קביעה לאילו אפליקציות תהיה גישה לנתונים של Google Workspace

כדי לנהל אפליקציות לנייד בארגון, עוברים לכאן.

אם המשתמשים שלכם נכנסים לאפליקציות דרך חשבונות Google שלהם, אתם יכולים לקבוע את אופן הגישה של האפליקציות האלה לנתונים של הארגון. באמצעות הגדרות OAuth 2.0 במסוף Google Admin, אפשר לנהל 3 סוגים של אפליקציות:

  • בבעלות Google – אפליקציות שפותחו על ידי Google
  • פנימיות – אפליקציות שהארגון שלכם מפתח
  • צד שלישי – אפליקציות שלא נוצרו על ידי Google או הארגון שלכם, ולא נמצאות בבעלותם

חלק מהאפליקציות משתמשות בהיקפי הרשאות של OAuth 2.0 – מנגנון להגבלת הגישה לחשבון של משתמש. אפשר גם להתאים אישית את ההודעה שמוצגת למשתמשים שמנסים להתקין אפליקציה לא מורשית.

הערה: ב-Google Workspace for Education, יכול להיות שהגבלות נוספות ימנעו ממשתמשים במוסדות חינוך יסודיים ועל-יסודיים לגשת לאפליקציות מסוימות.

הנושאים בדף

לפני שמתחילים: בודקים את האפליקציות בארגון

בקטע 'שליטה בגישה לאפליקציות', אפשר לבדוק את האפליקציות הבאות:

  • אפליקציות שהוגדרו – אפליקציות שהוגדרה עבורן הגדרת גישה (מהימנה, מוגבלת, נתונים ספציפיים של Google או חסומה).
  • אפליקציות שנכנסו אליהן – אפליקציות שניגשו לנתונים בחשבון Google.
  • אפליקציות בהמתנה לבדיקה – אפליקציות שהמשתמשים ביקשו גישה אליהן.

בדרך כלל, הפרטים על האפליקציות מופיעים 24 עד 48 שעות אחרי ההרשאה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזאמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול גישה לאפליקציות כדי לראות את האפליקציות שהוגדרו. כדי לסנן את רשימת האפליקציות, לוחצים על הוספת מסנן ובוחרים אפשרות.

    ברשימת האפליקציות מוצגים השם, הסוג והמזהה של האפליקציה, וגם המידע הבא לגבי כל אפליקציה:

    • סטטוס מאומת – אפליקציות מאומתות נבדקו על ידי Google כדי לוודא שהן עומדות בדרישות של כללי מדיניות מסוימים. יכול להיות שאפליקציות ידועות רבות לא מאומתות באופן הזה. מידע נוסף ניתן לקרוא במאמר מהי אפליקציה מאומתת של צד שלישי?

    • גישה – בעמודה הזו מוצגות היחידות הארגוניות שהוגדרה להן מדיניות גישה לאפליקציה. כדי לראות את רמות הגישה (מהימנות, מוגבלת, נתונים ספציפיים של Google או חסומה), מצביעים על אפליקציה מסוימת ולוחצים על הצגת הפרטים.

      אם מחילים מדיניות גישה על יחידה ארגונית ואז מחילים מדיניות אחרת על כל הארגון, המדיניות הראשונה נשארת בתוקף לגבי היחידה הארגונית.

    • בעלות – בעמודה הזו מוצג אם האפליקציה היא של צד שלישי, פנימית או בבעלות Google.

    • תג אימות של Google – מוצג באפליקציות פנימיות ובאפליקציות של צד שלישי שעברו את תהליך האימות של אפליקציות ב-OAuth.

  3. כדי לראות את האפליקציות שהייתה אליהן גישה, בקטע אפליקציות שהייתה אליהן גישה, לוחצים על הצגת הרשימה.

    בקטע אפליקציות שנכנסו אליהן, אפשר גם לבדוק:

    • משתמשים – מספר המשתמשים שניגשים לאפליקציה.
    • שירותים מבוקשים – ממשקי ה-API של שירותי Google (היקפי OAuth2) שכל אפליקציה משתמשת בהם (לדוגמה, Gmail, יומן Google או Google Drive). שירותים שנדרשים ולא שייכים ל-Google מופיעים בקטגוריה אחרים.

