Zugriff externer und interner Apps auf G Suite-Daten verwalten

Sie können steuern, welche internen Apps und Apps von Drittanbietern auf vertrauliche G Suite-Daten zugreifen dürfen. Für die App-Zugriffssteuerung verwenden Sie OAuth 2.0. Bei modernen, sichereren Apps wird der Zugriff mithilfe von OAuth 2.0-Bereichen festgelegt und kann für die jeweilige API eingeschränkt werden. Somit kann auf eingeschränkte Nutzerdaten der meisten G Suite-Dienste wie Gmail, Google Drive, Google Kalender und Google Kontakte zugegriffen werden. Über die App-Zugriffssteuerung können Sie 

  • den Zugriff auf die meisten G Suite-Dienste einschränken,
  • bestimmte Apps als vertrauenswürdig kategorisieren, sodass sie auf eingeschränkte G Suite-Dienste zugreifen können, und
  • alle domaininternen Apps als vertrauenswürdig einstufen.

Im Folgenden erfahren Sie, wie sich diese Möglichkeiten umsetzen lassen und wie Sie Informationen zu den verwendeten Drittanbieter-Apps erhalten. Wenn Nutzer versuchen, eine nicht autorisierte App zu installieren, erhalten sie eine Fehlermeldung, die Sie an Ihre Bedürfnisse anpassen können. 

Hinweis: Wenn Sie Apps nach Betriebssystem des Mobilgeräts (Android oder iOS) verwalten möchten, lesen Sie die Hilfeartikel Verwaltete Apps für Android-Geräte einrichten und iOS-Apps empfehlen und verwalten.

App-Zugriffssteuerung verwenden

Alle öffnen   |   Alle schließen

Liste der Drittanbieter-Apps in Ihrer Umgebung aufrufen

Bevor Sie die Steuerungsmöglichkeiten verwenden, sollten Sie sich ansehen, welchen Apps Ihre Nutzer Zugriff auf G Suite-Daten gewähren.

Hinweis: Details zu Drittanbieter-Apps werden normalerweise innerhalb von 24 bis 48 Stunden in den Ergebnissen angezeigt.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Klicken Sie auf der Startseite der Admin-Konsole auf das Dreistrich-Menü"" und dann Sicherheit und dann API-Steuerelemente.
    Hinweis: Wenn Sie die Einstellung App-Zugriffssteuerung nicht haben, folgen Sie den Schritten in diesem Artikel. Die neue Benutzeroberfläche für die App-Zugriffssteuerung wird in den nächsten Wochen automatisch verfügbar gemacht.
  3. Klicken Sie auf der Hauptseite der App-Zugriffssteuerung auf Zugriff von Drittanbieter-Apps verwalten.
  4. Wenn Sie weitere Informationen zu einer App benötigen, suchen Sie in der App-Tabelle nach ihr. 
    Jeder App-Eintrag enthält die folgenden Informationen: 
    • App-Name
    • App-Typ
    • Anzahl der Nutzer mit Zugriff auf die App
  5. Klicken Sie auf einen Eintrag. 
    Auf der Seite mit den App-Details finden Sie folgende Informationen:
    • Von der App verwendete G Suite-Dienste
    • Vollständige OAuth2-Client-ID der App
    • Informationen zum Publisher, einschließlich Datenschutzerklärung und Supportlinks
    • Sofern vorhanden, überprüfte Apps, die auf bestimmte eingeschränkte API-Bereiche zugreifen

Google unterzieht Drittanbieter-Apps, die auf vertrauliche Kundendaten zugreifen möchten, mehren Datenschutz- und Sicherheitsprüfungen. Dieser Vorgang wird als App-Überprüfung bezeichnet. Es lässt sich verhindern, dass Nutzer Apps aktivieren, denen Sie nicht vertrauen und die noch nicht überprüft wurden. Wie Sie Apps als vertrauenswürdig einstufen, erfahren Sie weiter unten. Weitere Informationen finden Sie im Hilfeartikel Nicht überprüfte Drittanbieter-Apps autorisieren.

