控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料

如要瞭解如何管理不同行動裝置作業系統的應用程式,請參閱這篇文章

您可以控管要讓哪些第三方和網域擁有的應用程式存取 Google Workspace 機密資料。針對使用 OAuth 2.0 的 Google Workspace 服務,您可透過應用程式存取權控制項管理其存取權。為了讓應用程式順利存取資料,現今的高安全性應用程式皆採用 OAuth 2.0 範圍;這一系列程序亦稱為外部 API。應用程式可透過這些範圍從大部分 Google Workspace 服務 (例如 Gmail、Google 雲端硬碟、日曆和聯絡人) 存取有限的使用者資料。您可以使用應用程式存取權控制項進行以下操作:

  • 限制大部分 Google Workspace 服務的存取權,或者不對這些服務設定限制。
  • 信任特定應用程式,允許應用程式存取受限制的 Google Workspace 服務。
  • 信任網域擁有的所有應用程式。

如要控管哪些第三方和內部應用程式可以存取 Google Workspace 資料,以及查看所有使用中第三方應用程式的詳細資料,請按照下列說明操作。此外,您也可以針對使用者嘗試安裝未經授權應用程式的情況,自訂要向他們顯示的錯誤訊息。

使用應用程式存取權控制項

全部展開   |   全部收合

查看環境中的第三方應用程式

執行控制項之前,請先查看您已授權哪些應用程式存取 Google Workspace 資料。

注意:第三方應用程式的詳細資料通常會在 24 至 48 小時內顯示在結果中。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序點選 "" 圖示 接下來 [安全性] 接下來 [API 控制項]
  3. 在「應用程式存取權控制項」之下,選取 [管理第三方應用程式存取權]
  4. 在應用程式表格中查看應用程式詳細資料。 
    系統會顯示以下詳細資料: 
    • 應用程式名稱
    • 類型
    • ID
    • 驗證狀態 - 如果應用程式狀態為「已驗證」,表示該應用程式確實遵守特定政策,已通過 Google 審查。請注意,許多知名的應用程式可能並未通過這項驗證。詳情請參閱這篇文章,瞭解何謂已驗證的第三方應用程式。
    • 使用者人數 - 存取該應用程式的使用者人數。
    • 要求的服務:各應用程式使用的 Google 服務 API (OAuth2 範圍),例如 Gmail、日曆或雲端硬碟。系統會將未顯示在「Google 服務」分頁中的服務列為「其他」
    • 存取權:可指定為 [可信任]、[有限] 或 [已封鎖]。
  5. 在表格中點選應用程式所在的列,開啟應用程式詳細資料頁面。您可以在這個頁面執行以下操作:
    • 查看/變更您的應用程式是否可以存取 Google 服務:查看應用程式是標示為「可信任」、「有限」或「已封鎖」。如果您變更了存取權設定,請按一下 [儲存]
    • 查看應用程式相關資訊:包括應用程式的完整 OAuth2 用戶端 ID、使用者人數、隱私權政策以及支援資訊。
    • 查看應用程式要求的 Google 服務 API (OAuth 範圍):在應用程式詳細資料頁面的「要求的服務」部分中,您可以查看各個應用程式要求的 OAuth 範圍清單。如要查看個別 OAuth 範圍,請確實將表格列展開,或按一下 [全部展開]

應用程式驗證是 Google 的一項計畫,旨在確保存取客戶機密資料的第三方應用程式皆能通過安全性與隱私權檢查。系統可能會禁止使用者啟用您不信任的未驗證應用程式 (詳情請參閱下文,瞭解如何信任應用程式)。如要進一步瞭解應用程式驗證,請參閱授權未經驗證的第三方應用程式

管理 Google 服務存取權:「受限制」或「未限制」

您可以「限制」(或不限制) 大多數 Google Workspace 服務的存取權,包括機器學習等 Google Cloud Platform 服務。對於 Gmail 和 Google 雲端硬碟,您可以明確限制高風險範圍 (例如傳送 Gmail 郵件或刪除雲碟硬碟檔案) 的存取權。即使系統提示使用者同意授權特定應用程式,如果應用程式使用的範圍受到限制,且您並未明確信任該應用程式,那麼使用者將無法新增應用程式。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序點選 "" 圖示 接下來 [安全性] 接下來 [API 控制項]
  3. 在「應用程式存取權控制項」之下,按一下 [管理 Google 服務]
  4. 在清單中找到您要管理的服務,然後勾選對應的方塊。

