如需管理贵组织的移动应用,请点击此处。
如果用户通过自己的 Google 账号登录应用,您可以控制这些应用如何访问您组织的数据。您可以使用 Google 管理控制台中的 OAuth 2.0 设置来管理 3 种类型的应用:
- Google 自有应用 - 由 Google 开发的应用
- 内部应用 - 由贵组织开发的应用
- 第三方应用 - 并非由 Google 或贵组织创建或拥有的应用
部分应用使用的是 OAuth 2.0 范围,这种机制可以限制对用户账号的访问权限。此外,您还可以自定义消息,在用户尝试安装未经授权的应用时向其显示。
注意:对于 Google Workspace 教育版,可能有其他限制会阻止中小学校的用户访问某些应用。
本页内容
准备工作:检查贵组织的应用
在“应用访问权限控制”中,您可以检查以下类型的应用:
- 已配置的应用 - 已配置访问权限设置(“受信任”“受限”“特定 Google 数据”或“已屏蔽”)的应用。
- 访问过数据的应用 - 访问过 Google 数据的应用。
- 待审核的应用 - 用户已申请访问的应用。
应用的详细信息通常会在授权后的 24 - 48 小时内显示。
-
在 Google 管理控制台中,依次前往“菜单”图标
安全性访问权限和数据控件API 控件。需要拥有“服务设置”管理员权限。
点击管理应用访问权限即可查看您已配置的应用。如需过滤应用列表,请点击添加过滤条件,然后选择一个选项。
应用列表会显示各应用的应用名称、类型和 ID 以及如下信息:
- 验证状态 - 经过验证的应用都已通过 Google 审核。Google 通过审核来确保应用符合特定政策。许多广为人知的应用可能并未以此种方式经过验证。有关详情,请参阅什么是已经过验证的第三方应用?
访问权限 - 显示哪些组织单位已为应用配置访问政策。将光标指向某个应用,然后点击查看详细信息即可查看访问权限级别(“受信任”“受限”“特定 Google 数据”或“已屏蔽”)。
如果您先将访问权限政策应用于某个组织部门,然后将另一项政策应用于整个组织,那么第一项政策对该组织部门仍然有效。
所有权 - 显示应用是第三方应用、内部应用还是 Google 自有应用。
已经过 Google 验证的徽章 - 内部应用和第三方应用若已完成 OAuth 应用验证流程,则会显示此徽章。
如需查看访问过数据的应用,请在访问过数据的应用部分中点击查看列表。
对于访问过数据的应用,您还可以查看:
- 用户 - 访问应用的用户数量。
- 请求的服务 - 各应用当前正在使用的 Google 服务 API(OAuth2 范围),如 Gmail、日历或 Google 云端硬盘。非 Google 请求的服务会列为其他。
在已配置的应用或访问过数据的应用列表中,点击应用可访问以下选项:
- 管理您的应用是否可以访问 Google 服务 - 显示该应用是被标记为“受信任”“受限”“特定 Google 数据”还是“已屏蔽”。如果您更改了访问权限配置,请点击保存。
- 查看应用的相关信息 - 显示该应用的完整 OAuth2 客户端 ID、用户数量、隐私权政策和支持信息。
- 查看应用请求的 Google 服务 API(OAuth 范围)- 提供各应用请求的 OAuth 范围列表。如需查看各个 OAuth 范围,请展开表格中的相应行或点击全部展开。
注意:对于 Google 自有应用,不显示 OAuth 范围。
(可选)如需将应用信息下载到 CSV 文件中,请点击已配置的应用或访问过数据的应用列表顶部的下载列表。
- 系统会下载表格中的全部数据(包括未显示的数据)。
- 对于已配置的应用,CSV 文件中包含以下额外的列:验证状态、用户数量、组织部门、请求的服务、与每项服务关联的 API 范围。如果已配置的应用未被访问过,其用户数将为零 (0),另外两列留空。
- 对于访问过数据的应用,CSV 文件中包含以下额外的列:验证状态、组织部门、与每项服务关联的 API 范围。
应用验证是 Google 的一项举措,旨在确保要访问敏感客户数据的第三方应用通过安全和隐私权检查。用户可能会被禁止激活您不信任的、未经验证的应用(请参阅本页下文,详细了解如何信任应用)。如需了解详情,请参阅授权未经验证的第三方应用。
限制或取消限制 Google 服务
您可以限制(或不限制)内部应用和第三方应用对大多数 Google Workspace 服务(包括机器学习一类的 Google Cloud 服务)的访问权限。各选项的含义如下:
- 受限 - 只有访问权限设置配置为“受信任”或“特定 Google 数据”的内部应用和第三方应用才能访问数据。
- 不受限 - 只有访问权限设置配置为“受信任”“受限”或“特定 Google 数据”的内部应用和第三方应用才能访问管理员配置的权限范围,无论该权限范围的数据访问权限是“受限”还是“不受限”,情况都是如此。