Zugriff auf Google-Dienste einschränken

Für die meisten G Suite-Dienste lässt sich der Zugriff einschränken (oder keine Einschränkungen festlegen), einschließlich der Dienste der Google Cloud Platform, z. B. maschinelles Lernen. Bei Gmail und Google Drive haben Sie die Möglichkeit, gezielt den Zugriff auf Bereiche einzuschränken, die hochriskante Aktionen ermöglichen, z. B. E-Mails senden oder löschen. Greift eine App, die Sie nicht als vertrauenswürdig eingestuft haben, auf eingeschränkte Bereiche zu, können Nutzer sie nicht hinzufügen. 

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Klicken Sie auf der Startseite der Admin-Konsole auf das Dreistrich-Menü"" und dann Sicherheit und dann API-Steuerelemente.
    Hinweis: Wenn Sie die Einstellung App-Zugriffssteuerung nicht haben, folgen Sie den Schritten in diesem Artikel. Die neue Benutzeroberfläche für die App-Zugriffssteuerung wird in den nächsten Wochen automatisch verfügbar gemacht.
  3. Klicken Sie auf der Hauptseite der App-Zugriffssteuerung auf Google-Dienste verwalten.
    Sie können die folgenden Google-Dienste verwalten:
    • G Suite:
      • G Suite Admin
      • Gmail
      • Drive
      • Kalender
      • Kontakte
      • Vault
      • Apps Script-Laufzeit
        Steuert den Zugriff auf Projekte, die einen bestimmten Umfang mit hohem Risiko speziell für Apps Script-Projekte anfordern, z. B. UrlFetch und Container UI. Dazu gehören App Maker-Apps, Add-ons und Skripts innerhalb und außerhalb Ihrer Organisation. Die Apps Script-Laufzeitsteuerung arbeitet mit Apps Script API-Steuerelementen zusammen. Sie ersetzt diese für Apps-Skript-Apps nicht.
      • Apps Script API
        Steuert den Zugriff auf jedes Projekt (z. B. Apps Script, GCP, AWS), das einen Umfang für die Apps Script API anfordert (z. B. Projekte verwalten und Bereitstellungen verwalten).

    • Google Cloud Platform:
      • Cloud Platform: umfasst alle Dienste der Google Cloud Platform außer maschinelles Lernen und Cloud Billing
      • Maschinelles Lernen: umfasst Cloud Video Intelligence, Cloud Speech API, Cloud Natural Language API, Cloud Translation API und Cloud Vision API
      • Cloud Billing
  4. Legen Sie für die Dienste jeweils die Zugriffseinstellung fest:
    • Uneingeschränkt: Alle Drittanbieter-Apps können nach Zustimmung des Nutzers auf diesen Dienst zugreifen.
    • Eingeschränkt: Nur vertrauenswürdige Apps können nach Zustimmung des Nutzers auf diesen Dienst zugreifen.
    • Eingeschränkt – Zugriff mit hohem Risiko: Nur vertrauenswürdige Apps können bei diesem Dienst auf Bereiche mit hohem Risiko zugreifen. Alle Apps können auf Bereiche mit geringerem Risiko zugreifen. Die Einwilligung des Nutzers ist in jedem Fall erforderlich.
      • Bei Gmail bergen die folgenden OAuth-Bereiche ein hohes Risiko:
        • https://mail.google.com/
        • https://www.googleapis.com/auth/gmail.compose
        • https://www.googleapis.com/auth/gmail.insert
        • https://www.googleapis.com/auth/gmail.metadata
        • https://www.googleapis.com/auth/gmail.modify
        • https://www.googleapis.com/auth/gmail.readonly
        • https://www.googleapis.com/auth/gmail.send
        • https://www.googleapis.com/auth/gmail.settings.basic
        • https://www.googleapis.com/auth/gmail.settings.sharing