  4. ברשימה אפליקציות שהוגדרו או אפליקציות שהייתה אליהן גישה, לוחצים על אפליקציה כדי לגשת לפרטים הבאים:

    • קביעת הרשאות הגישה של האפליקציה לשירותי Google – כאן אפשר לראות אם האפליקציה מסומנת כ'מהימנה', 'מוגבלת', 'נתונים ספציפיים בחשבון Google' או 'חסומה'. אם משנים את הגדרת הגישה, לוחצים על שמירה.
    • הצגת מידע על האפליקציה – מציג את מזהה הלקוח המלא של האפליקציה ב-OAuth2, את מספר המשתמשים, את מדיניות הפרטיות ואת פרטי התמיכה.
    • הצגת ממשקי ה-API של שירותי Google (היקפי הרשאות OAuth) שהאפליקציה מבקשת – מספקת רשימה של היקפי הרשאות OAuth שכל אפליקציה מבקשת. כדי לראות את כל היקפי ההרשאות של OAuth, מרחיבים את שורת הטבלה או לוחצים על הרחבת כל ההרשאות.
      הערה: היקפי הרשאות של OAuth לא מוצגים באפליקציות שנמצאות בבעלות Google.

  5. (אופציונלי) כדי להוריד את פרטי האפליקציה לקובץ CSV, בחלק העליון של הרשימה אפליקציות שהוגדרו או אפליקציות שהייתה אליהן גישה, לוחצים על הורדת הרשימה.

    • כל הנתונים בטבלה יורדו (כולל נתונים שלא מוצגים).
    • עבור אפליקציות מוגדרות, קובץ ה-CSV כולל את העמודות הנוספות הבאות: סטטוס האימות, מספר המשתמשים, יחידה ארגונית, שירותים מבוקשים והיקפי API שמשויכים לכל שירות. אם לא הייתה גישה לאפליקציה שהוגדרה, מספר המשתמשים שלה הוא אפס (0), ושתי העמודות האחרות ריקות.
    • עבור אפליקציות שהייתה אליהן גישה, קובץ ה-CSV כולל את העמודות הנוספות הבאות: סטטוס האימות, היחידה הארגונית והיקפי הגישה של ה-API שמשויכים לכל שירות.

אימות אפליקציות הוא התוכנית של Google שמטרתה לוודא שאפליקציות צד שלישי שמקבלות גישה לנתונים רגישים של לקוחות עוברות בדיקות אבטחה ופרטיות. יכול להיות שהמשתמשים ייחסמו מהפעלת אפליקציות לא מאומתות שאתם לא סומכים עליהן (פרטים על אפליקציות מהימנות מופיעים בהמשך הדף). מידע נוסף זמין במאמר בנושא מתן הרשאה לאפליקציות לא מאומתות של צד שלישי.

הגבלת הגישה לשירותי Google או ביטול ההגבלה

אתם יכולים להגביל את הגישה של אפליקציות פנימיות ואפליקציות של צד שלישי לרוב השירותים של Google Workspace, כולל שירותי Google Cloud כמו Machine Learning. הסבר על כל אפשרות:

  • מוגבלת – רק אפליקציות פנימיות ואפליקציות צד שלישי שהוגדרו עם הגדרת גישה מסוג 'מהימנה' או 'נתונים ספציפיים בחשבון Google' יכולות לגשת לנתונים.
  • לא מוגבלת – רק אפליקציות פנימיות ואפליקציות של צד שלישי שהוגדרה להן גישה מהימנה, מוגבלת או גישה לנתונים ספציפיים של Google יכולות לגשת להיקפי ההרשאות שהוגדרו על ידי האדמין, בלי קשר לשאלה אם היקף ההרשאות מאפשר גישה מוגבלת או לא מוגבלת לנתונים.

