קביעה לאילו אפליקציות תהיה גישה לנתונים של Google Workspace

כדי לנהל אפליקציות לנייד בארגון, צריך לעבור לכאן.

אם המשתמשים שלכם נכנסים לאפליקציות דרך חשבונות Google שלהם, אתם יכולים לקבוע איך האפליקציות האלה ניגשות לנתונים של הארגון. באמצעות הגדרות OAuth 2.0 במסוף Google Admin, אתם יכולים לנהל 3 סוגים של אפליקציות:

  • בבעלות Google – אפליקציות שפותחו על ידי Google
  • פנימיות – אפליקציות שהארגון שלכם מפתח
  • צד שלישי – אפליקציות שלא נוצרו על ידי Google או הארגון שלכם, ולא בבעלותם

חלק מהאפליקציות משתמשות בהיקפי הרשאות של OAuth 2.0 – מנגנון להגבלת הגישה לחשבון של משתמש. אפשר גם להתאים אישית את ההודעה שמוצגת למשתמשים כשהם מנסים להתקין אפליקציה לא מורשית.

הערה: ב-Google Workspace for Education, יכול להיות שהגבלות נוספות ימנעו ממשתמשים במוסדות חינוך יסודיים ועל-יסודיים לגשת לאפליקציות מסוימות.

הנושאים בדף

לפני שמתחילים: בודקים את האפליקציות בארגון

בקטע 'בקרת גישה לאפליקציות' אפשר לבדוק את האפליקציות הבאות:

  • אפליקציות מוגדרות – אפליקציות שהוגדרה להן הגדרת גישה (מהימנה, מוגבלת, הנתונים בחשבון Google ספציפיים או חסומה).
  • אפליקציות שניגשו – אפליקציות שניגשו לנתונים בחשבון Google.
  • אפליקציות בהמתנה לבדיקה – אפליקציות שהמשתמשים ביקשו גישה אליהן.

בדרך כלל, הפרטים על האפליקציות מופיעים 24 עד 48 שעות אחרי ההרשאה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול הגישה לאפליקציות כדי לראות את האפליקציות שהוגדרו. כדי לסנן את רשימת האפליקציות, לוחצים על הוספת מסנן ובוחרים אפשרות.

    ברשימת האפליקציות מוצגים השם, הסוג והמזהה של האפליקציה, וגם המידע הבא לגבי כל אפליקציה:

    • סטטוס מאומת – אפליקציות מאומתות נבדקו על ידי Google כדי לוודא שהן עומדות בדרישות של מדיניות מסוימת. יכול להיות שאפליקציות ידועות רבות לא מאומתות באופן הזה. מידע נוסף זמין במאמר מהי אפליקציה מאומתת של צד שלישי?

    • גישה – בעמודה הזו מוצגות היחידות הארגוניות שהוגדרה להן מדיניות גישה לאפליקציה. כדי לראות את רמות הגישה (מהימנה, מוגבלת, הנתונים בחשבון Google או חסומה), מצביעים על אפליקציה מסוימת ולוחצים על הצגת הפרטים.

      אם מחילים מדיניות גישה על יחידה ארגונית ואז מחילים מדיניות אחרת על כל הארגון, המדיניות הראשונה נשארת בתוקף לגבי היחידה הארגונית.

    • בעלות – בעמודה הזו מוצג אם האפליקציה היא של צד שלישי, פנימית או בבעלות Google.

    • תג מאומת על ידי Google – מוצג באפליקציות פנימיות ובאפליקציות של צד שלישי שעברו את תהליך האימות של אפליקציות OAuth.

  3. כדי לראות את האפליקציות שהייתה אליהן גישה, בקטע אפליקציות שהייתה אליהן גישה, לוחצים על הצגת הרשימה.

    בקטע אפליקציות שנכנסו אליהן, אפשר גם לבדוק:

    • משתמשים – מספר המשתמשים שניגשים לאפליקציה.
    • שירותים מבוקשים – ממשקי ה-API של שירותי Google (היקפי OAuth2) שכל אפליקציה משתמשת בהם (לדוגמה, Gmail, יומן Google או Google Drive). שירותים שנדרשים ולא שייכים ל-Google מופיעים כאחרים.

