קביעה לאילו אפליקציות תהיה גישה לנתונים של Google Workspace

כדי לנהל אפליקציות לנייד בארגון, צריך לעבור לכאן.

אם המשתמשים שלכם נכנסים לאפליקציות באמצעות חשבונות Google שלהם, אתם יכולים לקבוע איך האפליקציות האלה ניגשות לנתונים של הארגון. באמצעות הגדרות OAuth 2.0 במסוף Google Admin, אתם יכולים לנהל 3 סוגים של אפליקציות:

  • בבעלות Google – אפליקציות שפותחו על ידי Google
  • פנימיות – אפליקציות שהארגון שלכם מפתח
  • צד שלישי – אפליקציות שלא נוצרו על ידי Google או הארגון שלכם, ולא בבעלותם

חלק מהאפליקציות משתמשות בהיקפי הרשאות של OAuth 2.0 – מנגנון להגבלת הגישה לחשבון של משתמש. אפשר גם להתאים אישית את ההודעה שמוצגת למשתמשים כשהם מנסים להתקין אפליקציה לא מורשית.

הערה: ב-Google Workspace for Education, יכול להיות שהגבלות נוספות ימנעו ממשתמשים במוסדות חינוך יסודיים ועל-יסודיים לגשת לאפליקציות מסוימות.

הנושאים בדף

לפני שמתחילים: בודקים את האפליקציות בארגון

בקטע 'בקרת גישה לאפליקציות', אפשר לבדוק את האפליקציות הבאות:

  • אפליקציות שהוגדרו – אפליקציות שהוגדרה עבורן הגדרת גישה (מהימנה, מוגבלת, נתונים ספציפיים של Google או חסומה).
  • אפליקציות שנכנסו אליהן – אפליקציות שניגשו לנתונים בחשבון Google.
  • אפליקציות בהמתנה לבדיקה – אפליקציות שהמשתמשים ביקשו גישה אליהן.

בדרך כלל, הפרטים על האפליקציות מופיעים 24 עד 48 שעות אחרי ההרשאה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול גישה לאפליקציות כדי לראות את האפליקציות שהוגדרו. כדי לסנן את רשימת האפליקציות, לוחצים על הוספת מסנן ובוחרים אפשרות.

    ברשימת האפליקציות מוצגים השם, הסוג והמזהה של האפליקציה, וגם המידע הבא לגבי כל אפליקציה:

    • סטטוס מאומת – אפליקציות מאומתות נבדקו על ידי Google כדי לוודא שהן עומדות בדרישות של כללי מדיניות מסוימים. יכול להיות שאפליקציות ידועות רבות לא מאומתות באופן הזה. מידע נוסף זמין במאמר מהי אפליקציה מאומתת של צד שלישי?

    • גישה – בעמודה הזו מוצגות היחידות הארגוניות שהוגדרה להן מדיניות גישה לאפליקציה. כדי לראות את רמות הגישה (מהימנה, מוגבלת, נתונים ספציפיים של Google או חסומה), מציבים את העכבר מעל אפליקציה מסוימת ולוחצים על הצגת הפרטים.

      אם מחילים מדיניות גישה על יחידה ארגונית ואז מחילים מדיניות אחרת על כל הארגון, המדיניות הראשונה נשארת בתוקף עבור היחידה הארגונית.

    • בעלות – בעמודה הזו מוצג אם האפליקציה היא של צד שלישי, פנימית או בבעלות Google.

    • תג מאומת על ידי Google – מוצג באפליקציות פנימיות ובאפליקציות של צד שלישי שעברו את תהליך האימות של אפליקציות OAuth.

  3. כדי לראות את האפליקציות שהייתה אליהן גישה, בקטע אפליקציות שהייתה אליהן גישה, לוחצים על הצגת הרשימה.

    בקטע אפליקציות שנכנסו אליהן, אפשר גם לבדוק:

    • משתמשים – מספר המשתמשים שניגשים לאפליקציה.
    • שירותים מבוקשים – ממשקי ה-API של שירותי Google (היקפי OAuth2) שכל אפליקציה משתמשת בהם (לדוגמה, Gmail, יומן Google או Google Drive). שירותים שנדרשים ולא שייכים ל-Google מופיעים כאחרים.