לדוגמה, אם הגדרתם את הגישה ליומן כגישה מוגבלת, רק אפליקציות פנימיות ואפליקציות צד שלישי שהוגדרה להן גישה לנתונים ספציפיים של Google או גישה מהימנה יוכלו לגשת לנתונים ביומן. לאפליקציות פנימיות ולאפליקציות של צד שלישי שהוגדרה להן גישה מוגבלת אין אפשרות לגשת לנתונים ביומן.

הערה: ב-Gmail, ב-Google Drive וב-Google Chat, אפשר להגביל באופן ספציפי את הגישה להיקפי הרשאות בסיכון גבוה (לדוגמה, שליחת אימייל או מחיקת קבצים ב-Drive).

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזאמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול השירותים של Google.
  3. ברשימת השירותים, מסמנים את התיבות לצד השירותים שרוצים לנהל. כדי לסמן את כל התיבות, מסמנים את התיבה שירות.
  4. (אופציונלי) כדי לסנן את הרשימה, לוחצים על הוספת מסנן ובוחרים מבין הקריטריונים הבאים:
    • שירותי Google – בוחרים מהרשימה של השירותים ולוחצים על החלה.
    • גישה לשירותי Google – בוחרים באפשרות ללא הגבלה או מוגבלת ולוחצים על החלה.
    • אפליקציות מורשות – מציינים טווח של מספר האפליקציות המורשות ולוחצים על אישור.
    • משתמשים – מציינים טווח למספר המשתמשים ולוחצים על החלה.
  5. למעלה, לוחצים על שינוי הגישה ובוחרים באפשרות ללא הגבלה או מוגבלת.
    אם משנים את הגישה ל'מוגבלת', כל האפליקציות שהותקנו קודם ולא הוגדרו כאפליקציות מהימנות מפסיקות לפעול, והאסימונים מבוטלים. אם משתמש ינסה להתקין אפליקציה (או להיכנס אליה) שלא הוגדרה כאפליקציה מהימנה ויש לה גישה לשירות מוגבל, הוא יקבל הודעה שהאפליקציה חסומה. הגבלת הגישה לשירות Drive מגבילה גם את הגישה ל-Google Forms API.
    הערה: רשימת האפליקציות שאליהן ניתנה גישה מתעדכנת 48 שעות אחרי מתן או ביטול של אסימון.
  6. (אופציונלי) אם בחרתם באפשרות'מוגבלת', כדי לאפשר גישה להיקפי הרשאות של OAuth שלא מסווגים בסיכון גבוה (לדוגמה, היקפי הרשאות שמתירים לאפליקציות לגשת לקבצים ב-Drive שהמשתמש סימן), מסמנים את התיבה משתמשים יכולים להעניק לאפליקציות לא מהימנות גישה להיקפי הרשאות של OAuth שאינם מסווגים בסיכון גבוה. (התיבה הזו מופיעה באפליקציות כמו Gmail ו-Drive, אבל לא בכל האפליקציות).
  7. לוחצים על שינוי ומאשרים, אם צריך.
  8. (אופציונלי) כדי לבדוק לאילו אפליקציות יש גישה לשירות:
    1. למעלה, בקטע אפליקציות עם גישה, לוחצים על הצגת הרשימה.
    2. לוחצים על הוספת מסנןואזשירותים מבוקשים.
    3. בוחרים את השירותים שרוצים לבדוק ולוחצים על אישור.

הגבלת הגישה להיקפי OAuth בסיכון גבוה

ב-Gmail,‏ Google Drive,‏ Docs ו-Chat אפשר גם להגביל את הגישה רק לרשימה מוגדרת מראש של היקפי OAuth בסיכון גבוה.

היקפי הרשאות של OAuth בסיכון גבוה ב-Gmail

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

פרטים על היקפי הגישה של Gmail מופיעים במאמר בחירת היקפי גישה של Gmail API.