          Weitere Informationen zu Gmail-Bereichen

      • Bei Drive bergen die folgenden OAuth-Bereiche ein hohes Risiko:
        • https://www.googleapis.com/auth/drive
        • https://www.googleapis.com/auth/drive.apps.readonly
        • https://www.googleapis.com/auth/drive.metadata
        • https://www.googleapis.com/auth/drive.metadata.readonly
        • https://www.googleapis.com/auth/drive.readonly
        • https://www.googleapis.com/auth/drive.scripts
        • https://www.googleapis.com/auth/documents
          Weitere Informationen zu Drive-Bereichen
  5. Optional: So überprüfen Sie, welche Apps Zugriff auf einen Dienst haben: 
    1. Klicken Sie über der Tabelle auf Apps.
    2. Klicken Sie auf Filter hinzufügen und dannAngeforderte Dienste.
    3. Wählen Sie die Dienste aus, die Sie überprüfen möchten.  
      Sie sehen, welche Apps Zugriff auf ihre OAuth-Bereiche haben und ob sie als vertrauenswürdig gelten.
  6. So ändern Sie den Zugriff, z. B. um ihn zu beschränken: 
    • Wenn Sie Änderungen an einem einzelnen Dienst vornehmen möchten, bewegen Sie den Mauszeiger auf die entsprechende Zeile in der Tabelle und klicken Sie rechts auf Zugriff ändern.
    • Möchten Sie Änderungen an mehreren Diensten gleichzeitig vornehmen, wählen Sie sie in der Tabelle aus und klicken Sie über der Tabelle auf Zugriff ändern.

Sobald Sie den Zugriff auf einen Bereich einschränken, funktionieren Apps, die nicht als vertrauenswürdig eingestuft sind, nicht mehr. Tokens werden widerrufen. Wenn ein Nutzer versucht, eine App mit eingeschränktem Bereich zu installieren, erhält er eine Benachrichtigung, dass das nicht möglich ist.

Apps zur Liste vertrauenswürdiger Apps hinzufügen oder daraus entfernen

Sie haben die Möglichkeit, bestimmte Apps, die auf alle G Suite-Dienste zugreifen können sollen (OAuth-Bereiche), sowie alle domaineigenen Apps als vertrauenswürdig einzustufen. Nutzer können diese Apps dann installieren, auch wenn sie nicht von unserem Team zur Missbrauchsbekämpfung überprüft wurden. Bei Apps, denen Sie nicht vertrauen, ist der Zugriff auf G Suite-APIs eingeschränkt, denn sie können nur auf Dienste zugreifen, bei denen keine Einschränkungen gelten.

Tipp: Nutzer werden aufgefordert, zuzustimmen, wenn Web-Apps hinzugefügt werden. Im G Suite Marketplace können Sie den Genehmigungsbildschirm während der Domaininstallation für genehmigte Apps jedoch überspringen.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Klicken Sie auf der Startseite der Admin-Konsole auf das Dreistrich-Menü"" und dann Sicherheit und dann API-Steuerelemente.
    Hinweis: Wenn Sie die Einstellung App-Zugriffssteuerung nicht haben, folgen Sie den Schritten in diesem Artikel. Die neue Benutzeroberfläche für die App-Zugriffssteuerung wird in den nächsten Wochen automatisch verfügbar gemacht.
  3. Klicken Sie auf der Hauptseite der App-Zugriffssteuerung auf Zugriff von Drittanbieter-Apps verwalten.
  4. Sehen Sie sich die Liste der Apps an. 
  5. Wenn Sie nach einer bestimmten App, einer Client-ID oder den Diensten, suchen möchten, auf die die App Zugriff hat, klicken Sie auf "Filter hinzufügen".
    In der Liste aufgeführte Apps werden gerade verwendet und/oder gelten als vertrauenswürdig.
  6. So ändern Sie den Zugriff, z. B. um eine App als vertrauenswürdig einzustufen: 
    • Wenn Sie Änderungen an einer einzelnen App vornehmen möchten, bewegen Sie den Mauszeiger auf die entsprechende Zeile in der Tabelle und klicken Sie rechts auf Zugriff ändern.
    • Mehrere Apps: Wählen Sie in der Tabelle die gewünschten Apps aus und klicken Sie anschließend oben auf Zugriff ändern

