控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料

如要瞭解如何管理不同行動裝置作業系統的應用程式,請參閱這篇文章

您可以控管要讓哪些第三方和網域擁有的應用程式存取 Google Workspace 機密資料。針對使用 OAuth 2.0 的 Google Workspace 服務,您可透過應用程式存取權控制項管理其存取權。為了讓應用程式順利存取資料,現今的高安全性應用程式皆採用 OAuth 2.0 範圍,這種機制可限制應用程式對使用者帳戶的存取範圍。這些範圍有助於應用程式向大部分的 Google Workspace 服務 (例如 Gmail、Google 雲端硬碟、日曆和聯絡人) 存取有限的使用者資料。您可以使用應用程式存取權控制項進行以下操作:

  • 限制大部分 Google Workspace 服務的存取權,或者不對這些服務設定限制。
  • 信任特定應用程式,允許應用程式存取受限制的 Google Workspace 服務。
  • 信任網域擁有的所有應用程式。

如要控管哪些第三方和內部應用程式可以存取 Google Workspace 資料,以及查看所有使用中第三方應用程式的詳細資料,請按照下列說明操作。此外,您也可以針對使用者嘗試安裝未經授權應用程式的情況,自訂要向他們顯示的錯誤訊息。

注意:

  • Chrome 等 Google 擁有的應用程式會自動受到信任,因此您無法按照下方「管理應用程式存取權」中的「新增應用程式」步驟,將這類應用程式設為可信任的應用程式。
  • 針對 Google Workspace for Education,您可以設定額外限制,禁止初等和中等教育機構的使用者存取特定第三方應用程式。

使用應用程式存取權控制項

全部展開   |   全部收合

查看環境中的第三方應用程式

執行控制項之前,請先查看您已授權哪些應用程式存取 Google Workspace 資料。

注意:第三方應用程式的詳細資料通常會在 24 至 48 小時內顯示在結果中。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序點選 [安全性] 接下來 [API 控制項]

    在「應用程式存取權控制項」下方,「總覽」部分會列出目前已設定/已存取資料的應用程式數量。

    • 已設定的應用程式是指您已套用存取權政策 (可信任或已封鎖) 的應用程式。如果您並未信任或封鎖任何應用程式,系統會預設為 0 個已設定的應用程式。
    • 已存取資料的應用程式是指網域中使用者所使用,且已存取 Google 資料的第三方應用程式。
  3. 按一下「管理第三方應用程式存取權」

    根據預設,系統會顯示已設定的應用程式。如要查看已存取資料的應用程式,請在頂端的「已存取資料的應用程式」資訊卡中按一下「查看清單」

  4. 如果是已設定的應用程式,系統會顯示以下詳細資料:
    • 應用程式名稱
    • 類型
    • ID
    • 驗證狀態 - 如果應用程式狀態為「已驗證」,表示該應用程式確實遵守特定政策,已通過 Google 審查。請注意,許多知名的應用程式可能並未通過這項驗證。詳情請參閱「什麼是通過驗證的第三方應用程式?」一文。
    • 存取權 - 指定「可信任」或「已封鎖」

    如果是已存取資料的應用程式,系統會顯示下列額外詳細資料:

    • 使用者人數:存取該應用程式的使用者人數。
    • 要求的服務:各應用程式使用的 Google 服務 API (OAuth2 範圍),例如 Gmail、日曆或雲端硬碟。系統會將未顯示在「Google 服務」分頁中的服務列為「其他」
  5. 在表格中按一下應用程式所在的資料列,開啟應用程式詳細資料頁面。您可以在這個頁面執行以下操作:
    • 查看/變更您的應用程式是否可以存取 Google 服務:查看應用程式是標示為「可信任」、「有限」或「已封鎖」。如果您變更了存取權設定,請按一下「儲存」
    • 查看應用程式相關資訊:包括應用程式的完整 OAuth2 用戶端 ID、使用者人數、隱私權政策以及支援資訊。
    • 查看應用程式要求的 Google 服務 API (OAuth 範圍):在應用程式詳細資料頁面的「要求的服務」部分中,您可以查看各個應用程式要求的 OAuth 範圍清單。如要查看個別 OAuth 範圍,請務必展開表格列,或按一下「全部展開」
  6. (選用) 如要將表格顯示的應用程式資訊下載為 CSV 檔案,請在「已存取資料的應用程式」或「已設定的應用程式」清單頂端點選「匯出清單」
    • 下載的檔案會有表格中的所有資料,包括因目前的「管理資料欄」設定 "" 而未顯示的欄資料。
    • 如果您匯出「已設定的應用程式」清單,CSV 檔案會包含這些未顯示在表格中的額外欄:使用者人數、要求的服務、與各服務相關聯的 API 範圍。請注意,如果沒有人存取過某個已設定的應用程式,該應用程式的使用者人數會顯示為 0,其他兩欄則會留空。