  4. ברשימה אפליקציות שהוגדרו או אפליקציות שהייתה אליהן גישה, לוחצים על אפליקציה כדי לגשת לפרטים הבאים:

    • קביעת הרשאות הגישה של האפליקציה לשירותי Google – כאן אפשר לראות אם האפליקציה מסומנת כ"מהימנה", "מוגבלת", "נתונים ספציפיים בחשבון Google" או "חסומה". אם משנים את הגדרת הגישה, לוחצים על שמירה.
    • הצגת מידע על האפליקציה – מציג את מזהה הלקוח המלא של OAuth2 של האפליקציה, את מספר המשתמשים, את מדיניות הפרטיות ואת פרטי התמיכה.

    • צפייה בממשקי ה-API של שירותי Google (היקפי הרשאות OAuth) שהאפליקציה מבקשת – מוצגת רשימה של היקפי הרשאות OAuth שכל אפליקציה מבקשת. כדי לראות את כל היקפי ההרשאות של OAuth, מרחיבים את השורה בטבלה או לוחצים על הרחבת כל ההיקפים.

      הערה: היקפי הרשאות של OAuth לא מוצגים באפליקציות שנמצאות בבעלות Google.

  5. (אופציונלי) כדי להוריד את פרטי האפליקציה לקובץ CSV, בחלק העליון של הרשימה אפליקציות שהוגדרו או אפליקציות שהייתה אליהן גישה, לוחצים על הורדת הרשימה.

    • כל הנתונים בטבלה יורדו (כולל נתונים שלא מוצגים).
    • עבור אפליקציות שהוגדרו, קובץ ה-CSV כולל את העמודות הנוספות הבאות: סטטוס האימות, מספר המשתמשים, היחידה הארגונית, השירותים המבוקשים וסוגי ההרשאות של ה-API שמשויכים לכל שירות. אם לא הייתה גישה לאפליקציה שהוגדרה, ספירת המשתמשים שלה היא אפס (0), ושתי העמודות האחרות ריקות.
    • עבור אפליקציות שהייתה אליהן גישה, קובץ ה-CSV כולל את העמודות הנוספות הבאות: סטטוס האימות, היחידה הארגונית והיקפי הגישה של ה-API שמשויכים לכל שירות.

אימות האפליקציות הוא תוכנית של Google שמטרתה לוודא שאפליקציות של צד שלישי שמקבלות גישה לנתונים רגישים של לקוחות עוברות בדיקות אבטחה ופרטיות. יכול להיות שהמשתמשים ייחסמו מהפעלת אפליקציות לא מאומתות שאתם לא סומכים עליהן (פרטים על הגדרת אפליקציות כאמינות מופיעים בהמשך הדף). מידע נוסף זמין במאמר בנושא מתן הרשאה לאפליקציות לא מאומתות של צד שלישי.

הגבלת הגישה לשירותי Google או ביטול ההגבלה

אתם יכולים להגביל או לא להגביל את הגישה של אפליקציות פנימיות ואפליקציות של צד שלישי לרוב השירותים של Google Workspace, כולל שירותי Google Cloud כמו Machine Learning. הסבר על כל אפשרות:

  • מוגבלת – רק אפליקציות פנימיות ואפליקציות של צד שלישי שהוגדרה להן גישה מהימנה או גישה לנתונים ספציפיים של Google יכולות לגשת לנתונים.
  • לא מוגבלת – רק אפליקציות פנימיות ואפליקציות של צד שלישי שהוגדרה להן גישה מהימנה, מוגבלת או גישה לנתונים ספציפיים של Google יכולות לגשת להיקפי ההרשאות שהוגדרו על ידי האדמין, בלי קשר לשאלה אם היקף ההרשאות כולל גישה מוגבלת או לא מוגבלת לנתונים.