例如,如果您将日历访问权限设为“受限”,则只有访问权限设置配置为“受信任”或“特定 Google 数据”的内部应用和第三方应用才能访问日历数据。访问权限设置配置为“受限”的内部应用和第三方应用无法访问日历数据。
注意:对于 Gmail、Google 云端硬盘和 Google Chat,您可以专门限制对高风险权限范围(例如发送邮件或删除云端硬盘中的文件)的访问权限。
-
在 Google 管理控制台中,依次前往“菜单”图标
安全性访问权限和数据控件API 控件。需要拥有“服务设置”管理员权限。
- 点击管理 Google 服务。
- 在服务列表中,勾选您要管理的服务所对应的复选框。如需勾选所有复选框,请勾选服务复选框。
- (可选)如需过滤此列表,请点击添加过滤条件,然后从以下条件中进行选择:
- Google 服务 - 从服务列表中进行选择,然后点击应用。
- Google 服务访问权限 - 选择无限制或受限,然后点击应用。
- 允许的应用数 - 指定允许的应用数量范围,然后点击应用。
- 用户数 - 指定用户数量范围,然后点击应用。
- 点击顶部的更改访问权限,然后选择不受限或受限。
如果您将访问权限更改为“受限”,则之前安装的任何不受信任的应用都会停止运行,且令牌会被撤消。如果用户尝试安装(或登录)不受信任并访问受限服务的应用,系统会通知用户该应用已被屏蔽。如果限制对云端硬盘服务的访问权限,那么对 Google Form API 的访问权限也会受到限制。
注意:系统会在授予或撤销令牌后的 48 小时内更新访问过数据的应用列表。 - (可选)如果您选择了“受限”,则可以勾选对于不受信任的应用,允许用户授权其访问未被归类为高风险的 OAuth 范围复选框,以允许访问未被归类为高风险的 OAuth 范围(例如,允许应用访问用户所选云端硬盘文件的范围)。(对于 Gmail 和云端硬盘之类的应用,会显示此复选框;对于其他一些应用,则不显示)。
- 点击更改并按需进行确认。
- (可选)如需查看哪些应用可以访问某项服务,请执行以下操作:
- 在顶部的进行过访问的应用部分,点击查看列表。
- 依次点击添加过滤条件请求的服务。
- 选择您要查看的服务,然后点击应用。
限制对高风险 OAuth 范围的访问权限
Gmail、Google 云端硬盘、Google 文档和 Google Chat 还可以限制对预定义的一系列高风险 OAuth 范围的访问权限。
Gmail 高风险 OAuth 范围
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
如需详细了解 Gmail 范围,请参阅选择 Gmail API 范围。
Google 云端硬盘和 Google 文档的高风险 OAuth 范围
- https://www.googleapis.com/auth/documents
- https://www.googleapis.com/auth/documents.readonly
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.activity
- https://www.googleapis.com/auth/drive.activity.readonly
- https://www.googleapis.com/auth/drive.admin
- https://www.googleapis.com/auth/drive.admin.labels
- https://www.googleapis.com/auth/drive.admin.labels.readonly
- https://www.googleapis.com/auth/drive.admin.readonly
- https://www.googleapis.com/auth/drive.admin.shareddrive
- https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
- https://www.googleapis.com/auth/drive.apps
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.categories.readonly
- https://www.googleapis.com/auth/drive.labels.readonly
