Controlar quais apps acessam os dados do Google Workspace

Para gerenciar apps para dispositivos móveis na sua organização, clique aqui.

Se os usuários fizerem login em apps com as Contas do Google, você poderá controlar como esses apps acessam os dados da sua organização. Com as configurações do OAuth 2.0 no Google Admin Console, é possível gerenciar três tipos de apps:

  • Do Google: apps desenvolvidos pelo Google
  • Internos: apps desenvolvidos pela sua organização
  • Terceiros: apps que não foram criados nem são de propriedade do Google ou da sua organização.

Alguns apps usam os escopos do OAuth 2.0, um mecanismo que limita o acesso à conta de um usuário. Você também pode personalizar a mensagem que os usuários veem quando tentam instalar um app não autorizado.

Observação: no Google Workspace for Education, outras restrições podem impedir que os usuários em instituições de ensino fundamental e médio acessem determinados apps.

Nesta página

Antes de começar: analise os apps da sua organização

No controle de acesso de apps, você pode revisar os seguintes apps:

  • Apps configurados: definidos com um tipo de acesso ("Confiável", "Limitado", "Dados específicos do Google" ou "Bloqueado").
  • Apps acessados: apps que acessaram dados do Google.
  • Apps com análise pendente: apps que tiveram o acesso solicitado por usuários.

Os detalhes sobre os apps geralmente aparecem de 24 a 48 horas após a autorização.

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControles de API.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique em Gerenciar acesso aos apps para ver os apps configurados. Para filtrar a lista de apps, clique em Adicionar um filtro e selecione uma opção.

    A lista mostra o nome, o tipo e o ID do app, além das seguintes informações sobre cada app:

    • Status verificado: o Google analisa os apps verificados para garantir compliance com determinadas políticas. Muitos apps conhecidos talvez não sejam verificados dessa maneira. Confira mais detalhes em O que é um app de terceiros verificado?

    • Acesso: mostra quais unidades organizacionais têm uma política de acesso configurada para o app. Aponte para um app e clique em Mais detalhes para ver os níveis de acesso ("Confiável", "Limitado", "Dados específicos do Google" ou "Bloqueado").

      Se você aplicar uma política de acesso a uma unidade organizacional e depois aplicar uma política diferente a toda a organização, a primeira política vai continuar em vigor para a unidade organizacional.

    • Propriedade: mostra se o app é de terceiros, interno ou do Google.

    • Selo verificado pelo Google: aparece para apps internos e de terceiros que passaram pelo processo de verificação de apps OAuth.

  3. Para conferir os apps acessados, clique em Ver lista na seção Apps acessados.

    Em Apps acessados, também é possível verificar:

    • Usuários: mostra o número de usuários que acessam o app.
    • Serviços solicitados: APIs de serviço do Google (escopos do OAuth2) que cada app está usando (por exemplo, Gmail, Agenda ou Google Drive). Os serviços não solicitados pelo Google são listados como Outros.

  4. Na lista Apps configurados ou Apps acessados, clique em um app para acessar o seguinte:

    • Gerenciar se o app pode acessar os Serviços do Google: mostra se o app está marcado como "Confiável", "Limitado", "Dados específicos do Google" ou "Bloqueado". Se você alterar a configuração de acesso, clique em Salvar.
    • Ver informações do app: mostra o ID completo do cliente OAuth2 do app, o número de usuários, a Política de Privacidade e as informações de suporte.
    • Ver as APIs de Serviço do Google (escopos do OAuth) solicitadas pelo app: mostra uma lista dos escopos do OAuth solicitados por cada app. Para ver cada um dos escopos do OAuth, expanda a linha da tabela ou clique em Expandir tudo.
      Observação: os escopos do OAuth não são mostrados para apps do Google.

  5. (Opcional) Para fazer o download das informações do app em um arquivo CSV, clique em Fazer o download da lista na parte de cima da lista Apps configurados ou Apps acessados.