應用程式驗證是 Google 的一項計畫,旨在確保存取客戶機密資料的第三方應用程式皆能通過安全性與隱私權檢查。系統可能會禁止使用者啟用您不信任的未驗證應用程式 (詳情請參閱下文,瞭解如何信任應用程式)。如要進一步瞭解應用程式驗證,請參閱授權未經驗證的第三方應用程式

管理 Google 服務存取權:「受限制」或「未限制」

您可以限制 (或不限制) 大多數 Google Workspace 服務的存取權,包括機器學習等 Google Cloud 服務。對於 Gmail 和 Google 雲端硬碟,您可以明確限制高風險範圍 (例如傳送 Gmail 郵件或刪除雲碟硬碟檔案) 的存取權。即使系統提示使用者同意授權特定應用程式,如果應用程式使用的範圍受到限制,且您並未明確信任該應用程式,那麼使用者將無法新增應用程式。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序點選 [安全性] 接下來 [API 控制項]

    在「應用程式存取權控制項」下方,「總覽」部分會列出目前受限制及未受限制的服務數量。

  3. 按一下「管理 Google 服務」
  4. 在清單中找到您要管理的服務,然後勾選對應的方塊。

    您可以視需要點選「新增篩選器」,使用以下條件縮小清單搜尋範圍:
    Google 服務 - 選取清單中的服務,例如雲端硬碟Gmail,然後按一下「套用」
    Google 服務存取權 - 選取「未限制」或「受限制」,然後按一下「套用」
    允許的應用程式 - 指定允許的應用程式數量範圍,然後按一下「套用」
    使用者人數 - 指定使用者人數範圍,然後按一下「套用」

    您可以控管的 Google 服務包括:
    • Google Workspace
      • Google Workspace 管理控制台
      • Gmail
      • 雲端硬碟
      • 日曆
      • Chat
      • 聯絡人
      • 保管箱
      • Classroom
      • Keep
      • Tasks
      • 網路論壇
      • Cloud Search
      • Apps Script Runtime
        針對會要求 Apps Script 專案 (如「UrlFetch」和「Container UI」) 專用特定高風險範圍的專案,控管其存取權。這些專案包括貴機構內部和外部的外掛程式與指令碼。Apps Script Runtime 控制項可與 Apps Script API 控制項同時運作,且不會為 Apps Script 應用程式取代相應的 API 控制項。
      • Apps Script API
        針對所有會為 Apps Script API (如「Manage Projects」和「Manage Deployments」) 要求範圍的專案 (如「Apps Script」、「Google Cloud」和「AWS」等),控管其存取權。

    • Google Cloud:
      • Cloud (包括所有 Google Cloud 服務,機器學習和 Cloud Billing 除外。)
      • 機器學習 (包括 Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API 和 Cloud Vision API。)
      • Cloud Billing
  5. 從清單中選取服務後,按一下「變更存取權」

    如果只要設定一項服務,請將滑鼠游標移至表格中的任一列。按一下最右側的「變更存取權」
    如要設定多項服務,請點選表格中的核取方塊。按一下表格頂端的「變更存取權」。
     
  6. 如要變更存取權,請選擇下列其中一個選項:

    未限制 - 經使用者核准的所有應用程式皆可存取服務
    受限制 - 只有信任的應用程式可以存取服務
  7. 按一下「變更」
    在 Google 服務頁面上,「存取權」一欄會顯示服務的存取權狀態:「未限制」或「受限制」
  8. (選用) 如要查看哪些應用程式有權存取服務,請按照以下步驟操作:
    1. 點選表格上方的「應用程式」
    2. 依序點選「新增篩選器」接下來「要求的服務」。
    3. 選取您要查看的服務,然後按一下「套用」
      系統會顯示有權存取所選服務 OAuth 範圍的應用程式,以及相關信任狀態。

將範圍更改為「受限制」後,先前安裝的應用程式如未獲得信任,會全數停止運作,憑證也會遭到撤銷。如果使用者嘗試安裝的應用程式設有受限制的範圍,系統會通知使用者,說明該應用程式已封鎖。

注意:如果限制雲端硬碟服務的存取權,Google Forms API 的存取權也會受到限制。

Gmail 和雲端硬碟的高風險 OAuth 範圍

Gmail 和雲端硬碟也可以限制預先定義的高風險 OAuth 範圍清單的存取權。

Gmail 的高風險 OAuth 範圍如下:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

    如要進一步瞭解 Gmail 範圍,請參閱選擇驗證範圍

雲端硬碟的高風險 OAuth 範圍如下:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    如要進一步瞭解雲端硬碟範圍,請參閱授權簡介
管理應用程式存取權:「可信任」、「有限」或「已封鎖」

在「應用程式存取權控制項」頁面中,您可以封鎖應用程式、將應用程式標示為「可信任」,或只將存取權授予未受限制的 Google 服務,藉此管理特定應用程式的存取權。

重要事項:信任應用程式後,系統會覆寫服務限制。可信任的應用程式可以存取所有 Google Workspace 服務 (OAuth 範圍),包括受限制的服務,未獲您信任的應用程式則只能存取未受限制的服務。

將應用程式設為「可信任」後,使用者即可安裝未經濫用防制團隊驗證的應用程式。您也可以選擇信任所有網域擁有的應用程式,或者封鎖應用程式,禁止這類應用程式存取任何 Google Workspace 服務。

提示:系統通常會向使用者顯示提示,請他們同意新增網頁應用程式。不過,在 Google Workspace Marketplace 中,您可以透過網域安裝程序略過同意畫面;這項程序僅適用於已核准的應用程式。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序點選 [安全性] 接下來 [API 控制項]
  3. 在「應用程式存取權控制項」下方,按一下「管理第三方應用程式存取權」
  4. 在右上方的「已存取資料的應用程式」資訊卡中,按一下「查看清單」
  5. (選用) 您可以視需要點擊「新增篩選器」,使用以下條件縮小清單搜尋範圍:
    • 應用程式名稱 - 在「包含」欄位中輸入應用程式名稱,然後按一下「套用」
    • 類型 - 選擇「網頁應用程式」、「iOS」或「Android」,然後按一下「套用」
    • ID - 在「相符」欄位中輸入字串,然後按一下「套用」
    • 驗證狀態 - 如果應用程式狀態為「已驗證」,表示該應用程式確實遵守特定政策,已通過 Google 審查。請注意,許多知名的應用程式可能並未通過這項驗證。詳情請參閱這篇文章,瞭解何謂已驗證的第三方應用程式。
    • 使用者人數 - 指定使用者人數範圍,然後按一下「套用」
    • 要求的服務 - 選擇 Gmail 或雲端硬碟等服務,然後按一下「套用」
  6. 如要變更單一應用程式的存取權,請將滑鼠游標懸停在清單中的應用程式上,然後按一下右側的「變更存取權」。如要變更多個應用程式的存取權,請勾選所需應用程式的方塊,然後按一下清單頂端的「變更存取權」
  7. 如要變更存取權,請選擇下列其中一個選項:
    • 可信任:能夠存取所有 Google 服務 (包括受限制的服務)
    • 有限:只能存取未受限制的 Google 服務
    • 已封鎖:無法存取任何 Google 服務
    注意:如果您將裝置的應用程式加入許可清單,但同時又使用 API 控制項封鎖這個應用程式,系統便會封鎖該應用程式 (這表示「API 控制項」頁面的應用程式封鎖設定會覆寫許可清單設定)。
     