    您可以視需要點選 [新增篩選器],使用以下條件縮小清單搜尋範圍:
    Google 服務 - 選取清單中的服務,例如雲端硬碟Gmail,然後按一下 [套用]
    Google 服務存取權 - 選取 [未限制] 或 [受限制],然後按一下 [套用]
    允許的應用程式 - 指定允許的應用程式數量範圍,然後按一下 [套用]
    使用者人數 - 指定使用者人數範圍,然後按一下 [套用]

    您可以控管的 Google 服務包括:
    • Google Workspace
      • Google Workspace 管理控制台
      • Gmail
      • 雲端硬碟
      • 日曆
      • 聯絡人
      • 保管箱
      • Classroom
      • Tasks
      • 網路論壇
      • Cloud Search
      • Apps Script Runtime
        針對會要求 Apps Script 專案 (如 UrlFetch 和 Container UI) 專用特定高風險範圍的專案,控管其存取權。這些專案包括透過應用程式製作工具建立的應用程式、外掛程式,以及來自貴機構內部或外部的指令碼。Apps Script Runtime 控制項可與 Apps Script API 控制項同時運作,且不會取代 Apps Script 應用程式。
      • Apps Script API
        針對所有會為 Apps Script API (如「管理專案」和「管理部署作業」) 要求範圍的專案 (例如 Apps ScriptGCPAWS 等),控管其存取權。

    • Google Cloud Platform:
      • Cloud Platform (包括所有 Google Cloud Platform 服務,機器學習和 Cloud Billing 除外)。
      • 機器學習 (包括 Cloud Video Intelligence、Cloud Speech API、Cloud Natural Language API、Cloud Translation API 和 Cloud Vision API)。
      • Cloud Billing
  5. 從清單中選取服務後,按一下 [變更存取權]

    如果只要設定一項服務,請將滑鼠游標移至表格中的任一列。按一下最右側的 [變更存取權]
    如要設定多項服務,請點選表格中的核取方塊。按一下表格頂端的 [變更存取權]。
     
  6. 如要變更存取權,請選擇下列其中一個選項:

    未限制 - 經使用者核准的所有應用程式皆可存取服務
    受限制 - 只有信任的應用程式可以存取服務
  7. 按一下 [變更]
    在 Google 服務頁面上,「存取權」一欄會顯示服務的存取權狀態:「未限制」或「受限制」
  8. (選用) 如要查看哪些應用程式有權存取服務,請按照以下步驟操作:
    1. 點選表格上方的 [應用程式]
    2. 依序點選 [新增篩選器] 接下來 [要求的服務]。
    3. 選取您要查看的服務,然後按一下 [套用]
      系統會顯示有權存取所選服務 OAuth 範圍的應用程式,以及相關信任狀態。

將範圍更改為「受限制」後,先前安裝的應用程式如未獲得信任,會全數停止運作,憑證也會遭到撤銷。如果使用者嘗試安裝的應用程式設有受限制的範圍,系統會對他們顯示通知,說明已封鎖該應用程式。

Gmail 和雲端硬碟的高風險 OAuth 範圍

Gmail 和雲端硬碟也可以限制預先定義的高風險 OAuth 範圍清單的存取權。

Gmail 的高風險 OAuth 範圍如下:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

    如要進一步瞭解 Gmail 範圍,請參閱選擇驗證範圍

雲端硬碟的高風險 OAuth 範圍如下:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    如要進一步瞭解雲端硬碟範圍,請參閱授權簡介
管理應用程式存取權:「可信任」、「有限」或「已封鎖」

在「應用程式存取權控制項」頁面中,您可以封鎖應用程式、將應用程式標示為「可信任」,或只將存取權提供給未受限制的 Google 服務,藉此管理特定應用程式的存取權。

您可以信任特定應用程式,允許這些應用程式存取所有 Google Workspace 服務 (OAuth 範圍),也可以決定是否要信任網域擁有的所有應用程式。設為「可信任」的應用程式即使並未經過濫用防制團隊的驗證,使用者仍可加以安裝。未獲得信任的應用程式僅具備有限的 Google Workspace API 存取權,因此只能存取未受限制的服務。您也可以選擇封鎖應用程式,禁止這類應用程式存取任何 Google Workspace 服務。

提示:系統通常會向使用者顯示提示,請他們同意新增網頁應用程式。不過,在 Google Workspace Marketplace 中,您可以透過網域安裝程序略過同意畫面;這項程序僅適用於已核准的應用程式。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序點選 "" 圖示 接下來 [安全性] 接下來 [API 控制項]
  3. 在「應用程式存取權控制項」之下,按一下 [管理第三方應用程式存取權]
  4. 在清單中找到要管理的應用程式,然後勾選對應的方塊。