- https://www.googleapis.com/auth/drive.meet.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.photos.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/drive.teams
- https://www.googleapis.com/auth/forms.body
- https://www.googleapis.com/auth/forms.body.readonly
- https://www.googleapis.com/auth/forms.currentonly
- https://www.googleapis.com/auth/forms.responses.readonly
- https://www.googleapis.com/auth/presentations
- https://www.googleapis.com/auth/presentations.readonly
- https://www.googleapis.com/auth/script.addons.curation
- https://www.googleapis.com/auth/script.projects
- https://www.googleapis.com/auth/sites
- https://www.googleapis.com/auth/sites.readonly
- https://www.googleapis.com/auth/spreadsheets
- https://www.googleapis.com/auth/spreadsheets.readonly
如需详细了解范围,请参阅:
Google Chat 的高风险 OAuth 范围
- https://www.googleapis.com/auth/chat.delete
- https://www.googleapis.com/auth/chat.import
- https://www.googleapis.com/auth/chat.messages
- https://www.googleapis.com/auth/chat.messages.readonly
如需详细了解 Chat 范围,请参阅 Chat API 范围。
管理应用对 Google 服务的访问权限并添加应用
通过屏蔽特定应用、将应用标记为“受信任”“特定 Google 数据”“受限”或“已屏蔽”,您可以管理对这些应用的访问权限:
- 受信任 - 应用可以访问所有 Google Workspace 服务(OAuth 范围),包括受限的服务。您可以使用 OAuth 客户端 ID 将配置的应用列入许可名单,以保留应用编程接口 (API) 对 Google Workspace 服务的访问权限,即使在这些服务具有适用于 API 访问权限的情境感知访问权限政策时也是如此。
- 特定 Google 数据 - 只能请求访问您在配置应用时指定的范围内的数据。
- 受限 - 应用只能访问不受限的服务。您可以通过应用列表或应用信息页面更改应用的数据访问权限设置。
- 已屏蔽 - 应用无法访问任何 Google 数据。
不属于 Google Workspace 应用的 Google 自有应用可以设为“受信任”“已屏蔽”或“已豁免”。默认情况下,大多数 Google 自有应用都设置为“受信任”。不过,如果同时选择第三方应用和 Google 自有应用,访问权限选项则只有“受信任”和“已屏蔽”。
配置或更改应用的访问权限级别时,OAuth 范围列表会包含应用曾经请求过的所有范围。此列表可能无法反映贵组织的当前配置。如需查看为应用配置的确切范围,请将光标指向相应应用,然后点击查看详情。
通过应用列表更改访问权限
-
在 Google 管理控制台中,依次前往“菜单”图标
安全性访问权限和数据控件API 控件。需要拥有“服务设置”管理员权限。
- 点击管理应用访问权限。
- 在已配置的应用列表或访问过的应用列表中,将鼠标指向某个应用,然后点击更改访问权限。您也可以勾选多个应用旁边的复选框,然后点击列表顶部的更改访问权限。
- 选择要配置访问权限的组织部门:
- 如要将设置应用于所有用户,请将顶级组织部门保持为已选中状态。
- 如要将其应用于特定组织部门,请点击选择组织部门包括组织,然后选择特定组织部门。
- 点击下一步。
- 根据需要选择操作步骤:
- 受信任 - 可以访问所有 Google 服务(受限和不受限)。Google 自有应用(例如 Chrome 浏览器)会自动获得信任,无法配置为受信任的应用。