לדוגמה, אם הגדרתם את הגישה ליומן כגישה מוגבלת, רק אפליקציות פנימיות ואפליקציות של צד שלישי שהוגדרו עם גישה מהימנה או גישה ספציפית לנתוני Google יכולות לגשת לנתונים ביומן. אפליקציות פנימיות ואפליקציות של צד שלישי שהוגדרה להן גישה מוגבלת לא יכולות לגשת לנתונים ביומן.

הערה: ב-Gmail, ב-Google Drive וב-Google Chat, אפשר להגביל באופן ספציפי את הגישה להיקפי הרשאות בסיכון גבוה (לדוגמה, שליחת אימייל או מחיקת קבצים ב-Drive).

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול שירותי Google.
  3. ברשימת השירותים, מסמנים את התיבות לצד השירותים שרוצים לנהל. כדי לסמן את כל התיבות, מסמנים את התיבה שירות.
  4. (אופציונלי) כדי לסנן את הרשימה, לוחצים על הוספת מסנן ובוחרים מבין הקריטריונים הבאים:
    • שירותי Google – בוחרים מהרשימה של השירותים ולוחצים על החלה.
    • גישה לשירותי Google – בוחרים באפשרות ללא הגבלה או מוגבלת, ואז לוחצים על החלה.
    • אפליקציות מורשות – מציינים טווח למספר האפליקציות המורשות ואז לוחצים על אישור.
    • משתמשים – מציינים טווח למספר המשתמשים ולוחצים על החלה.
  5. למעלה, לוחצים על שינוי הגישה ובוחרים באפשרות ללא הגבלה או מוגבלת.
    אם משנים את הגישה ל'מוגבלת', אפליקציות שהותקנו בעבר ולא הוגדרו כאפליקציות מהימנות מפסיקות לפעול, והאסימונים מבוטלים. אם משתמש ינסה להתקין אפליקציה (או להיכנס אליה) שלא הוספתם לרשימת האפליקציות המהימנות, ואפליקציה זו ניגשת לשירות מוגבל, תוצג לו הודעה שהאפליקציה חסומה. הגבלת הגישה לשירות Drive מגבילה גם את הגישה ל-Google Forms API.
    הערה: רשימת האפליקציות שאליהן ניתנה גישה מתעדכנת 48 שעות אחרי מתן או ביטול של אסימון.
  6. (אופציונלי) אם בחרתם באפשרות'מוגבלת', כדי לאפשר גישה להיקפי הרשאות של OAuth שלא מסווגים בסיכון גבוה (לדוגמה, היקפי הרשאות שמתירים לאפליקציות לגשת לקבצים ב-Drive שהמשתמש סימן), מסמנים את התיבה משתמשים יכולים להעניק לאפליקציות לא מהימנות גישה להיקפי הרשאות של OAuth שאינם מסווגים בסיכון גבוה. (התיבה הזו מופיעה באפליקציות כמו Gmail ו-Drive, אבל לא בכל האפליקציות).
  7. לוחצים על שינוי ומאשרים, אם צריך.
  8. (אופציונלי) כדי לבדוק לאילו אפליקציות יש גישה לשירות:
    1. למעלה, בקטע אפליקציות עם גישה, לוחצים על הצגת הרשימה.
    2. לוחצים על הוספת מסנן ואז שירותים נדרשים.
    3. בוחרים את השירותים שרוצים לבדוק ולוחצים על אישור.

הגבלת הגישה להיקפי OAuth בסיכון גבוה

ב-Gmail, ב-Google Drive, ב-Docs וב-Chat אפשר גם להגביל את הגישה רק לרשימה מוגדרת מראש של היקפי OAuth בסיכון גבוה.

היקפי הרשאות של OAuth בסיכון גבוה ב-Gmail

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

פרטים על היקפי הגישה של Gmail מופיעים במאמר בחירת היקפי גישה של Gmail API.