היקפי הרשאות של OAuth בסיכון גבוה ב-Drive וב-Docs

  • https://www.googleapis.com/auth/documents
  • https://www.googleapis.com/auth/documents.readonly
  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.activity
  • https://www.googleapis.com/auth/drive.activity.readonly
  • https://www.googleapis.com/auth/drive.admin
  • https://www.googleapis.com/auth/drive.admin.labels
  • https://www.googleapis.com/auth/drive.admin.labels.readonly
  • https://www.googleapis.com/auth/drive.admin.readonly
  • https://www.googleapis.com/auth/drive.admin.shareddrive
  • https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
  • https://www.googleapis.com/auth/drive.apps
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.categories.readonly
  • https://www.googleapis.com/auth/drive.labels.readonly
  • https://www.googleapis.com/auth/drive.meet.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.photos.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/drive.teams
  • https://www.googleapis.com/auth/forms.body
  • https://www.googleapis.com/auth/forms.body.readonly
  • https://www.googleapis.com/auth/forms.currentonly
  • https://www.googleapis.com/auth/forms.responses.readonly
  • https://www.googleapis.com/auth/presentations
  • https://www.googleapis.com/auth/presentations.readonly
  • https://www.googleapis.com/auth/script.addons.curation
  • https://www.googleapis.com/auth/script.projects
  • https://www.googleapis.com/auth/sites
  • https://www.googleapis.com/auth/sites.readonly
  • https://www.googleapis.com/auth/spreadsheets
  • https://www.googleapis.com/auth/spreadsheets.readonly

פרטים נוספים על היקפים זמינים במאמרים הבאים:

היקפי הרשאות OAuth בסיכון גבוה ב-Chat

  • https://www.googleapis.com/auth/chat.delete
  • https://www.googleapis.com/auth/chat.import
  • https://www.googleapis.com/auth/chat.messages
  • https://www.googleapis.com/auth/chat.messages.readonly

פרטים על היקפי הגישה ב-Chat זמינים במאמר היקפי הגישה ב-Chat API.

ניהול הגישה של אפליקציות לשירותי Google והוספת אפליקציות

אתם יכולים לנהל את הגישה לאפליקציות מסוימות על ידי חסימת האפליקציות האלה או סימון שלהן כ'אמינות', 'נתונים ספציפיים של Google', 'מוגבלות' או 'חסומות':

  • אמינה – לאפליקציה יש גישה לכל שירותי Google Workspace (היקפי הרשאות OAuth), כולל שירותים מוגבלים. אתם יכולים להוסיף לרשימת ההיתרים אפליקציות שהוגדרו באמצעות מזהי לקוח OAuth, כדי לשמר את הגישה שלהן לממשק תכנות יישומים (API) לשירותי Google Workspace, גם אם לשירותים האלה יש כללי מדיניות של בקרת גישה מבוססת-הקשר שחלים על גישת ה-API.
  • נתונים ספציפיים בחשבון Google – האפליקציה יכולה לבקש גישה לנתונים רק בהיקפי ההרשאות שאתם מציינים כשאתם מגדירים את האפליקציה.
  • מוגבלת – האפליקציה יכולה לגשת רק לשירותים שהגישה אליהם לא מוגבלת. אפשר לשנות את הגדרת הגישה לנתונים של אפליקציה מרשימת האפליקציות או מדף פרטי האפליקציה.
  • חסומה – האפליקציה לא יכולה לגשת לנתונים בחשבון Google.

אפשר לסמן אפליקציות בבעלות Google שאינן אפליקציות Workspace כאפליקציות מהימנות, חסומות או מוחרגות. כברירת מחדל, רוב האפליקציות בבעלות Google הן מהימנות. עם זאת, אם בוחרים גם אפליקציות של צד שלישי וגם אפליקציות בבעלות Google, אפשרויות הגישה מוגבלות ל'מהימנה' ו'חסומה'.

כשמגדירים או משנים את רמת הגישה של אפליקציה, רשימת היקפי ההרשאות של OAuth כוללת את כל ההיקפים שהאפליקציה ביקשה אי פעם. יכול להיות שהרשימה הזו לא משקפת את ההגדרה הנוכחית של הארגון. כדי לראות את ההיקפים המדויקים שהוגדרו לאפליקציה, מציבים את העכבר על האפליקציה ולוחצים על הצגת פרטים.