  4. ברשימה אפליקציות שהוגדרו או אפליקציות שהייתה אליהן גישה, לוחצים על אפליקציה כדי לגשת לפרטים הבאים:

    • קביעת הרשאות הגישה של האפליקציה לשירותי Google – כאן אפשר לראות אם האפליקציה מסומנת כ"מהימנה", "מוגבלת", "נתונים ספציפיים בחשבון Google" או "חסומה". אם משנים את הגדרת הגישה, לוחצים על שמירה.
    • הצגת מידע על האפליקציה – מציג את מזהה הלקוח המלא של OAuth2 של האפליקציה, את מספר המשתמשים, את מדיניות הפרטיות ואת פרטי התמיכה.

    • צפייה בממשקי ה-API של שירותי Google (היקפי הרשאות OAuth) שהאפליקציה מבקשת – רשימה של היקפי הרשאות OAuth שכל אפליקציה מבקשת. כדי לראות את כל היקפי ההרשאות של OAuth, מרחיבים את השורה בטבלה או לוחצים על הרחבת הכול.

      הערה: היקפי ההרשאות של OAuth לא מוצגים לאפליקציות שנמצאות בבעלות Google.

  5. (אופציונלי) כדי להוריד את פרטי האפליקציה לקובץ CSV, בחלק העליון של הרשימה אפליקציות שהוגדרו או אפליקציות שהייתה אליהן גישה, לוחצים על הורדת הרשימה.

    • כל הנתונים בטבלה יורדו (כולל נתונים שלא מוצגים).
    • עבור אפליקציות שהוגדרו, קובץ ה-CSV כולל את העמודות הנוספות הבאות: סטטוס האימות, מספר המשתמשים, היחידה הארגונית, השירותים המבוקשים וסוגי ההרשאות של ה-API שמשויכים לכל שירות. אם לא הייתה גישה לאפליקציה שהוגדרה, ספירת המשתמשים שלה היא אפס (0), ושתי העמודות האחרות ריקות.
    • עבור אפליקציות שהייתה אליהן גישה, קובץ ה-CSV כולל את העמודות הנוספות הבאות: סטטוס האימות, היחידה הארגונית והיקפי הגישה של ה-API שמשויכים לכל שירות.

אימות האפליקציות הוא התוכנית של Google שמטרתה לוודא שאפליקציות של צד שלישי שמקבלות גישה לנתונים רגישים של לקוחות עוברות בדיקות אבטחה ופרטיות. יכול להיות שהמשתמשים ייחסמו מהפעלת אפליקציות לא מאומתות שאתם לא סומכים עליהן (פרטים על הגדרת אפליקציות כאמינות מופיעים בהמשך הדף). מידע נוסף זמין במאמר בנושא מתן הרשאה לאפליקציות לא מאומתות של צד שלישי.

הגבלת הגישה לשירותי Google או ביטול ההגבלה

אתם יכולים להגביל את הגישה של אפליקציות פנימיות ואפליקציות של צד שלישי לרוב שירותי Google Workspace, כולל שירותי Google Cloud כמו Machine Learning, או להשאיר את הגישה לא מוגבלת. הנה הסבר על כל אפשרות:

  • מוגבלת – רק אפליקציות פנימיות ואפליקציות של צד שלישי שהוגדרו עם הגדרת גישה מסוג 'מהימנה' או 'נתונים ספציפיים בחשבון Google' יכולות לגשת לנתונים.
  • לא מוגבלת – רק אפליקציות פנימיות ואפליקציות של צד שלישי שהוגדרה להן גישה מסוג 'מהימנה', 'מוגבלת' או 'נתונים ספציפיים בחשבון Google' יכולות לגשת להיקפי ההרשאות שהוגדרו על ידי האדמין, בלי קשר לסוג הגישה לנתונים (מוגבלת או לא מוגבלת) שמוגדרת בהיקף ההרשאות.