היקפי הרשאות של OAuth בסיכון גבוה ב-Drive וב-Docs

  • https://www.googleapis.com/auth/documents
  • https://www.googleapis.com/auth/documents.readonly
  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.activity
  • https://www.googleapis.com/auth/drive.activity.readonly
  • https://www.googleapis.com/auth/drive.admin
  • https://www.googleapis.com/auth/drive.admin.labels
  • https://www.googleapis.com/auth/drive.admin.labels.readonly
  • https://www.googleapis.com/auth/drive.admin.readonly
  • https://www.googleapis.com/auth/drive.admin.shareddrive
  • https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
  • https://www.googleapis.com/auth/drive.apps
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.categories.readonly
  • https://www.googleapis.com/auth/drive.labels.readonly
  • https://www.googleapis.com/auth/drive.meet.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.photos.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/drive.teams
  • https://www.googleapis.com/auth/forms.body
  • https://www.googleapis.com/auth/forms.body.readonly
  • https://www.googleapis.com/auth/forms.currentonly
  • https://www.googleapis.com/auth/forms.responses.readonly
  • https://www.googleapis.com/auth/presentations
  • https://www.googleapis.com/auth/presentations.readonly
  • https://www.googleapis.com/auth/script.addons.curation
  • https://www.googleapis.com/auth/script.projects
  • https://www.googleapis.com/auth/sites
  • https://www.googleapis.com/auth/sites.readonly
  • https://www.googleapis.com/auth/spreadsheets
  • https://www.googleapis.com/auth/spreadsheets.readonly

פרטים על היקפים זמינים במאמרים הבאים:

היקפי הרשאות של OAuth בסיכון גבוה ב-Chat

  • https://www.googleapis.com/auth/chat.delete
  • https://www.googleapis.com/auth/chat.import
  • https://www.googleapis.com/auth/chat.messages
  • https://www.googleapis.com/auth/chat.messages.readonly

פרטים על היקפי הגישה ב-Chat זמינים במאמר היקפי גישה ב-Chat API.

ניהול הגישה של אפליקציות לשירותי Google והוספת אפליקציות

אתם יכולים לנהל את הגישה לאפליקציות מסוימות על ידי חסימתן או סימון שלהן כ'אמינות', 'נתונים ספציפיים של Google', 'מוגבלות' או 'חסומות':

  • אמינה – לאפליקציה יש גישה לכל שירותי Google Workspace (היקפי הרשאות של OAuth), כולל שירותים מוגבלים. אתם יכולים להוסיף לרשימת ההיתרים אפליקציות שהוגדרו באמצעות מזהי לקוח של OAuth, כדי לשמר את הגישה שלהן לממשקי תכנות יישומים (API) לשירותי Google Workspace, גם אם לשירותים האלה יש כללי מדיניות של בקרת גישה מבוססת-הקשר שחלים על גישת ה-API.
  • נתונים ספציפיים בחשבון Google – האפליקציה יכולה לבקש גישה לנתונים רק בהיקפי הרשאות שאתם מציינים כשמגדירים את האפליקציה.
  • מוגבלת – האפליקציה יכולה לגשת רק לשירותים שהגישה אליהם לא מוגבלת. אפשר לשנות את הגדרת הגישה לנתונים של אפליקציה מרשימת האפליקציות או מדף פרטי האפליקציה.
  • חסומה – האפליקציה לא יכולה לגשת לנתונים בחשבון Google.

אפשר להגדיר אפליקציות בבעלות Google שאינן אפליקציות Workspace כמהימנות, חסומות או מוחרגות. כברירת מחדל, רוב האפליקציות בבעלות Google הן מהימנות. עם זאת, כשבוחרים אפליקציות מצד שלישי ואפליקציות בבעלות Google, אפשרויות הגישה מוגבלות ל'מהימנה' ו'חסומה'.

כשמגדירים או משנים את רמת הגישה של אפליקציה, רשימת היקפי ההרשאות של OAuth כוללת את כל ההיקפים שהאפליקציה ביקשה אי פעם. יכול להיות שהרשימה הזו לא משקפת את ההגדרות הנוכחיות של הארגון. כדי לראות את ההיקפים המדויקים שהוגדרו לאפליקציה, מציבים את העכבר מעל האפליקציה ולוחצים על הצגת פרטים.