    • Todos os dados da tabela são salvos (inclusive os que não foram exibidos).
    • O arquivo CSV dos apps configurados tem estas colunas extras: "Status da verificação", "Número de usuários", "Unidade organizacional", "Serviços solicitados" e "Escopos da API" associados a cada serviço. Se um app configurado não tiver sido acessado, a contagem de usuários será zero (0), e as outras duas colunas vão ficar em branco.
    • Para os apps acessados, o arquivo CSV tem estas colunas extras: "Status da verificação", "Unidade organizacional" e "Escopos da API" associados a cada serviço.

A verificação de apps é um programa do Google para que apps de terceiros que acessam dados confidenciais de clientes passem por verificações de segurança e privacidade. Os usuários podem ser impedidos de ativar apps não verificados e identificados como não confiáveis. Confira mais adiante o que fazer para marcar apps como confiáveis. Para mais informações, acesse Autorizar apps de terceiros não verificados.

Restringir ou cancelar a restrição de Serviços do Google

É possível restringir ou não o acesso de apps internos e de terceiros à maioria dos serviços do Google Workspace, incluindo os serviços do Google Cloud, como o aprendizado de máquina. Confira o que cada opção significa:

  • Restrito: só os apps internos e de terceiros com a configuração "Confiável" ou "Dados específicos do Google" podem acessar dados.
  • Irrestrito: só os apps internos e de terceiros com a configuração "Confiável", "Limitado" ou "Dados específicos do Google" podem acessar os escopos definidos por um administrador, não importando se o acesso aos dados é restrito ou não.

Por exemplo, se você definir o acesso ao Google Agenda como restrito, somente apps internos e de terceiros configurados com acesso confiável ou específico aos dados do Google poderão acessar os dados do Google Agenda. Os apps internos e de terceiros com uma configuração de acesso limitado não podem acessar os dados da Agenda.

Observação: no Gmail, Google Drive e Google Chat, você pode restringir especificamente o acesso a escopos de alto risco, como enviar e-mails ou excluir arquivos no Drive.

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControles de API.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique em Gerenciar Serviços do Google.
  3. Na lista, marque as caixas dos serviços ao lado daqueles que você quer gerenciar. Para marcar todas as caixas, marque a caixa Serviço.
  4. (Opcional) Para filtrar essa lista, clique em Adicionar um filtro e selecione um dos seguintes critérios:
    • Serviços do Google: selecione uma opção na lista de serviços e clique em Aplicar.
    • Acesso aos serviços do Google: selecione Irrestrito ou Restrito e clique em Aplicar.
    • Apps permitidos: especifique um intervalo para o número de apps permitidos e clique em Aplicar.
    • Usuários: especifique um intervalo para o número de usuários e clique em Aplicar.
  5. Na parte de cima, clique em Alterar acesso e escolha Não restrito ou Restrito.
    Se você mudar o acesso para "Restrito", os apps já instalados que não forem marcados como confiáveis vão parar de funcionar, e os tokens serão revogados. Se um usuário tentar instalar ou fazer login em um app não definido como confiável que acessa um serviço restrito, vai receber uma notificação de que o app está bloqueado. Restringir o acesso ao serviço do Drive também restringe o acesso à API Google Forms.
    Observação: a lista de apps acessados é atualizada 48 horas depois que um token é concedido ou revogado.
  6. (Opcional) Se você escolheu "Restrito", marque a caixa Para apps não confiáveis, permitir que os usuários concedam acesso a escopos OAuth não classificados como de alto risco para permitir o acesso a escopos OAuth que não são classificados como de alto risco (por exemplo, escopos que permitem que os apps acessem arquivos selecionados pelo usuário no Drive). Essa caixa é exibida para aplicativos como o Gmail e o Drive, mas não para todos os aplicativos.
  7. Clique em Alterar e confirme, se necessário.
  8. (Opcional) Para analisar quais apps têm acesso a um serviço:
    1. Na parte de cima, em Apps acessados, clique em Ver lista.
    2. Clique em Adicionar um filtroe depoisServiços solicitados.
    3. Selecione os serviços que você está verificando e clique em Aplicar.