לדוגמה, אם הגדרתם את הגישה ליומן כגישה מוגבלת, רק אפליקציות פנימיות ואפליקציות של צד שלישי שהוגדרו עם גישה מהימנה או גישה ספציפית לנתונים בחשבון Google יכולות לגשת לנתונים ביומן. אפליקציות פנימיות ואפליקציות של צד שלישי עם הגדרת גישה מוגבלת לא יכולות לגשת לנתונים ביומן.

הערה: ב-Gmail, ב-Google Drive וב-Google Chat, אפשר להגביל באופן ספציפי את הגישה להיקפי הרשאות בסיכון גבוה (לדוגמה, שליחת אימייל או מחיקת קבצים ב-Drive).

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול שירותי Google.
  3. ברשימת השירותים, מסמנים את התיבות שליד השירותים שרוצים לנהל. כדי לסמן את כל התיבות, מסמנים את התיבה שירות.
  4. (אופציונלי) כדי לסנן את הרשימה, לוחצים על הוספת מסנן ובוחרים מבין הקריטריונים הבאים:
    • שירותי Google – בוחרים מהרשימה של השירותים ולוחצים על החלה.
    • גישה לשירותי Google – בוחרים באפשרות ללא הגבלה או מוגבלת, ואז לוחצים על החלה.
    • אפליקציות מורשות – מציינים טווח למספר האפליקציות המורשות ואז לוחצים על אישור.
    • משתמשים – מציינים טווח למספר המשתמשים ולוחצים על החלה.
  5. למעלה, לוחצים על שינוי הגישה ובוחרים באפשרות ללא הגבלה או מוגבלת.
    אם משנים את הגישה ל'מוגבלת', כל האפליקציות שהותקנו קודם ולא הוגדרו כאפליקציות מהימנות מפסיקות לפעול, והאסימונים מבוטלים. אם משתמש ינסה להתקין אפליקציה (או להיכנס אליה) שלא הוספתם לרשימת האפליקציות המהימנות, ואפליקציה כזו ניגשת לשירות מוגבל, תוצג לו הודעה שהאפליקציה חסומה. הגבלת הגישה לשירות Drive מגבילה גם את הגישה ל-Google Forms API.
    הערה: רשימת האפליקציות שאליהן ניגשים מתעדכנת 48 שעות אחרי מתן אסימון או ביטול שלו.
  6. (אופציונלי) אם בחרתם באפשרות'מוגבלת', כדי לאפשר גישה להיקפי הרשאות של OAuth שלא מסווגים בסיכון גבוה (לדוגמה, היקפי הרשאות שמתירים לאפליקציות לגשת לקבצים ב-Drive שהמשתמש סימן), מסמנים את התיבה משתמשים יכולים להעניק לאפליקציות לא מהימנות גישה להיקפי הרשאות של OAuth שלא מסווגים בסיכון גבוה. (התיבה הזו מופיעה באפליקציות כמו Gmail ו-Drive, אבל לא בכל האפליקציות).
  7. לוחצים על שינוי ומאשרים, אם צריך.
  8. (אופציונלי) כדי לבדוק לאילו אפליקציות יש גישה לשירות:
    1. למעלה, בקטע אפליקציות עם גישה, לוחצים על הצגת הרשימה.
    2. לוחצים על הוספת מסנן ואז שירותים מבוקשים.
    3. בוחרים את השירותים שרוצים לבדוק ולוחצים על אישור.

הגבלת הגישה להיקפי OAuth בסיכון גבוה

ב-Gmail,‏ Google Drive,‏ Docs ו-Chat אפשר גם להגביל את הגישה רק לרשימה מוגדרת מראש של היקפי OAuth בסיכון גבוה.

היקפי הרשאות של OAuth בסיכון גבוה ב-Gmail

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

פרטים על היקפי הגישה של Gmail מופיעים במאמר בנושא בחירת היקפי גישה של Gmail API.