שינוי הגישה מרשימת האפליקציות

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול הגישה לאפליקציות.
  3. ברשימת האפליקציות שהוגדרו או ברשימת האפליקציות שהייתה להן גישה, מצביעים על אפליקציה ולוחצים על שינוי הגישה. אפשר גם לסמן את התיבות שליד כמה אפליקציות וללחוץ על שינוי הגישה בחלק העליון של הרשימה.
  4. בוחרים את היחידות הארגוניות שרוצים להגדיר להן גישה:
    • כדי להחיל את ההגדרה על כל המשתמשים, משאירים את הסימון של היחידה הארגונית ברמה העליונה.
    • כדי להחיל את ההגדרה על יחידות ארגוניות ספציפיות, לוחצים על בחירת יחידות ארגוניות ואז הכללת יחידות ארגוניות, ואז בוחרים יחידות ארגוניות ספציפיות.
  5. לוחצים על הבא.
  6. בוחרים אפשרות:
    • מהימנה – יכולה לגשת לכל שירותי Google (גם לשירותים עם גישה מוגבלת וגם לשירותים עם גישה לא מוגבלת). אפליקציות בבעלות Google, כמו דפדפן Chrome, נחשבות אוטומטית למהימנות ואי אפשר להגדיר אותן כאפליקציות מהימנות.
      (אופציונלי) כדי שהאפליקציות שנבחרו יוכלו לשמור על גישת ה-API לשירותי Google Workspace גם אם יש לשירותים האלה כללי מדיניות של בקרת גישה מבוססת-הקשר שחלים על גישת ה-API, בוחרים באפשרות מתן פטור כך שהגישה ל-API לא תיחסם על ידי רמות של בקרת גישה מבוססת-הקשר. האפשרות הזו זמינה רק לאפליקציות לאינטרנט, ל-Android או ל-iOS שנוספו באמצעות מזהים של לקוחות OAuth. בחירה באפשרות הזו לא תפטור את האפליקציה באופן אוטומטי מחסימות של גישת API. בנוסף, צריך לפטור את האפליקציה במהלך הקצאות של רמות גישה מבוססות-הקשר. הפטור הזה חל רק על היחידות הארגוניות שמצוינות בשלב 5.
    • מוגבלת – יכולה לגשת רק לשירותי Google שהגישה אליהם חופשית.
    • נתונים ספציפיים בחשבון Google – האפליקציה יכולה לבקש גישה לנתונים רק להיקפי הרשאות שאתם מציינים כשמגדירים את האפליקציה.
      הערה: כדי לאפשר למשתמשים להיכנס באמצעות חשבון Google שלהם, צריך לכלול את היקפי ההרשאות של 'כניסה באמצעות חשבון Google' שנדרשים לאפליקציה.
    • חסומה – אין גישה לאף אחד משירותי Google.
      אם מוסיפים אפליקציה למכשירים לרשימת ההיתרים וגם חוסמים את אותה אפליקציה באמצעות אמצעי בקרה על API, האפליקציה נחסמת. החסימה של האפליקציה באמצעות אמצעי בקרה לממשקי API מבטלת את המיקום ברשימת ההיתרים.

    טיפ: כדי לבטל את ההגדרה של אפליקציה, משתמשים באפשרות העלאה של קובץ CSV שמתוארת במאמר הוספה והגדרה של אפליקציות צד שלישי בכמות גדולה.

  7. לוחצים על הבא.
  8. בודקים את ההיקף ואת הגדרת הגישה ולוחצים על שינוי הגישה.