שינוי הגישה מרשימת האפליקציות

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזאמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול הגישה לאפליקציות.
  3. ברשימת האפליקציות שהוגדרו או ברשימת האפליקציות שהייתה להן גישה, מצביעים על אפליקציה ולוחצים על שינוי הגישה. אפשר גם לסמן את התיבות שליד כמה אפליקציות וללחוץ על שינוי הגישה בחלק העליון של הרשימה.
  4. בוחרים את היחידות הארגוניות שרוצים להגדיר להן גישה:
    • כדי להחיל את ההגדרה על כל המשתמשים, משאירים את הסימון של היחידה הארגונית ברמה העליונה.
    • כדי להחיל את ההגדרה על יחידות ארגוניות ספציפיות, לוחצים על בחירת יחידות ארגוניותואזהכללת יחידות ארגוניות ואז בוחרים יחידות ארגוניות ספציפיות.
  5. לוחצים על הבא.
  6. בוחרים אפשרות:
    • אמינה – יכולה לגשת לכל שירותי Google (גם לשירותים עם גישה מוגבלת וגם לשירותים עם גישה לא מוגבלת). אפליקציות בבעלות Google, כמו דפדפן Chrome, נחשבות אוטומטית למהימנות ואי אפשר להגדיר אותן כאפליקציות מהימנות.
      (אופציונלי) כדי שהאפליקציות שנבחרו יוכלו לשמור על גישת ה-API לשירותי Google Workspace גם אם יש לשירותים האלה כללי מדיניות של בקרת גישה מבוססת-הקשר שחלים על גישת ה-API, בוחרים באפשרות מתן פטור כך שהגישה ל-API לא תיחסם על ידי רמות של בקרת גישה מבוססת-הקשר. האפשרות הזו זמינה רק לאפליקציות לאינטרנט, ל-Android או ל-iOS שנוספו באמצעות מזהים של לקוחות OAuth. בחירה באפשרות הזו לא תפטור את האפליקציה באופן אוטומטי מחסימות של גישת API. בנוסף, צריך לפטור את האפליקציה במהלך הקצאות של רמות גישה מבוססות-הקשר. הפטור הזה חל רק על היחידות הארגוניות שמצוינות בשלב 5.
    • מוגבלת – יכולה לגשת רק לשירותי Google שהגישה אליהם חופשית.
    • נתונים ספציפיים בחשבון Google – האפליקציה יכולה לבקש גישה לנתונים רק להיקפי הרשאות שאתם מציינים כשמגדירים את האפליקציה.
      הערה: כדי לאפשר למשתמשים להיכנס באמצעות חשבון Google שלהם, צריך לכלול את היקפי ההרשאות של 'כניסה באמצעות חשבון Google' שנדרשים לאפליקציה.
    • חסומה – אין גישה לאף אחד משירותי Google.
      אם מוסיפים אפליקציה למכשירים לרשימת ההיתרים וגם חוסמים את אותה אפליקציה באמצעות אמצעי בקרה על API, האפליקציה נחסמת. החסימה של האפליקציה באמצעות אמצעי בקרה לממשקי API מבטלת את המיקום ברשימת ההיתרים.

    טיפ: כדי לבטל את ההגדרה של אפליקציה, משתמשים באפשרות העלאה של קובץ CSV שמתוארת במאמר הוספה והגדרה של אפליקציות צד שלישי בכמות גדולה.

  7. לוחצים על הבא.
  8. בודקים את ההיקף ואת הגדרת הגישה ולוחצים על שינוי הגישה.