היקפי הרשאות של OAuth בסיכון גבוה ב-Drive וב-Docs

  • https://www.googleapis.com/auth/documents
  • https://www.googleapis.com/auth/documents.readonly
  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.activity
  • https://www.googleapis.com/auth/drive.activity.readonly
  • https://www.googleapis.com/auth/drive.admin
  • https://www.googleapis.com/auth/drive.admin.labels
  • https://www.googleapis.com/auth/drive.admin.labels.readonly
  • https://www.googleapis.com/auth/drive.admin.readonly
  • https://www.googleapis.com/auth/drive.admin.shareddrive
  • https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
  • https://www.googleapis.com/auth/drive.apps
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.categories.readonly
  • https://www.googleapis.com/auth/drive.labels.readonly
  • https://www.googleapis.com/auth/drive.meet.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.photos.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/drive.teams
  • https://www.googleapis.com/auth/forms.body
  • https://www.googleapis.com/auth/forms.body.readonly
  • https://www.googleapis.com/auth/forms.currentonly
  • https://www.googleapis.com/auth/forms.responses.readonly
  • https://www.googleapis.com/auth/presentations
  • https://www.googleapis.com/auth/presentations.readonly
  • https://www.googleapis.com/auth/script.addons.curation
  • https://www.googleapis.com/auth/script.projects
  • https://www.googleapis.com/auth/sites
  • https://www.googleapis.com/auth/sites.readonly
  • https://www.googleapis.com/auth/spreadsheets
  • https://www.googleapis.com/auth/spreadsheets.readonly

פרטים נוספים על היקפים זמינים במאמרים הבאים:

היקפי הרשאות של OAuth בסיכון גבוה ב-Chat

  • https://www.googleapis.com/auth/chat.delete
  • https://www.googleapis.com/auth/chat.import
  • https://www.googleapis.com/auth/chat.messages
  • https://www.googleapis.com/auth/chat.messages.readonly

פרטים על היקפי הגישה ב-Chat זמינים במאמר היקפי גישה ב-Chat API.

ניהול הגישה של אפליקציות לשירותי Google והוספת אפליקציות

אתם יכולים לנהל את הגישה לאפליקציות מסוימות על ידי חסימת האפליקציות האלה או סימון שלהן כ'אמינות', 'נתוני Google ספציפיים', 'מוגבלות' או 'חסומות':

  • מהימנה – לאפליקציה יש גישה לכל שירותי Google Workspace (היקפי הרשאות של OAuth), כולל שירותים עם גישה מוגבלת. אתם יכולים להוסיף לרשימת ההיתרים אפליקציות שהוגדרו באמצעות מזהי לקוח OAuth, כדי לשמר את הגישה שלהן לממשק תכנות יישומים (API) לשירותי Google Workspace, גם אם לשירותים האלה יש כללי מדיניות של בקרת גישה מבוססת-הקשר שחלים על גישת ה-API.
  • נתונים ספציפיים בחשבון Google – האפליקציה יכולה לבקש גישה רק להיקפי הרשאות שאתם מציינים כשמגדירים את האפליקציה.
  • מוגבלת – האפליקציה יכולה לגשת רק לשירותים שהגישה אליהם לא מוגבלת. אפשר לשנות את הגדרת הגישה לנתונים של אפליקציה מרשימת האפליקציות או מדף פרטי האפליקציה.
  • חסומה – האפליקציה לא יכולה לגשת לנתונים בחשבון Google.

אפשר להגדיר אפליקציות בבעלות Google שאינן אפליקציות Workspace כמהימנות, חסומות או מוחרגות. כברירת מחדל, רוב האפליקציות בבעלות Google הן מהימנות. עם זאת, כשבוחרים גם אפליקציות מצד שלישי וגם אפליקציות בבעלות Google, אפשרויות הגישה מוגבלות ל'מהימנה' ו'חסומה'.

כשמגדירים את רמת הגישה של אפליקציה או משנים אותה, רשימת היקפי הרשאות OAuth כוללת את כל ההיקפים שהאפליקציה ביקשה אי פעם. יכול להיות שהרשימה הזו לא תשקף את ההגדרה הנוכחית של הארגון. כדי לראות את ההיקפים המדויקים שהוגדרו לאפליקציה, מצביעים על האפליקציה ולוחצים על הצגת פרטים.