(可选)要让所选应用保留对 Google Workspace 服务的 API 访问权限(即使这些服务具有适用于 API 访问权限的情境感知访问权限政策),请选择免于按情境感知访问权限级别屏蔽 API 访问。此选项仅适用于使用 OAuth 客户端 ID 添加的 Web、Android 或 iOS 应用。选择此选项并不会自动使应用不受 API 访问权限的约束。此外,您还需要在分配情境感知访问权限级别时豁免相应应用。此豁免仅适用于您在第 5 步中指定的组织部门。 - 受限:只能访问不受限的 Google 服务。
- 特定 Google 数据 - 只能请求访问您在配置应用时指定的范围内的数据。
注意:您必须添加应用所需的 Google 登录范围,以允许用户使用其 Google 账号进行登录。 - 已屏蔽 - 无法访问任何 Google 服务。
如果您将某个应用列入了设备的许可名单,但同时使用 API 控件屏蔽了该应用,则系统会屏蔽该应用。通过 API 控件屏蔽应用的操作会覆盖将应用列入许可名单的操作。
提示:如需取消配置应用,请使用批量添加和配置第三方应用中所述的 CSV 上传选项。
- 受信任 - 可以访问所有 Google 服务(受限和不受限)。Google 自有应用(例如 Chrome 浏览器)会自动获得信任,无法配置为受信任的应用。
- 点击下一步。
- 检查范围和访问权限设置,然后点击更改访问权限。
通过应用信息页面更改访问权限
观看视频
更改应用访问权限
-
在 Google 管理控制台中,依次前往“菜单”图标
安全性访问权限和数据控件API 控件。需要拥有“服务设置”管理员权限。
- 点击管理应用访问权限。
- 在已配置的应用列表或访问过的应用列表中,点击您想更改访问权限的应用。
- 点击对 Google 数据的访问权限部分。
- 点击要为相应应用设置数据访问权限的群组或组织部门。默认情况下,系统会选中顶级组织部门,相应更改会应用于整个组织。
- 选择数据访问权限级别。
- (可选)如需为不同的群组或组织部门应用不同的设置,请根据需要选择相应选项。例如:
- 如要禁止某个应用访问您所有用户的数据,请选择您的顶级组织部门,然后选择已屏蔽。
- 如需仅禁止部分用户访问数据,请将访问权限设置为受信任(对于顶级组织部门)和已屏蔽(对于包括这些用户的下级组织部门)。
- (可选)如需为不同的群组或组织部门应用不同的设置,请根据需要选择相应选项。例如:
- 点击保存。
配置新应用
-
在 Google 管理控制台中,依次前往“菜单”图标
安全性访问权限和数据控件API 控件。需要拥有“服务设置”管理员权限。
- 点击管理应用访问权限。
- 在已配置的应用部分,点击配置新应用。
- 输入应用的名称或客户端 ID,然后点击搜索。
- 点击搜索结果列表中的相应应用。
- 在范围部分,选择要为哪些对象配置访问权限:
- 默认情况下,系统会选中顶级组织部门。选中此选项即可为贵组织中的所有用户设置访问权限。
- 如需为特定组织部门配置访问权限,请点击选择组织部门,然后点击包含组织以查看您的组织部门。勾选需要访问权限的每个组织部门对应的复选框,然后点击选择。
- 点击继续。
- 在对 Google 数据的访问权限中,选择一个选项:
- 受信任 - 可以访问所有 Google 服务(受限和不受限)。
(可选)要让所选应用保留对 Workspace 服务的 API 访问权限(即使这些服务具有适用于 API 访问权限的情境感知访问权限政策),请选择免于按情境感知访问权限级别屏蔽 API 访问。此选项仅适用于使用 OAuth 客户端 ID 添加的 Web、Android 或 iOS 应用。选择此选项并不会自动使应用免于 API 访问阻止。此外,您还需要在分配情境感知访问权限级别时豁免相应应用。此豁免仅适用于您为范围指定的组织部门。 - 受限:只能访问不受限的 Google 服务。
- 特定 Google 数据 - 只能请求访问您在配置应用时指定的范围内的数据。
注意:您必须添加应用所需的 Google 登录范围,以允许用户使用其 Google 账号进行登录。 - 已屏蔽 - 无法访问任何 Google 服务。
如果您将某个应用列入了设备的许可名单,但同时使用 API 控件屏蔽了该应用,则系统会屏蔽该应用。通过 API 控件屏蔽应用的操作会覆盖将应用列入许可名单的操作。
- 受信任 - 可以访问所有 Google 服务(受限和不受限)。
- 点击继续。
- 检查新应用的设置,然后点击完成。
系统会提示用户同意添加 Web 应用。在 Google Workspace Marketplace 中,您可以通过网域安装绕过同意页面,前提是相应应用已获批准。
为未配置的应用选择设置