    您可以視需要點選 [新增篩選器],使用以下條件縮減清單內容:
    • 應用程式名稱 - 在 [包含] 欄位中輸入應用程式名稱,然後按一下 [套用]
    • 類型 - 選擇 [網頁應用程式]、[iOS] 或 [Android],然後按一下 [套用]
    • ID - 在 [相符] 欄位中輸入字串,然後按一下 [套用]
    • 驗證狀態 - 如果應用程式狀態為「已驗證」,表示該應用程式確實遵守特定政策,已通過 Google 審查。請注意,許多知名的應用程式可能並未通過這項驗證。詳情請參閱這篇文章,瞭解何謂已驗證的第三方應用程式。
    • 使用者人數 - 指定使用者人數範圍,然後按一下 [套用]
    • 要求的服務 - 選擇 Gmail 或雲端硬碟等服務,然後按一下 [套用]
    • 存取權 - 點選 [可信任]、[有限] 或 [已封鎖],然後按一下 [套用]
  5. 從清單中選取應用程式後,按一下 [變更存取權]
  6. 選擇下列其中一個選項,以變更存取權:
     
    • 可信任:能夠存取所有 Google 服務
    • 有限:只能存取不受限的 Google 服務
    • 已封鎖:無法存取任何 Google 服務
    注意:如果您將某個應用程式加入裝置許可清單,但同時又使用 API 控制項封鎖該應用程式,那麼該應用程式仍會遭到封鎖;也就是說,「API 控制項」頁面的應用程式封鎖設定會覆寫許可清單設定。
     
  7. 按一下 [變更]
    在應用程式頁面上,「存取權」一欄會顯示應用程式的存取權狀態:「可信任」、「有限」或「已封鎖」

注意:如果您將可信任/已封鎖應用程式的存取權變更為「有限」,當此應用程式沒有任何活躍使用者時,清單就不會再列出該應用程式 (除非您再次新增應用程式,或有使用者啟用該應用程式)。

如何管理不在清單中的應用程式:

  1. 在「應用程式存取權控制項」之下,按一下 [管理第三方應用程式存取權]
  2. 按一下 [設定新的應用程式],然後選擇 [OAuth 應用程式名稱或用戶端 ID]、[Android] 或 [iOS]
  3. 輸入應用程式名稱,然後按一下 [搜尋]
  4. 在搜尋結果清單中找出您要管理的應用程式,然後按一下 [選取]
    注意:如果您是依照「OAuth 應用程式名稱或用戶端 ID」進行設定,請找出您要設定的用戶端 ID 並勾選相應方塊,然後按一下 [選取]
  5. 選擇下列其中一個選項:

    可信任 - 能夠存取所有 Google 服務
    已封鎖 - 無法存取任何 Google 服務
     
  6. 按一下 [設定]

    在應用程式頁面上,「存取權」一欄會顯示應用程式的存取權狀態:「可信任」或「已封鎖」
允許內部應用程式存取受限制的 Google Workspace API

建立內部應用程式時,您可以將這類應用程式全數設為「可信任」,允許它們存取受限制的 Google Workspace 服務。如果您沒有採取上述做法,則必須逐一將個別應用程式設為「可信任」。

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序點選 "" 圖示 接下來 [安全性] 接下來 [API 控制項]
  3. 在「應用程式存取權控制項」之下,勾選 [信任網域擁有的內部應用程式] 方塊,然後按一下 [儲存]

網域擁有的應用程式包括:

  • 機構內使用者建立的 Google Apps Script 專案
  • Google Cloud Platform Console 中與機構相關聯的應用程式

注意:如果您將網域擁有的內部應用程式設為「可信任」,但又透過「管理第三方應用程式存取權」封鎖這類應用程式,那麼該應用程式會遭到封鎖 (請參閱管理應用程式存取權:「可信任」、「有限」或「已封鎖」一節)。

自訂應用程式的拒絕訊息

視特定服務和應用程式而定,當使用者嘗試安裝第三方網頁應用程式時,他們會看到同意或拒絕的畫面。您可以自訂這個拒絕畫面,例如在其中新增支援服務聯絡資訊。 

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序點選 "" 圖示 接下來 [安全性] 接下來 [API 控制項]
  3. 在「應用程式存取權控制項」之下,前往「設定」部分。
  4. 在「如果使用者嘗試使用的應用程式無法存取受限制的 Google 服務,使用者就會看到這則訊息」下方的方塊中,輸入自訂文字:
  5. 按一下 [儲存]。

相關主題

這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題