שינוי הגישה מדף פרטי האפליקציה

לצפייה בסרטון

שינוי הגישה לאפליקציות

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול הגישה לאפליקציות.
  3. ברשימת האפליקציות שהוגדרו או ברשימת האפליקציות שהייתה אליהן גישה, לוחצים על האפליקציה שרוצים לשנות את הגישה אליה.
  4. לוחצים על הקטע גישה לנתונים בחשבון Google.
  5. לוחצים על הקבוצה או היחידה הארגונית שרוצים להגדיר את הגישה לנתונים שלהן באפליקציה. כברירת מחדל, נבחרת היחידה הארגונית ברמה העליונה והשינוי מופעל בכל הארגון.
  6. בוחרים רמת גישה לנתונים.
    1. (אופציונלי) כדי להחיל הגדרות שונות על קבוצות או יחידות ארגוניות שונות, בוחרים באפשרות הרצויה. לדוגמה:
      • כדי לחסום את הגישה של אפליקציה לנתונים של כל המשתמשים, בוחרים את היחידה הארגונית ברמה העליונה ואז בוחרים באפשרות חסומה.
      • כדי לחסום את הגישה של אפליקציה לנתונים של חלק מהמשתמשים בלבד, מגדירים את הגישה למהימנה ביחידה הארגונית ברמה העליונה ולחסומה ביחידת בת ארגונית שכוללת את המשתמשים האלה.
  7. לוחצים על שמירה.

הגדרת תצורה לאפליקציה חדשה

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול הגישה לאפליקציות.
  3. בקטע אפליקציות שהוגדרו, לוחצים על הגדרת אפליקציה חדשה.
  4. מזינים את השם של האפליקציה או את מזהה הלקוח שלה ולוחצים על חיפוש.
  5. לוחצים על האפליקציה ברשימת תוצאות החיפוש.
  6. בקטע היקף, בוחרים לאילו קבוצות או יחידות ארגוניות רוצים להגדיר גישה:
    1. כברירת מחדל, נבחרת היחידה הארגונית ברמה העליונה. משאירים את התיבה הזו מסומנת כדי להגדיר גישה לכל המשתמשים בארגון.
    2. כדי להגדיר גישה ליחידות ארגוניות ספציפיות, לוחצים על בחירת יחידות ארגוניות ואז על הכללת יחידות ארגוניות כדי לראות את היחידות הארגוניות. מסמנים את התיבה של כל יחידה ארגונית שרוצים להעניק לה גישה, ואז לוחצים על בחירה.
  7. לוחצים על המשך.
  8. בוחרים אפשרות בשדה גישה לנתונים בחשבון Google:
    • מהימנה – יכולה לגשת לכל שירותי Google (גם לשירותים עם גישה מוגבלת וגם לשירותים עם גישה לא מוגבלת).
      (אופציונלי) כדי שהאפליקציות הנבחרות יוכלו לשמור על גישת ה-API לשירותי Workspace גם אם יש לשירותים האלה כללי מדיניות של בקרת גישה מבוססת-הקשר שחלים על גישת ה-API, בוחרים באפשרות מתן פטור כך שהגישה ל-API לא תיחסם על ידי רמות של בקרת גישה מבוססת-הקשר. האפשרות הזו זמינה רק לאפליקציות לאינטרנט, ל-Android או ל-iOS שנוספו באמצעות מזהים של לקוחות OAuth. בחירה באפשרות הזו לא תפטור את האפליקציה באופן אוטומטי מחסימות גישה ל-API. בנוסף, צריך לפטור את האפליקציה במהלך הקצאות של רמות גישה מבוססות-הקשר. הפטור הזה חל רק על היחידות הארגוניות שציינתם בהיקף ההרשאות.
    • מוגבלת – יכולה לגשת רק לשירותי Google שהגישה אליהם חופשית.
    • נתונים ספציפיים בחשבון Google – האפליקציה יכולה לבקש גישה לנתונים רק להיקפי הרשאות שאתם מציינים כשמגדירים את האפליקציה.
      הערה: כדי לאפשר למשתמשים להיכנס באמצעות חשבון Google שלהם, צריך לכלול את היקפי ההרשאות של 'כניסה באמצעות חשבון Google' שנדרשים לאפליקציה.
    • חסומה – אין גישה לאף אחד משירותי Google.
      אם מוסיפים אפליקציה למכשירים לרשימת ההיתרים וגם חוסמים את אותה אפליקציה באמצעות אמצעי בקרה על API, האפליקציה נחסמת. חסימת האפליקציה באמצעות אמצעי בקרה לממשקי API מבטלת את המיקום שלה ברשימת ההיתרים.
  9. לוחצים על המשך.
  10. בודקים את ההגדרות של האפליקציה החדשה ולוחצים על סיום.