Restringir o acesso a escopos do OAuth de alto risco

Os apps Gmail, Drive, Documentos e Chat também podem restringir o acesso a uma lista predefinida de escopos do OAuth de alto risco.

Escopos OAuth de alto risco do Gmail

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing

Confira mais detalhes sobre os escopos do Gmail em Escolher escopos da API Gmail.

Escopos do OAuth de alto risco do Drive e Documentos Google

  • https://www.googleapis.com/auth/documents
  • https://www.googleapis.com/auth/documents.readonly
  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.activity
  • https://www.googleapis.com/auth/drive.activity.readonly
  • https://www.googleapis.com/auth/drive.admin
  • https://www.googleapis.com/auth/drive.admin.labels
  • https://www.googleapis.com/auth/drive.admin.labels.readonly
  • https://www.googleapis.com/auth/drive.admin.readonly
  • https://www.googleapis.com/auth/drive.admin.shareddrive
  • https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
  • https://www.googleapis.com/auth/drive.apps
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.categories.readonly
  • https://www.googleapis.com/auth/drive.labels.readonly
  • https://www.googleapis.com/auth/drive.meet.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.photos.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/drive.teams
  • https://www.googleapis.com/auth/forms.body
  • https://www.googleapis.com/auth/forms.body.readonly
  • https://www.googleapis.com/auth/forms.currentonly
  • https://www.googleapis.com/auth/forms.responses.readonly
  • https://www.googleapis.com/auth/presentations
  • https://www.googleapis.com/auth/presentations.readonly
  • https://www.googleapis.com/auth/script.addons.curation
  • https://www.googleapis.com/auth/script.projects
  • https://www.googleapis.com/auth/sites
  • https://www.googleapis.com/auth/sites.readonly
  • https://www.googleapis.com/auth/spreadsheets
  • https://www.googleapis.com/auth/spreadsheets.readonly

Veja mais detalhes sobre os escopos em:

Escopos do OAuth de alto risco do Chat

  • https://www.googleapis.com/auth/chat.delete
  • https://www.googleapis.com/auth/chat.import
  • https://www.googleapis.com/auth/chat.messages
  • https://www.googleapis.com/auth/chat.messages.readonly

Confira mais detalhes sobre os escopos do Chat em Escopos da API Chat.

Gerenciar o acesso de apps aos Serviços do Google e adicionar apps

Para gerenciar o acesso a determinados apps, você pode bloquear ou marcar esses apps como "Confiável", "Dados específicos do Google", "Limitado" ou "Bloqueado":

  • Confiável: o app tem acesso a todos os serviços do Google Workspace (escopos do OAuth), inclusive os restritos. Você pode colocar na lista de permissões apps configurados usando IDs do cliente OAuth para manter o acesso da interface de programação do aplicativo (API) aos serviços do Google Workspace, mesmo quando esses serviços têm políticas de acesso baseado no contexto aplicáveis ao acesso da API.
  • Dados específicos do Google: o app só pode solicitar acesso aos dados dos escopos que você especificou na configuração dele.
  • Limitado: o app só pode acessar serviços não restritos. Você pode mudar a configuração de acesso aos dados de um app na lista de apps ou na página de informações do app.
  • Bloqueado: o app não pode acessar nenhum dado do Google.

Os apps do Google que não são do Workspace podem ser confiáveis, bloqueados ou isentos. Por padrão, a maioria dos apps do Google são confiáveis. No entanto, quando os apps de terceiros e do Google são selecionados, as opções de acesso se limitam a "Confiável" e "Bloqueado".