שינוי הגישה מרשימת האפליקציות

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול הגישה לאפליקציות.
  3. ברשימת האפליקציות שהוגדרו או ברשימת האפליקציות שהייתה להן גישה, מצביעים על אפליקציה ולוחצים על שינוי הגישה. אפשר גם לסמן את התיבות שליד כמה אפליקציות וללחוץ על שינוי הגישה בחלק העליון של הרשימה.
  4. בוחרים את היחידות הארגוניות שרוצים להגדיר להן גישה:
    • כדי להחיל את ההגדרה על כל המשתמשים, משאירים את הסימון של היחידה הארגונית ברמה העליונה.
    • כדי להחיל את ההגדרה על יחידות ארגוניות ספציפיות, לוחצים על בחירת יחידות ארגוניות ואז הכללת יחידות ארגוניות, ואז בוחרים יחידות ארגוניות ספציפיות.
  5. לוחצים על הבא.
  6. בוחרים אפשרות:
    • מהימנה – יכולה לגשת לכל שירותי Google (גם לשירותים עם גישה מוגבלת וגם לשירותים עם גישה לא מוגבלת). אפליקציות בבעלות Google, כמו דפדפן Chrome, מהימנות באופן אוטומטי ואי אפשר להגדיר אותן כאפליקציות מהימנות.
      (אופציונלי) כדי שהאפליקציות שנבחרו ישמרו על גישת ה-API לשירותי Google Workspace גם אם יש לשירותים האלה כללי מדיניות של בקרת גישה מבוססת-הקשר שחלים על גישת ה-API, בוחרים באפשרות פטור מחסימת גישת ה-API על ידי רמות בקרת גישה מבוססת-הקשר. האפשרות הזו זמינה רק לאפליקציות אינטרנט, Android או iOS שנוספו באמצעות מזהי לקוח OAuth. בחירה באפשרות הזו לא תפטור את האפליקציה באופן אוטומטי מחסימות של גישת ה-API. צריך גם להוסיף את האפליקציה לרשימת האפליקציות שפטורות מחסימה במהלך הקצאת רמות בקרת הגישה מבוססת-הקשר. הפטור הזה חל רק על היחידות הארגוניות שצוינו בשלב 5.
    • מוגבלת – יכולה לגשת רק לשירותי Google שהגישה אליהם חופשית.
    • נתונים ספציפיים בחשבון Google – האפליקציה יכולה לבקש גישה לנתונים רק בהיקפי הרשאות שאתם מציינים כשמגדירים את האפליקציה.
      הערה: כדי לאפשר למשתמשים להיכנס באמצעות חשבון Google שלהם, צריך לכלול את היקפי ההרשאות של 'כניסה באמצעות חשבון Google' שנדרשים לאפליקציה.
    • חסומה – לא יכולה לגשת לשום שירות של Google.
      אם מוסיפים אפליקציה למכשירים לרשימת ההיתרים וגם חוסמים את אותה אפליקציה באמצעות אמצעי בקרה על API, האפליקציה נחסמת. החסימה של האפליקציה באמצעות אמצעי בקרה על API מבטלת את המיקום שלה ברשימת ההיתרים.

    טיפ: כדי לבטל את ההגדרה של אפליקציה, משתמשים באפשרות העלאה של קובץ CSV שמתוארת במאמר הוספה והגדרה של אפליקציות צד שלישי בכמות גדולה.

  7. לוחצים על הבא.
  8. בודקים את ההיקף ואת הגדרת הגישה ולוחצים על שינוי הגישה.