      Sie können für eine App folgende Status festlegen:
      • Vertrauenswürdig: Zugriff auf alle Google-Dienste
      • Eingeschränkt: nur Zugriff auf nicht eingeschränkte Google-Dienste
  7. Optional: Wenn Sie eine App, die nicht auf der Liste steht, als vertrauenswürdig einstufen möchten, klicken Sie über der App-Liste auf App hinzufügen und entscheiden Sie sich für eine der für den App-Typ möglichen Aktionen:
    • Web-Apps:
      1. Klicken Sie auf OAuth-App-Name oder Client-ID
      2. Geben Sie die Client-ID ein und klicken Sie auf Suchen.
      3. Wählen Sie die App aus und klicken Sie auf Hinzufügen
    • Mobile Apps:
      1. Klicken Sie auf Android oder iOS
      2. Geben Sie einen App-Namen ein und klicken Sie auf Suchen, um eine Liste der verfügbaren Apps aufzurufen.
      3. Wählen Sie die App aus und klicken Sie auf Hinzufügen

Hinweis: Wenn Sie einer vertrauenswürdigen App nur eingeschränkten Zugriff gewähren und keine aktiven Nutzer vorhanden sind, wird sie aus der Liste entfernt, bis Sie sie neu hinzufügen oder ein Nutzer sie aktiviert.

Interne Apps auf eingeschränkte G Suite APIs zugreifen lassen

Apps, die Sie intern erstellt haben, können Sie einzeln oder gemeinsam als vertrauenswürdig einstufen und ihnen so Zugriff auf eingeschränkte G Suite-Dienste gewähren.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Klicken Sie auf der Startseite der Admin-Konsole auf das Dreistrich-Menü"" und dann Sicherheit und dann API-Steuerelemente.
    Hinweis: Wenn Sie die Einstellung App-Zugriffssteuerung nicht haben, folgen Sie den Schritten in diesem Artikel. Die neue Benutzeroberfläche für die App-Zugriffssteuerung wird in den nächsten Wochen automatisch verfügbar gemacht.
  3. Klicken Sie unten auf der Seite auf das Kästchen neben Internen Apps der Domain vertrauen und dann auf Speichern.

Zu den domaineigenen Apps gehören

  • Google Apps Script-Projekte, die von Nutzern innerhalb der Organisation erstellt wurden und
  • Apps, die mit der Organisation in der Google Cloud Platform Console verknüpft sind. 
Nachricht zu abgelehnten Apps anpassen

Wenn ein Nutzer versucht, eine Web-App eines Drittanbieters zu installieren, sieht er je nach Dienst und App einen Zustimmungs- oder einen Ablehnungsbildschirm. Sie können den Ablehnungsbildschirm anpassen, indem Sie z. B. die Kontaktdaten des Supports hinzufügen.  

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Klicken Sie auf der Startseite der Admin-Konsole auf das Dreistrich-Menü"" und dann Sicherheit und dann API-Steuerelemente.
    Hinweis: Wenn Sie die Einstellung App-Zugriffssteuerung nicht haben, folgen Sie den Schritten in diesem Artikel. Die neue Benutzeroberfläche für die App-Zugriffssteuerung wird in den nächsten Wochen automatisch verfügbar gemacht.
  3. Gehen Sie zu Einstellungen.
  4. Geben Sie im Feld unter "Diese Nachricht anzeigen, wenn ein Nutzer versucht, eine App zu verwenden, die keinen Zugriff auf eingeschränkte Google-Dienste hat" einen eigenen Text ein.
  5. Klicken Sie auf Speichern.

Weitere Informationen

War das hilfreich?
Wie können wir die Seite verbessern?