Ao configurar ou mudar o nível de acesso de um app, a lista de escopos do OAuth inclui todos os escopos que o app já solicitou. Essa lista pode não refletir a configuração atual da sua organização. Para conferir os escopos exatos configurados para um app, aponte para ele e clique em Ver detalhes.

Mudar o acesso na lista de apps

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControles de API.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique em Gerenciar acesso ao app.
  3. Na lista de apps configurados ou acessados, aponte para um app e clique em Alterar acesso. Ou marque as caixas ao lado de vários apps e clique em Alterar acesso na parte de cima da lista.
  4. Selecione as unidades organizacionais para configurar o acesso:
    • Para aplicar a configuração a todos os usuários, deixe a unidade organizacional de nível superior selecionada.
    • Para aplicar a unidades organizacionais específicas, clique em Selecionar unidades organizacionaise depoisIncluir organizações e selecione as unidades organizacionais.
  5. Clique em Próxima.
  6. Escolha uma opção:
    • Confiável: o app acessa todos os Serviços do Google, tanto os restritos quanto os não restritos. Os apps do Google, como o navegador Chrome, são identificados automaticamente como confiáveis e não podem ser configurados como confiáveis.
      (Opcional) Para que os apps selecionados mantenham o acesso da API aos serviços do Google Workspace, mesmo quando eles tiverem políticas de acesso baseado no contexto aplicáveis ao acesso da API, selecione Isentar de bloqueios de acesso à API pelos níveis de Acesso Baseado no Contexto. Essa opção só está disponível para apps da Web, Android ou iOS adicionados usando IDs do cliente OAuth. Selecionar essa opção não isenta automaticamente o app dos bloqueios de acesso por API. Você também precisa isentar o app durante as atribuições de nível do acesso baseado no contexto. Essa isenção se aplica apenas às unidades organizacionais especificadas na etapa 5.
    • Limitado: acessa só os Serviços do Google sem restrições.
    • Dados específicos do Google: o app só pode solicitar acesso aos escopos que você especificou na configuração dele.
      Observação: é necessário incluir os escopos do Login do Google exigidos pelo app para permitir que os usuários façam login com a Conta do Google.
    • Bloqueado: o app não acessa nenhum serviço do Google.
      Se você adicionar um app para dispositivos em uma lista de permissões e também bloquear esse app usando controles de API, ele será bloqueado. O bloqueio do app usando controles de API substitui a posição na lista de permissões.

    Dica: para remover a configuração de um app, use a opção de upload de CSV descrita em Adicionar e configurar apps de terceiros em massa.

  7. Clique em Próxima.
  8. Revise o escopo e a configuração de acesso e clique em Alterar acesso.

Mudar o acesso na página de informações do app

Assista ao vídeo

Mudar o acesso ao app

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControles de API.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique em Gerenciar acesso ao app.
  3. Na lista de apps configurados ou acessados, clique no app cujo acesso você quer mudar.
  4. Clique na seção Acesso aos dados do Google.
  5. Clique no grupo ou na unidade organizacional para definir o acesso aos dados do app. Por padrão, a unidade organizacional mãe é selecionada e a mudança vale para toda a organização.
  6. Selecione um nível de acesso aos dados.
    1. (Opcional) Para aplicar configurações diferentes a grupos ou unidades organizacionais diferentes, escolha uma opção conforme necessário. Por exemplo:
      • Para bloquear o acesso de um app a todos os dados dos seus usuários, selecione a unidade organizacional principal e escolha Bloqueado.
      • Para bloquear o acesso de apps apenas aos dados de alguns usuários, defina o acesso como Confiável na unidade organizacional mãe e Bloqueado na unidade organizacional filha em que esses usuários estão.
  7. Clique em Salvar.