שינוי הגישה מדף פרטי האפליקציה

לצפייה בסרטון

שינוי הגישה לאפליקציות

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול הגישה לאפליקציות.
  3. ברשימת האפליקציות שהוגדרו או ברשימת האפליקציות שהייתה אליהן גישה, לוחצים על האפליקציה שרוצים לשנות את הגישה אליה.
  4. לוחצים על הקטע גישה לנתונים בחשבון Google.
  5. לוחצים על היחידה הארגונית שרוצים להגדיר עבורה את הגישה לנתונים באפליקציה. כברירת מחדל, נבחרת היחידה הארגונית ברמה העליונה והשינוי חל על כל הארגון.
  6. בוחרים רמת גישה לנתונים.
    1. (אופציונלי) כדי להחיל הגדרות שונות על יחידות ארגוניות שונות, בוחרים באפשרות הרצויה. לדוגמה:
      • כדי לחסום את הגישה של אפליקציה לכל הנתונים של המשתמשים, בוחרים את היחידה הארגונית ברמה העליונה ואז בוחרים באפשרות חסומה.
      • כדי לחסום את הגישה של האפליקציה לנתונים של חלק מהמשתמשים בלבד, מגדירים את הגישה למהימנה ביחידה הארגונית ברמה העליונה ולחסומה ביחידה בת ארגונית שכוללת את המשתמשים האלה.
  7. לוחצים על שמירה.

הגדרת תצורה לאפליקציה חדשה

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול הגישה לאפליקציות.
  3. בקטע Configured apps (אפליקציות שהוגדרו), לוחצים על Configure new app (הגדרת אפליקציה חדשה).
  4. מזינים את השם של האפליקציה או את מזהה הלקוח שלה ולוחצים על חיפוש.
  5. לוחצים על האפליקציה ברשימת תוצאות החיפוש.
  6. בקטע היקף, בוחרים לאילו קבוצות או יחידות ארגוניות רוצים להגדיר גישה:
    1. כברירת מחדל, נבחרת היחידה הארגונית ברמה העליונה. משאירים את התיבה הזו מסומנת כדי להגדיר גישה לכל המשתמשים בארגון.
    2. כדי להגדיר גישה ליחידות ארגוניות ספציפיות, לוחצים על בחירת יחידות ארגוניות ואז על הכללת יחידות ארגוניות כדי לראות את היחידות הארגוניות. מסמנים את התיבה של כל יחידה ארגונית שרוצים להעניק לה גישה, ואז לוחצים על בחירה.
  7. לוחצים על המשך.
  8. בקטע גישה לנתונים בחשבון Google, בוחרים באחת מהאפשרויות:
    • מהימנה – יכולה לגשת לכל שירותי Google (גם עם גישה מוגבלת וגם עם גישה לא מוגבלת).
      (אופציונלי) כדי שהאפליקציות שנבחרו ישמרו על גישת ה-API לשירותי Workspace גם אם לשירותים האלה יש כללי מדיניות של בקרת גישה מבוססת-הקשר שחלים על גישת ה-API, בוחרים באפשרות פטור מחסימת גישת ה-API על ידי רמות בקרת גישה מבוססת-הקשר. האפשרות הזו זמינה רק לאפליקציות אינטרנט, Android או iOS שנוספו באמצעות מזהי לקוח OAuth. בחירה באפשרות הזו לא פוטרת באופן אוטומטי את האפליקציה מחסימות של גישת ה-API. צריך גם לפטור את האפליקציה במהלך הקצאות של רמות בקרת גישה מבוססת-הקשר. הפטור הזה חל רק על היחידות הארגוניות שצוינו בהיקף.
    • מוגבלת – יכולה לגשת רק לשירותי Google שהגישה אליהם חופשית.
    • נתונים ספציפיים בחשבון Google – האפליקציה יכולה לבקש גישה לנתונים רק בהיקפי הרשאות שאתם מציינים כשמגדירים את האפליקציה.
      הערה: כדי לאפשר למשתמשים להיכנס באמצעות חשבון Google שלהם, צריך לכלול את היקפי ההרשאות של כניסה באמצעות חשבון Google שנדרשים לאפליקציה.
    • חסומה – אין גישה לשום שירות של Google.
      אם מוסיפים אפליקציה למכשירים לרשימת ההיתרים וגם חוסמים את אותה אפליקציה באמצעות אמצעי בקרה על API, האפליקציה נחסמת. חסימת האפליקציה באמצעות אמצעי בקרה על API מבטלת את המיקום שלה ברשימת ההיתרים.
  9. לוחצים על המשך.
  10. בודקים את ההגדרות של האפליקציה החדשה ולוחצים על סיום.