שינוי הגישה מדף פרטי האפליקציה

לצפייה בסרטון

שינוי הגישה לאפליקציות

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזאמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול הגישה לאפליקציות.
  3. ברשימת האפליקציות שהוגדרו או ברשימת האפליקציות שהייתה אליהן גישה, לוחצים על האפליקציה שרוצים לשנות את הגישה אליה.
  4. לוחצים על הקטע גישה לנתוני Google.
  5. לוחצים על הקבוצה או היחידה הארגונית שרוצים להגדיר את הגישה לנתונים שלהן באפליקציה. כברירת מחדל, נבחרת היחידה הארגונית ברמה העליונה והשינוי מופעל בכל הארגון.
  6. בוחרים רמת גישה לנתונים.
    1. (אופציונלי) כדי להחיל הגדרות שונות על קבוצות או יחידות ארגוניות שונות, בוחרים באפשרות הרצויה. לדוגמה:
      • כדי לחסום את הגישה של אפליקציה לכל הנתונים של המשתמשים, בוחרים את היחידה הארגונית ברמה העליונה ואז בוחרים באפשרות חסומה.
      • כדי לחסום את הגישה של האפליקציה לנתונים של חלק מהמשתמשים בלבד, מגדירים את הגישה למהימנה ביחידה הארגונית ברמה העליונה ולחסומה ביחידה בת ארגונית שכוללת את המשתמשים האלה.
  7. לוחצים על שמירה.

הגדרת תצורה לאפליקציה חדשה

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזאמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול הגישה לאפליקציות.
  3. בקטע Configured apps (אפליקציות שהוגדרו), לוחצים על Configure new app (הגדרת אפליקציה חדשה).
  4. מזינים את השם של האפליקציה או את מזהה הלקוח שלה ולוחצים על חיפוש.
  5. לוחצים על האפליקציה ברשימת תוצאות החיפוש.
  6. בקטע היקף, בוחרים למי רוצים להגדיר גישה:
    1. כברירת מחדל, נבחרת היחידה הארגונית ברמה העליונה. משאירים את התיבה הזו מסומנת כדי להגדיר גישה לכל המשתמשים בארגון.
    2. כדי להגדיר גישה ליחידות ארגוניות ספציפיות, לוחצים על בחירת יחידות ארגוניות ואז על הכללת יחידות ארגוניות כדי לראות את היחידות הארגוניות. מסמנים את התיבה של כל יחידה ארגונית שרוצים לתת לה גישה, ואז לוחצים על בחירה.
  7. לוחצים על המשך.
  8. בוחרים אפשרות בשדה גישה לנתוני Google:
    • אמינה – יכולה לגשת לכל שירותי Google (גם לשירותים עם גישה מוגבלת וגם לשירותים עם גישה לא מוגבלת).
      (אופציונלי) כדי שהאפליקציות הנבחרות יוכלו לשמור על גישת ה-API לשירותי Workspace גם אם יש לשירותים האלה כללי מדיניות של בקרת גישה מבוססת-הקשר שחלים על גישת ה-API, בוחרים באפשרות מתן פטור כך שהגישה ל-API לא תיחסם על ידי רמות של בקרת גישה מבוססת-הקשר. האפשרות הזו זמינה רק לאפליקציות לאינטרנט, ל-Android או ל-iOS שנוספו באמצעות מזהים של לקוחות OAuth. בחירה באפשרות הזו לא תפטור את האפליקציה באופן אוטומטי מחסימות גישה ל-API. בנוסף, צריך לפטור את האפליקציה במהלך הקצאות של רמות גישה מבוססות-הקשר. הפטור הזה חל רק על היחידות הארגוניות שציינתם בהיקף ההרשאות.
    • מוגבלת – יכולה לגשת רק לשירותי Google שהגישה אליהם חופשית.
    • נתונים ספציפיים בחשבון Google – האפליקציה יכולה לבקש גישה לנתונים רק להיקפי הרשאות שאתם מציינים כשמגדירים את האפליקציה.
      הערה: כדי לאפשר למשתמשים להיכנס באמצעות חשבון Google שלהם, צריך לכלול את היקפי ההרשאות של 'כניסה באמצעות חשבון Google' שנדרשים לאפליקציה.
    • חסומה – אין גישה לאף אחד משירותי Google.
      אם מוסיפים אפליקציה למכשירים לרשימת ההיתרים וגם חוסמים את אותה אפליקציה באמצעות אמצעי בקרה על API, האפליקציה נחסמת. חסימת האפליקציה באמצעות אמצעי בקרה לממשקי API מבטלת את המיקום שלה ברשימת ההיתרים.
  9. לוחצים על המשך.
  10. בודקים את ההגדרות של האפליקציה החדשה ולוחצים על סיום.