Configurar um novo app

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControles de API.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique em Gerenciar acesso ao app.
  3. Em Apps configurados, clique em Configurar novo app.
  4. Digite o nome do app ou o ID do cliente e clique em Pesquisar.
  5. Clique no app na lista de resultados da pesquisa.
  6. Em Escopo, selecione para quem você quer configurar o acesso:
    1. Por padrão, a unidade organizacional principal é selecionada. Deixe essa opção selecionada para definir o acesso de todos os usuários na organização.
    2. Para configurar o acesso a unidades organizacionais específicas, clique em Selecionar unidades organizacionais e em Incluir organizações para ver as unidades. Marque a caixa de cada unidade organizacional que precisa de acesso e clique em Selecionar.
  7. Clique em Continuar.
  8. Em Acesso aos dados do Google, escolha uma opção:
    • Confiável: o app acessa todos os Serviços do Google, tanto os restritos quanto os não restritos.
      (Opcional) Para que os apps selecionados mantenham o acesso da API aos serviços do Google Workspace, mesmo quando eles tiverem políticas de acesso baseado no contexto aplicáveis ao acesso da API, selecione Isentar de bloqueios de acesso à API pelos níveis de Acesso Baseado no Contexto. Essa opção só está disponível para apps da Web, Android ou iOS adicionados usando IDs do cliente OAuth. Selecionar essa opção não isenta automaticamente o app dos bloqueios de acesso por API. Você também precisa isentar o app durante as atribuições de nível do acesso baseado no contexto. Essa isenção se aplica apenas às unidades organizacionais especificadas para o Escopo.
    • Limitado: só acessa os serviços irrestritos do Google.
    • Dados específicos do Google: o app só pode solicitar acesso aos escopos que você especificou na configuração dele.
      Observação: é necessário incluir os escopos do Login do Google exigidos pelo app para permitir que os usuários façam login com a Conta do Google.
    • Bloqueado: o app não acessa nenhum serviço do Google.
      Se você adicionar um app para dispositivos em uma lista de permissões e também bloquear esse app usando controles de API, ele será bloqueado. O bloqueio com o uso de controles de API substitui a colocação do app na lista de permissões.
  9. Clique em Continuar.
  10. Revise as configurações do novo app e clique em Concluir.

Os usuários precisam permitir que apps da Web sejam adicionados. Você pode ignorar a tela de permissão no Google Workspace Marketplace (somente para apps aprovados) na instalação no domínio.

Escolher configurações para apps não configurados

Os apps que não foram definidos como "Confiáveis", "Limitados", "Dados específicos do Google" ou "Bloqueados" (conforme descrito em Gerenciar o acesso de apps aos Serviços do Google e adicionar apps) são considerados não configurados. É possível controlar o que acontece quando os usuários tentam fazer login em apps não configurados com a Conta do Google.

Assista ao vídeo

Encontrar as configurações

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControles de API.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique em Configurações para expandir o grupo de configurações.
  3. (Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral.
  4. Selecione suas configurações. Acesse Configurações não definidas de apps para saber mais.
  5. Clique em Salvar.
As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Configurações não definidas de apps

Mensagem personalizada para o usuário

Essa é uma mensagem personalizada que os usuários veem quando não conseguem acessar um app bloqueado. Para criar uma mensagem personalizada, selecione Ativado e digite o texto.

Os usuários veem uma mensagem padrão quando não é possível mostrar a personalizada ou ela está desativada.

Apps de terceiros não configurados

Essa configuração controla o que acontece quando os usuários tentam fazer login com a Conta do Google em apps não configurados. Mesmo com essa configuração, os usuários podem acessar apps definidos como "Confiável", "Limitado" ou "Dados específicos do Google".