המשתמשים מתבקשים להביע הסכמה להוספת אפליקציות אינטרנט. אפשר לדלג על מסך ההסכמה ב-Google Workspace Marketplace (רק לאפליקציות שאושרו) באמצעות התקנה בדומיין.

בחירת הגדרות לאפליקציות שלא הוגדרו

אפליקציות שלא הגדרתם כ'מהימנות', 'מוגבלות', 'גישה לנתונים בחשבון Google ספציפיים' או 'חסומות' (כפי שמתואר במאמר ניהול גישה של אפליקציות לשירותי Google והוספת אפליקציות) נחשבות לאפליקציות שלא הוגדרו. אתם יכולים לקבוע מה יקרה כשמשתמשים ינסו להיכנס לאפליקציות לא מוגדרות באמצעות חשבון Google שלהם.

לצפייה בסרטון

איפה נמצאות ההגדרות

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על הגדרות כדי להרחיב את קבוצת ההגדרות.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  4. בוחרים את ההגדרות. מידע נוסף זמין במאמר בנושא הגדרות של אפליקציות שלא הוגדרו.
  5. לוחצים על שמירה.
השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

הגדרות של אפליקציות שלא הוגדרו

הודעה למשתמש בהתאמה אישית

זוהי הודעה מותאמת אישית שתוצג למשתמשים שלא יכולים לגשת לאפליקציה חסומה. כדי ליצור הודעה מותאמת אישית, בוחרים באפשרות מופעל ומזינים את ההודעה.

אם ההודעה בהתאמה אישית מושבתת או אם אי אפשר להציג אותה, המשתמשים יראו במקומה הודעת ברירת מחדל.

אפליקציות צד שלישי שלא הוגדרו

ההגדרה הזו קובעת מה יקרה כשמשתמשים ינסו להיכנס לאפליקציות לא מוגדרות באמצעות חשבון Google שלהם. המשתמשים עדיין יכולים לגשת לאפליקציות שהוגדרו עם גישה מהימנה, מוגבלת או ספציפית לנתוני Google, בלי קשר להגדרה הזו.

בוחרים אפשרות:

  • המשתמשים יכולים לגשת לכל אפליקציות הצד השלישי (ברירת מחדל) – המשתמשים יכולים להיכנס באמצעות חשבון Google לכל אפליקציית צד שלישי. אפליקציות שהמשתמשים ניגשים אליהן יכולות לבקש גישה לנתונים לא מוגבלים בחשבון Google של המשתמש.
  • המשתמשים יכולים לגשת לאפליקציות של צד שלישי שמבקשות רק מידע בסיסי לצורך כניסה באמצעות חשבון Google – המשתמשים יכולים להיכנס באמצעות חשבון Google לאפליקציות של צד שלישי שמבקשות רק מידע בסיסי מהפרופיל: השם, כתובת האימייל ותמונת הפרופיל בחשבון Google של המשתמש.
  • המשתמשים לא יכולים להיכנס לאפליקציות צד שלישי – המשתמשים לא יכולים להיכנס באמצעות חשבון Google לאפליקציות ולאתרים של צד שלישי עד שתגדירו לאפליקציות ולאתרים האלה הגדרת גישה. פרטים נוספים זמינים במאמר ניהול הגישה של אפליקציות צד שלישי לשירותי Google והוספת אפליקציות.

מהדורות של Google Workspace for Education: אתם יכולים לבחור הגדרות שונות למשתמשים מעל גיל 18 ולמשתמשים מתחת לגיל 18. אם משתמשים בהגדרה הזו כדי לחסום אפליקציות צד שלישי, אפשר לאפשר למשתמשים מתחת לגיל 18 לבקש גישה לאפליקציות חסומות באמצעות ההגדרה משתמשים מתחת לגיל 18 יכולים לבקש גישה לאפליקציות צד שלישי שלא הוגדרו.

אפליקציות פנימיות

כך אפליקציות פנימיות שנוצרו על ידי הארגון יכולות לגשת לממשקי API של Google Workspace מוגבלים.

כדי לאפשר גישה ל-API לכל האפליקציות הפנימיות, מסמנים את התיבה אפשר לתת אמון באפליקציות פנימיות.