המשתמשים מתבקשים להביע הסכמה להוספת אפליקציות אינטרנט. אפשר לדלג על מסך ההסכמה ב-Google Workspace Marketplace (רק לאפליקציות שאושרו) באמצעות התקנה בדומיין.

בחירת הגדרות לאפליקציות שלא הוגדרו

אפליקציות שלא הגדרתם כ'מהימנות', 'מוגבלות', 'גישה לנתוני Google ספציפיים' או 'חסומות' (כפי שמתואר במאמר ניהול הגישה של אפליקציות לשירותי Google והוספת אפליקציות) נחשבות לאפליקציות שלא הוגדרו. אתם יכולים לקבוע מה יקרה כשמשתמשים ינסו להיכנס לאפליקציות לא מוגדרות באמצעות חשבון Google שלהם.

לצפייה בסרטון

איך למצוא את ההגדרות

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על הגדרות כדי להרחיב את קבוצת ההגדרות.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  4. בוחרים את ההגדרות הרצויות. מידע נוסף זמין במאמר בנושא הגדרות של אפליקציות שלא הוגדרו.
  5. לוחצים על שמירה.
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

הגדרות של אפליקציות שלא הוגדרו

הודעה למשתמש בהתאמה אישית

זוהי הודעה מותאמת אישית שתוצג למשתמשים שלא יכולים לגשת לאפליקציה חסומה. כדי ליצור הודעה מותאמת אישית, בוחרים באפשרות מופעל ומזינים את ההודעה.

אם ההודעה בהתאמה אישית מושבתת או אם אי אפשר להציג אותה, המשתמשים יראו במקומה הודעת ברירת מחדל.

אפליקציות צד שלישי שלא הוגדרו

ההגדרה הזו קובעת מה יקרה כשמשתמשים ינסו להיכנס לאפליקציות לא מוגדרות באמצעות חשבון Google שלהם. המשתמשים עדיין יכולים לגשת לאפליקציות שהוגדרו עם גישה מהימנה, מוגבלת או ספציפית לנתוני Google, בלי קשר להגדרה הזו.

בוחרים אפשרות:

  • המשתמשים יכולים להיכנס לאפליקציות צד שלישי (ברירת מחדל) – המשתמשים יכולים להיכנס באמצעות חשבון Google לכל אפליקציית צד שלישי. אפליקציות שהמשתמשים ניגשים אליהן יכולות לבקש גישה לנתונים לא מוגבלים בחשבון Google של המשתמש.
  • המשתמשים יכולים לגשת לאפליקציות של צד שלישי שמבקשות רק מידע בסיסי לצורך כניסה באמצעות חשבון Google – המשתמשים יכולים להיכנס באמצעות חשבון Google לאפליקציות של צד שלישי שמבקשות רק מידע בסיסי מהפרופיל: השם, כתובת האימייל ותמונת הפרופיל בחשבון Google של המשתמש.
  • המשתמשים לא יכולים להיכנס לאפליקציות צד שלישי – המשתמשים לא יכולים להיכנס באמצעות חשבון Google לאפליקציות ולאתרים של צד שלישי עד שתגדירו לאפליקציות ולאתרים האלה הגדרת גישה. פרטים נוספים זמינים במאמר ניהול הגישה של אפליקציות צד שלישי לשירותי Google והוספת אפליקציות.

מהדורות של Google Workspace for Education: אתם יכולים לבחור הגדרות שונות למשתמשים מעל גיל 18 ולמשתמשים מתחת לגיל 18. אם משתמשים בהגדרה הזו כדי לחסום אפליקציות צד שלישי, אפשר לאפשר למשתמשים מתחת לגיל 18 לבקש גישה לאפליקציות חסומות באמצעות ההגדרה משתמשים מתחת לגיל 18 יכולים לבקש גישה לאפליקציות צד שלישי שלא הוגדרו.

אפליקציות פנימיות

כך אפליקציות פנימיות שנוצרו על ידי הארגון יכולות לגשת לממשקי API של Google Workspace מוגבלים.

כדי לאפשר גישה ל-API לכל האפליקציות הפנימיות, מסמנים את התיבה אפשר לתת אמון באפליקציות פנימיות.