Escolha uma opção:

  • Permitir que os usuários acessem apps de terceiros (padrão): os usuários podem fazer login com o Google em qualquer app de terceiros. Os apps acessados podem solicitar dados irrestritos do Google para esse usuário.
  • Permitir que os usuários acessem apps de terceiros que solicitam apenas informações básicas necessárias para fazer login com o Google: os usuários podem fazer login com o Google em apps de terceiros que solicitam apenas informações básicas de perfil: o nome da Conta do Google do usuário, endereço de e-mail e foto do perfil.
  • Não permitir que os usuários acessem apps de terceiros: os usuários não poderão fazer login com o Google em apps e sites de terceiros se você não definir uma configuração de acesso para eles. Saiba mais em Gerenciar o acesso de apps de terceiros aos Serviços do Google e adicionar apps.

Edições do Google Workspace for Education: é possível escolher configurações diferentes para usuários maiores e menores de 18 anos. Se você usar essa configuração para bloquear apps de terceiros, poderá permitir que usuários menores de 18 anos peçam acesso a apps bloqueados com a configuração Solicitações de acesso dos usuários a apps não configurados.

Apps internos

Essa opção permite que apps internos criados pela organização acessem APIs restritas do Google Workspace.

Para permitir o acesso de todos os apps internos à API, marque a caixa Confiar em apps internos.

Solicitações de acesso dos usuários a apps não configurados

Com essas configurações, os usuários podem pedir acesso a apps de terceiros não configurados, que os administradores podem analisar e aprovar ou dispensar. As opções disponíveis dependem da sua edição do Workspace.

Edições do Google Workspace for Education

Configurações para usuários maiores de 18 anos: com essas configurações, educadores e usuários maiores de 18 anos podem pedir acesso a apps por conta própria ou em nome de outras pessoas (solicitações de proxy). Por exemplo, um professor pode fazer solicitações de proxy em nome de estudantes. Você pode analisar essas solicitações e conceder ou negar o acesso.

Você recebe uma notificação quando as solicitações são feitas. Você pode definir uma configuração para usuários que pediram acesso por conta própria. No caso das solicitações de proxy, é possível configurar o acesso para usuários em nome de quem a solicitação foi feita.

Para permitir que os usuários peçam acesso para si mesmos, marque a caixa Permitir que os usuários peçam acesso a apps por conta própria.

Para permitir que os usuários façam solicitações de proxy, marque a caixa Permitir que os usuários façam solicitações em nome de outras pessoas (solicitações por proxy).

Observação: compartilhe este link com educadores para que possam fazer solicitações de proxy em nome de outras pessoas.

Configurações para usuários menores de 18 anos: essa opção permite que usuários menores de 18 anos peçam acesso a apps por conta própria.

Para permitir que os usuários peçam acesso a apps para si mesmos, marque a caixa Permitir que os usuários peçam acesso a apps por conta própria.

Para acessar essas configurações, acesse Encontrar as configurações.

Todas as outras edições do Google Workspace

Se você ou outro administrador restringir o acesso a apps não configurados, os usuários poderão solicitar acesso a eles. Para permitir que os usuários solicitem acesso a apps não configurados, marque a caixa Permitir que os usuários solicitem acesso a apps de terceiros não configurados.

Quando um usuário solicita acesso, uma nova entrada é adicionada à lista Apps pendentes de análise na página Controle de acesso de apps do Admin Console. Depois de analisar a lista, você pode permitir ou dispensar a solicitação. Sua escolha é válida para todos os usuários em uma unidade organizacional. Para mais detalhes, acesse Analisar e gerenciar solicitações de acesso de apps de terceiros.

Observação:esse fluxo de solicitação só é acionado por apps que não receberam uma configuração de acesso de um administrador. Se um app configurado tentar acessar um serviço do Google sem permissão, o usuário será bloqueado e não poderá solicitar acesso por esse fluxo.

Limitações conhecidas

  • Nas listas de Controle de acesso aos apps, os apps iOS adicionados usando IDs de pacote da Apple App Store mostram Desconhecido na coluna Propriedade.
  • As informações de escopo do OAuth não são mostradas para apps do Google. Isso é esperado porque os apps do Google podem solicitar escopos internos ao Google.


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.