您未配置为“受信任”“受限”“特定 Google 数据”或“已屏蔽”的应用(如管理应用对 Google 服务的访问权限并添加应用中所述)会被视为未配置的应用。您可以控制在用户尝试使用其 Google 账号登录未配置的应用时,系统会如何处理。
观看视频
查找设置
-
在 Google 管理控制台中,依次前往“菜单”图标
安全性访问权限和数据控件API 控件。需要拥有“服务设置”管理员权限。
- 点击设置以展开设置部分。
- (可选)如要将设置应用于某个部门或团队,请在侧边选择一个组织部门。
- 选择您的设置。如需了解详情,请参阅未配置的应用设置。
- 点击保存。
未配置的应用设置
自定义用户消息
这是在用户无法访问被屏蔽的应用时显示的一条自定义消息。如需创建自定义消息,请选择开启,然后输入消息。
如果自定义消息处于关闭状态或无法显示,则用户会看到默认消息。
未配置的第三方应用
此设置用于控制在用户尝试使用其 Google 账号登录未配置的应用时,系统会如何处理。无论此设置是什么,用户仍可访问配置了“受信任”“受限”或“特定 Google 数据”访问权限的应用。
选择一个选项:
- 允许用户访问任何第三方应用(默认选项)- 用户可以使用 Google 账号登录任何第三方应用。访问过数据的应用可以为该用户请求不受限的 Google 数据。
- 允许用户使用那些只请求访问“使用 Google 账号登录”功能所需的基本信息的第三方应用 - 用户可以使用 Google 账号登录仅请求基本个人资料信息(用户的 Google 账号名称、电子邮件地址和个人资料照片)的第三方应用。
- 不允许用户访问任何第三方应用 - 除非您为第三方应用和网站配置访问权限设置,否则用户将无法使用 Google 账号登录任何此类第三方应用和网站。如需了解详情,请参阅管理第三方应用对 Google 服务的访问权限并添加应用。
Google Workspace 教育版:您可以为年满 18 周岁和未满 18 周岁的用户选择不同的设置。如果您使用此设置屏蔽第三方应用,则可以通过用户请求访问未配置的应用设置允许未满 18 周岁的用户请求访问被屏蔽的应用。
内部应用
此设置允许贵组织构建的内部应用访问受限的 Google Workspace API。
如需允许所有内部应用访问 API,请勾选信任内部应用复选框。
用户请求访问未配置的应用
通过这些设置,用户可以请求访问未配置的第三方应用,然后管理员可以审核并批准或拒绝这些请求。可用的选项取决于您的 Workspace 版本。
Google Workspace 教育版
针对年满 18 周岁用户的设置 - 这些设置允许教育工作者和年满 18 周岁的用户为自己或代表他人(代理请求)请求应用访问权限。例如,教师可以代表学生发出代理请求。您可以查看这些请求,并授予或拒绝访问权限。
系统会在有人发出请求时通知您。您可以为以下用户配置访问权限:为自己请求访问权限的用户,对于代理请求,您可以为请求所代表的用户配置访问权限。
如需允许用户为自己请求访问权限,请勾选允许用户为自己请求应用访问权限复选框。
如需允许用户发出代理请求,请勾选允许用户代表其他用户发出请求(代理请求)复选框。
注意:请与教育工作者分享此链接,让他们能够代表他人发出代理请求。
针对未满 18 周岁用户的设置 - 此设置允许未满 18 周岁的用户为自己请求应用访问权限。
如需允许用户为自己请求应用访问权限,请勾选允许用户为自己请求应用访问权限复选框。
如需访问这些设置,请参阅查找设置。
所有其他 Google Workspace 版本
如果您或其他管理员限制对未配置应用的访问权限,用户可以请求访问这些应用。如需允许用户请求访问未配置的应用,请勾选允许用户请求访问未配置的第三方应用复选框。
当用户请求访问权限时,管理控制台的应用访问权限控制页面上的待审核的应用列表中会添加一个新条目。查看列表后,您可以选择允许或拒绝相应请求。请注意,您的选择会应用于组织部门中的所有用户。如需了解详情,请参阅查看和管理第三方应用的访问权限请求。
注意:只有尚未被管理员分配访问权限设置的应用才会触发此请求流。如果已配置的应用尝试访问其无权访问的 Google 服务,则用户会被阻止,并且无法通过此流程请求访问权限。
已知限制
- 在应用访问权限控制列表中,使用 Apple App Store 软件包 ID 添加的 iOS 应用目前在所有权列中显示未知。
- Google 自有应用不会显示 OAuth 范围信息。这是预期行为,因为 Google 自有应用可以请求 Google 内部的权限范围。
相关主题
- Google API 的 OAuth 2.0 范围
- 应用进行 OAuth 验证前的准备工作提示(Google Developers 博客)
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。