המשתמשים מתבקשים להביע הסכמה להוספת אפליקציות אינטרנט. אפשר לדלג על מסך ההסכמה ב-Google Workspace Marketplace (רק לאפליקציות שאושרו) באמצעות התקנה בדומיין.

בחירת הגדרות לאפליקציות שלא הוגדרו

אפליקציות שלא הגדרתם כ'מהימנות', 'מוגבלות', 'גישה לנתונים ספציפיים של Google' או 'חסומות' (כפי שמתואר במאמר ניהול גישה של אפליקציות לשירותי Google והוספת אפליקציות) נחשבות לאפליקציות שלא הוגדרו. אתם יכולים לקבוע מה יקרה כשמשתמשים ינסו להיכנס לאפליקציות לא מוגדרות באמצעות חשבון Google שלהם.

לצפייה בסרטון

איך למצוא את ההגדרות

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזאמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על הגדרות כדי להרחיב את קבוצת ההגדרות.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  4. בוחרים את ההגדרות הרצויות. מידע נוסף זמין במאמר בנושא הגדרות של אפליקציות שלא הוגדרו.
  5. לוחצים על שמירה.
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

הגדרות של אפליקציות שלא הוגדרו

הודעה למשתמש בהתאמה אישית

זוהי הודעה מותאמת אישית שתוצג למשתמשים שלא יכולים לגשת לאפליקציה חסומה. כדי ליצור הודעה מותאמת אישית, בוחרים באפשרות מופעל ומזינים את ההודעה.

אם ההודעה בהתאמה אישית מושבתת או אם אי אפשר להציג אותה, המשתמשים יראו במקומה הודעת ברירת מחדל.

אפליקציות צד שלישי שלא הוגדרו

ההגדרה הזו קובעת מה יקרה כשמשתמשים ינסו להיכנס לאפליקציות לא מוגדרות באמצעות חשבון Google שלהם. המשתמשים עדיין יכולים לגשת לאפליקציות שהוגדרו עם גישה מהימנה, מוגבלת או ספציפית לנתוני Google, בלי קשר להגדרה הזו.

בוחרים אפשרות:

  • המשתמשים יכולים להיכנס לאפליקציות צד שלישי (ברירת מחדל) – המשתמשים יכולים להיכנס באמצעות חשבון Google לכל אפליקציית צד שלישי. אפליקציות שהמשתמשים ניגשים אליהן יכולות לבקש גישה לנתונים לא מוגבלים בחשבון Google של המשתמש.
  • המשתמשים יכולים לגשת לאפליקציות של צד שלישי שמבקשות רק מידע בסיסי לצורך כניסה באמצעות חשבון Google – המשתמשים יכולים להיכנס באמצעות חשבון Google לאפליקציות של צד שלישי שמבקשות רק מידע בסיסי מהפרופיל: השם, כתובת האימייל ותמונת הפרופיל בחשבון Google של המשתמש.
  • המשתמשים לא יכולים להיכנס לאפליקציות צד שלישי – המשתמשים לא יכולים להיכנס באמצעות חשבון Google לאפליקציות ולאתרים של צד שלישי עד שתגדירו לאפליקציות ולאתרים האלה הגדרת גישה. פרטים נוספים זמינים במאמר ניהול הגישה של אפליקציות צד שלישי לשירותים של Google והוספת אפליקציות.

מהדורות של Google Workspace for Education: אתם יכולים לבחור הגדרות שונות למשתמשים מעל גיל 18 ולמשתמשים מתחת לגיל 18. אם משתמשים בהגדרה הזו כדי לחסום אפליקציות צד שלישי, אפשר לאפשר למשתמשים מתחת לגיל 18 לבקש גישה לאפליקציות חסומות באמצעות ההגדרה משתמשים מתחת לגיל 18 יכולים לבקש גישה לאפליקציות צד שלישי שלא הוגדרו.

אפליקציות פנימיות

כך אפליקציות פנימיות שנוצרו על ידי הארגון יכולות לגשת לממשקי Google Workspace API מוגבלים.