בקשות ממשתמשים לגשת לאפליקציות שלא הוגדרו

ההגדרות האלה מאפשרות למשתמשים לבקש גישה לאפליקציות צד שלישי שלא הוגדרו. אדמינים יכולים לבדוק את הבקשות האלה ולאשר או לדחות אותן. האפשרויות הזמינות תלויות במהדורת Workspace שיש לכם.

מהדורות Google Workspace for Education

הגדרות למשתמשים מעל גיל 18 – ההגדרות האלה מאפשרות לאנשי חינוך ולמשתמשים מעל גיל 18 לבקש גישה לאפליקציות לעצמם או בשם משתמשים אחרים (בקשות לשרת proxy). לדוגמה, מורה יכול לשלוח בקשות לגישה בשם תלמידים. אתם יכולים לבדוק את הבקשות האלה ולאשר או לדחות את הגישה.

נשלח לכם הודעה כשמשתמשים יבקשו גישה. אתם יכולים להגדיר גישה למשתמשים שביקשו גישה לעצמם. בבקשות בשם אחרים, אתם יכולים להגדיר את הרשאות הגישה של המשתמשים שבשמם הוגשה הבקשה.

כדי לאפשר למשתמשים לבקש לעצמם גישה, מסמנים את התיבה המשתמשים יכולים לבקש לעצמם גישה לאפליקציות.

כדי לאפשר למשתמשים לשלוח בקשות לשרת proxy, מסמנים את התיבה המשתמשים יכולים לשלוח בקשות בשם משתמשים אחרים (בקשות לשרת proxy).

הערה: אפשר לשתף את הקישור הזה עם אנשי חינוך כדי לאפשר להם לשלוח בקשות לגישה בשמם של משתמשים אחרים.

הגדרות למשתמשים מתחת לגיל 18 – ההגדרה הזו מאפשרת למשתמשים מתחת לגיל 18 לבקש לעצמם גישה לאפליקציות.

כדי לאפשר למשתמשים לבקש לעצמם גישה לאפליקציות, מסמנים את התיבה המשתמשים יכולים לבקש לעצמם גישה לאפליקציות.

כדי לגשת להגדרות האלה, עוברים אל איך מאתרים את ההגדרות.

כל המהדורות האחרות של Google Workspace

אם אתם או אדמין אחר מגבילים את הגישה לאפליקציות שלא הוגדרו, המשתמשים יכולים לבקש גישה לאפליקציות האלה. כדי לאפשר למשתמשים לבקש גישה לאפליקציות שלא הוגדרו, מסמנים את התיבה המשתמשים יכולים לבקש גישה לאפליקציות צד שלישי שלא הוגדרו.

כשמשתמש מבקש גישה, נוסף רשומה חדשה לרשימה אפליקציות בהמתנה לבדיקה בדף בקרה על גישת אפליקציות לנתונים במסוף Admin. אחרי שבודקים את הרשימה, אפשר לאשר את הבקשה או לדחות אותה. חשוב לזכור שהבחירה שלכם חלה על כל המשתמשים ביחידה ארגונית. פרטים נוספים זמינים במאמר בנושא בדיקה וניהול של בקשות גישה לאפליקציות צד שלישי.

הערה: תהליך הבקשה הזה מופעל רק על ידי אפליקציות שאדמין לא הקצה להן הגדרת גישה. אם אפליקציה שהוגדרה מנסה לגשת לשירות של Google שאין לה הרשאה לגשת אליו, המשתמש נחסם ולא יכול לבקש גישה דרך התהליך הזה.

מגבלות ידועות

  • ברשימות של בקרת גישה לאפליקציות, אפליקציות ל-iOS שהוספו באמצעות מזהי חבילות של Apple App Store מציגות כרגע את הערך לא ידוע בעמודה בעלות.
  • מידע על היקף הרשאות OAuth לא מוצג לאפליקציות בבעלות Google. זה צפוי כי אפליקציות בבעלות Google יכולות לבקש היקפי הרשאות פנימיים ל-Google.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.