务
    注意:如果您将某个应用列入了设备的许可名单,但同时使用 API 控件屏蔽了该应用,则系统会屏蔽该应用(通过“API 控件”页面屏蔽应用的操作会覆盖将应用列入许可名单的操作)。
     
  8. 点击更改
    • 访问过数据的应用列表中,访问权限列会显示应用的访问权限状态:“受信任”、“受限”、或“已屏蔽”。
    • 如果您将应用的访问权限从“受限”改为“受信任”或“已屏蔽”,则应用会添加到“已配置的应用”列表中。
    • 如果您将应用的访问权限从“受信任”或“已屏蔽”改为“受限”,则应用会“已配置的应用”列表中移除。

提醒:如果您将某个受信任或已屏蔽的应用的访问权限更改为“受限”且该应用没有活跃用户,那么该应用会从列表中消失,直到您重新添加或有用户将其激活。

管理不在列表中的应用:

  1. 应用访问权限控制下,点击管理第三方应用的访问权限
  2. 已配置的应用列表顶部,点击添加应用
  3. 选择 OAuth 应用名称或客户端 IDAndroidiOS
  4. 输入应用的名称或客户端 ID,然后点击搜索
  5. 在搜索结果列表中找到您要管理的应用,然后点击选择

    注意:如果您按“OAuth 应用名称或客户端 ID”进行配置,请选中您要配置的客户端 ID 所对应的复选框,然后点击选择

  6. 根据需要选择下列其中一项:
    • 受信任:可以访问所有 Google 服务
    • 已屏蔽:无法访问任何 Google 服务
  7. 点击配置

    在“应用”页面,“访问权限”一栏会显示应用的访问权限状态:“受信任”或“已屏蔽”。

禁止所有第三方 API 访问

在“API 控件”页面,您可以禁止所有第三方 API 访问。使用该强大的控件,系统会拒绝第三方应用和网站对用户数据的访问请求。此设置会禁止访问所有 OAuth 范围,包括登录范围。这意味着用户将无法再通过 Google 登录第三方应用和网站。

重要提示:即使您启用了禁止所有第三方 API 访问设置,用户也将可以访问明确受信任的应用和可信网域所拥有的应用。有关受信任应用的详细信息,请参阅管理应用的访问权限:“受信任”、“受限”或“已屏蔽”允许内部应用访问受限的 Google Workspace API

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 应用访问权限控制下方,勾选禁止所有第三方 API 访问复选框,然后点击保存
允许内部应用访问受限的 Google Workspace API

如果您构建了内部应用,则可以信任所有此类应用,允许其访问受限的 Google Workspace 服务。否则,您需要逐一将它们添加为受信任的应用。

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 应用访问权限控制下,选中信任网域拥有的内部应用复选框,然后点击保存

网域拥有的应用包括:

  • 由单位内的用户创建的 Google Apps 脚本项目
  • 与 Google Cloud Console 中的单位关联的应用

注意:如果您信任网域拥有的内部应用,但通过管理第三方应用的访问权限屏蔽其中一个应用,则系统会屏蔽该应用(请参阅管理应用的访问权限:“受信任”、“受限”或“已屏蔽”)。

自定义应用的拒绝消息

用户尝试安装第三方 Web 应用时,会看到同意或拒绝页面(具体取决于相应服务和应用)。您可以自定义此拒绝页面。例如,您可以添加支持团队的联系信息。 

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 API 控件
  3. 应用访问权限控制下,转到设置部分。
  4. 在“如果用户尝试使用的应用无法访问受限 Google 服务,则显示此消息”下方的框中,输入自定义消息内容。
  5. 点击“保存”。

相关主题

该内容对您有帮助吗?
您有什么改进建议?

需要更多帮助?

登录可获取更多支持选项,以便快速解决您的问题

true
' data-mime-type=
立即开始免费试用 14 天

专业电子邮件地址、在线存储空间、共享日历、视频会议等工具一应俱全。立即开始免费试用 G Suite

搜索
清除搜索查询
关闭搜索框
Google 应用
主菜单
搜索支持中心
true
73010
false