כדי לאפשר גישת API לכל האפליקציות הפנימיות, מסמנים את התיבה אפשר לתת אמון באפליקציות פנימיות.

בקשות ממשתמשים לגשת לאפליקציות שלא הוגדרו

ההגדרות האלה מאפשרות למשתמשים לבקש גישה לאפליקציות צד שלישי שלא הוגדרו. אדמינים יכולים לבדוק את הבקשות האלה ולאשר או לדחות אותן. האפשרויות הזמינות תלויות במהדורת Workspace שיש לכם.

מהדורות Google Workspace for Education

הגדרות למשתמשים מעל גיל 18 – ההגדרות האלה מאפשרות לאנשי חינוך ולמשתמשים מעל גיל 18 לבקש גישה לאפליקציות בשם עצמם או בשם אחרים (בקשות לשרת proxy). לדוגמה, מורה יכול לשלוח בקשות לגישה בשם תלמידים. אתם יכולים לבדוק את הבקשות האלה ולאשר או לדחות את הגישה.

נשלח לכם הודעה כשמשתמשים יבקשו גישה. אתם יכולים להגדיר גישה למשתמשים שביקשו גישה לעצמם. בבקשות בשם אחרים, אתם יכולים להגדיר את הרשאות הגישה של המשתמשים שבשמם הוגשה הבקשה.

כדי לאפשר למשתמשים לבקש לעצמם גישה, מסמנים את התיבה המשתמשים יכולים לבקש לעצמם גישה לאפליקציות.

כדי לאפשר למשתמשים לשלוח בקשות לשרת proxy, מסמנים את התיבה המשתמשים יכולים לשלוח בקשות בשם משתמשים אחרים (בקשות לשרת proxy).

הערה: אפשר לשתף את הקישור הזה עם אנשי חינוך כדי לאפשר להם לשלוח בקשות לגישה בשמם של משתמשים אחרים.

הגדרות למשתמשים מתחת לגיל 18 – ההגדרה הזו מאפשרת למשתמשים מתחת לגיל 18 לבקש לעצמם גישה לאפליקציות.

כדי לאפשר למשתמשים לבקש לעצמם גישה לאפליקציות, מסמנים את התיבה המשתמשים יכולים לבקש לעצמם גישה לאפליקציות.

כדי לגשת להגדרות האלה, עוברים אל איך מאתרים את ההגדרות.

כל המהדורות האחרות של Google Workspace

אם אתם או אדמין אחר מגבילים את הגישה לאפליקציות שלא הוגדרו, המשתמשים יכולים לבקש גישה לאפליקציות האלה. כדי לאפשר למשתמשים לבקש גישה לאפליקציות שלא הוגדרו, מסמנים את התיבה המשתמשים יכולים לבקש גישה לאפליקציות צד שלישי שלא הוגדרו.

כשמשתמש מבקש גישה, נוסף רשומה חדשה לרשימה אפליקציות שממתינות לבדיקה בדף בקרה על גישת אפליקציות לנתונים במסוף Admin. אחרי שבודקים את הרשימה, אפשר לאשר את הבקשה או לדחות אותה. חשוב לזכור שהבחירה שלכם חלה על כל המשתמשים ביחידה ארגונית. פרטים נוספים זמינים במאמר בנושא בדיקה וניהול של בקשות גישה לאפליקציות צד שלישי.

הערה: תהליך הבקשה הזה מופעל רק על ידי אפליקציות שאדמין לא הקצה להן הגדרת גישה. אם אפליקציה שהוגדרה מנסה לגשת לשירות של Google שאין לה הרשאה לגשת אליו, המשתמש נחסם ולא יכול לבקש גישה דרך התהליך הזה.

מגבלות ידועות

  • ברשימות של בקרת גישה לאפליקציות, באפליקציות ל-iOS שנוספו באמצעות מזהי חבילות של Apple App Store, מופיע כרגע הערך לא ידוע בעמודה בעלות.
  • מידע על היקף הרשאות OAuth לא מוצג לאפליקציות בבעלות Google. זה צפוי כי אפליקציות בבעלות Google יכולות לבקש היקפי הרשאות פנימיים ל-Google.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.