בקשות ממשתמשים לגשת לאפליקציות שלא הוגדרו

ההגדרות האלה מאפשרות למשתמשים לבקש גישה לאפליקציות צד שלישי שלא הוגדרו. אדמינים יכולים לבדוק את הבקשות האלה ולאשר או לדחות אותן. האפשרויות הזמינות תלויות במהדורת Workspace שלכם.

מהדורות Google Workspace for Education

הגדרות למשתמשים מעל גיל 18 – ההגדרות האלה מאפשרות לאנשי חינוך ולמשתמשים מעל גיל 1מונה לבקש גישה לאפליקציות בשם עצמם או בשם אחרים (בקשות לשרת proxy). לדוגמה, מורה יכול לשלוח בקשות לשרת proxy בשם תלמידים. אתם יכולים לבדוק את הבקשות האלה ולאשר או לדחות את הגישה.

נשלח לכם הודעה כשמשתמשים יבקשו גישה. אתם יכולים להגדיר גישה למשתמשים שביקשו גישה לעצמם. בבקשות פרוקסי, אתם יכולים להגדיר הרשאות גישה למשתמשים שבשמם הוגשה הבקשה.

כדי לאפשר למשתמשים לבקש לעצמם גישה, מסמנים את התיבה המשתמשים יכולים לבקש לעצמם גישה לאפליקציות.

כדי לאפשר למשתמשים לשלוח בקשות לשרת proxy, מסמנים את התיבה המשתמשים יכולים לשלוח בקשות בשם משתמשים אחרים (בקשות לשרת proxy).

הערה: אפשר לשתף את הקישור הזה עם אנשי חינוך כדי לאפשר להם לשלוח בקשות לגישה בשמם של משתמשים אחרים.

הגדרות למשתמשים מתחת לגיל 18 – ההגדרה הזו מאפשרת למשתמשים מתחת לגיל 18 לבקש לעצמם גישה לאפליקציות.

כדי לאפשר למשתמשים לבקש לעצמם גישה לאפליקציות, מסמנים את התיבה המשתמשים יכולים לבקש לעצמם גישה לאפליקציות.

כדי לגשת להגדרות האלה, עוברים אל איך מאתרים את ההגדרות.

כל שאר המהדורות של Google Workspace

אם אתם או אדמין אחר מגבילים את הגישה לאפליקציות שלא הוגדרו, המשתמשים יכולים לבקש גישה לאפליקציות האלה. כדי לאפשר למשתמשים לבקש גישה לאפליקציות שלא הוגדרו, מסמנים את התיבה המשתמשים יכולים לבקש גישה לאפליקציות צד שלישי שלא הוגדרו.

כשמשתמש שולח בקשת גישה, נוסף רשומה חדשה לרשימה אפליקציות בהמתנה לבדיקה בדף בקרה על גישת אפליקציות לנתונים במסוף Admin. אחרי שבודקים את הרשימה, אפשר לאשר את הבקשה או לדחות אותה. חשוב לדעת שהבחירה שלכם חלה על כל המשתמשים ביחידה ארגונית. לפרטים נוספים, אפשר לעבור אל בדיקה וניהול של בקשות גישה לאפליקציות של צד שלישי.

הערה: תהליך הבקשה הזה מופעל רק על ידי אפליקציות שלא הוקצתה להן הגדרת גישה על ידי אדמין. אם אפליקציה מוגדרת מנסה לגשת לשירות Google שאין לה הרשאה לגשת אליו, הגישה של המשתמש נחסמת והוא לא יכול לבקש גישה באמצעות התהליך הזה.

מגבלות ידועות

  • ברשימות של בקרת גישה לאפליקציות, אפליקציות ל-iOS שהוספו באמצעות מזהי חבילות של Apple App Store מציגות כרגע את הערך לא ידוע בעמודה בעלות.
  • מידע על היקף הרשאות OAuth לא מוצג לאפליקציות בבעלות Google. זה צפוי כי אפליקציות בבעלות Google יכולות לבקש היקפי הרשאות פנימיים ל-Google.


Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.