  8. 按一下「變更」
    • 「已存取資料的應用程式」清單的「存取權」一欄會顯示應用程式的存取權狀態:「可信任」、「有限」、或「已封鎖」
    • 如果將應用程式存取權從「有限」變更為「可信任」或「已封鎖」,系統會將該應用程式加入「已設定的應用程式」清單。
    • 如果您將應用程式存取權從「可信任」或「已封鎖」變更為「有限」,該應用程式會從「已設定的應用程式」清單中移除。

注意:如果您將可信任/已封鎖應用程式的存取權變更為「有限」,而且應用程式沒有任何活躍使用者,清單就不會再列出該應用程式,除非您再次新增應用程式或使用者啟用該應用程式。

如何在清單中新增應用程式:

  1. 在「應用程式存取權控制項」下方,按一下「管理第三方應用程式存取權」
  2. 按一下「已設定的應用程式」清單頂端的「新增應用程式」
  3. 選擇「OAuth 應用程式名稱或用戶端 ID」、「Android」或「iOS」
  4. 輸入應用程式名稱或用戶端 ID,然後按一下「搜尋」
  5. 在搜尋結果清單中找出您要管理的應用程式,然後按一下「選取」

    注意:如果您是依照「OAuth 應用程式名稱或用戶端 ID」進行設定,請找出您要設定的用戶端 ID 並勾選相應方塊,然後按一下「選取」

  6. 選擇下列其中一個選項:
    • 可信任:能夠存取所有 Google 服務
    • 已封鎖:無法存取任何 Google 服務
  7. 按一下「設定」

    在應用程式頁面中,「存取權」一欄會顯示應用程式的存取權狀態:「可信任」或「已封鎖」

禁止所有第三方 API 存取

您可以在「API 控制項」頁面封鎖所有第三方 API 存取權。透過這個強大的控制項,系統將可拒絕第三方應用程式和網站對使用者資料的存取要求。這項設定會封鎖所有 OAuth 範圍 (包括登入範圍),這表示使用者將無法再使用 Google 帳戶登入第三方應用程式和網站。

重要須知:即使您啟用「禁止所有第三方 API 存取」設定,使用者仍能存取獲得明確信任的應用程式,以及信任網域所擁有的應用程式。如需進一步瞭解可信任的應用程式,請參閱管理應用程式存取權:「可信任」、「有限」或「已封鎖」允許內部應用程式存取受限制的 Google Workspace API

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序點選 [安全性] 接下來 [API 控制項]
  3. 在「應用程式存取權控制項」下方,勾選「禁止所有第三方 API 存取」核取方塊,然後按一下「儲存」
允許內部應用程式存取受限制的 Google Workspace API

建立內部應用程式時,您可以將這類應用程式全數設為「可信任」,允許它們存取受限制的 Google Workspace 服務。如果您沒有採取上述做法,則必須逐一將個別應用程式設為「可信任」。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序點選 [安全性] 接下來 [API 控制項]
  3. 在「應用程式存取權控制項」下方,勾選「信任網域擁有的內部應用程式」方塊,然後按一下「儲存」

網域擁有的應用程式包括:

  • 機構內使用者建立的 Google Apps Script 專案
  • Google Cloud 控制台中與機構相關聯的應用程式

注意:如果您將網域擁有的內部應用程式設為「可信任」,但又透過「管理第三方應用程式存取權」封鎖這類應用程式,那麼該應用程式會遭到封鎖 (請參閱「管理應用程式存取權:『可信任』、『有限』或『已封鎖』」一節)。

自訂應用程式的拒絕訊息

視特定服務和應用程式而定,當使用者嘗試安裝第三方網頁應用程式時,他們會看到同意或拒絕的畫面。您可以自訂這個拒絕畫面,例如在其中新增支援服務聯絡資訊。 

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序點選 [安全性] 接下來 [API 控制項]
  3. 在「應用程式存取權控制項」下方,前往「設定」部分。
  4. 在「如果使用者嘗試使用的應用程式無法存取受限制的 Google 服務,使用者就會看到這則訊息」下方的方塊中,輸入自訂文字:
  5. 按一下「儲存」。

相關主題

這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題

搜尋
清除搜尋內容
關閉搜尋
Google 應用程式
主選單
搜尋說明中心
true
73010
false