Zugriff externer und interner Apps auf Google Workspace-Daten verwalten

Wenn Sie mobile Apps für Ihre Organisation verwalten möchten, klicken Sie hier.

Sie können festlegen, wie Apps auf die Google-Daten Ihrer Organisation zugreifen. Mit den Einstellungen in der Admin-Konsole können Sie den Zugriff auf Google Workspace-Dienste über OAuth 2.0 steuern. Einige Apps verwenden OAuth 2.0-Bereiche. Mit diesem Mechanismus wird der Zugriff auf das Konto eines Nutzers eingeschränkt.

Sie können auch die Fehlermeldung anpassen, die Nutzern angezeigt wird, wenn sie versuchen, eine nicht autorisierte App zu installieren.

Hinweis: Bei Google Workspace for Education können zusätzliche Einschränkungen verhindern, dass Nutzer in Bildungseinrichtungen der Primar- und Sekundarstufe auf bestimmte Drittanbieter-Apps zugreifen.

App-Zugriff auf Google-Daten festlegen

Hinweis: Autorisierte Drittanbieter-Apps prüfen

Bevor Sie mit der Zugriffssteuerung arbeiten, sollten Sie sich die Liste mit Apps ansehen, die zum Zugriff auf Google-Daten berechtigt sind. Details zu Drittanbieter-Apps werden normalerweise 24 bis 48 Stunden nach der Autorisierung angezeigt.

  1. Gehen Sie in der Admin-Konsole zum Dreistrichmenü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannAPI-Steuerung.

    Erfordert die Administratorberechtigung „Diensteinstellungen“

    Sie können die Anzahl der konfigurierten Apps und der Apps, die auf Daten zugegriffen haben, einsehen.

    • Konfigurierte Apps sind Apps mit einer Zugriffsrichtlinie („Vertrauenswürdig“, „Eingeschränkt“ oder „Blockiert“). Wenn Sie keine Apps als vertrauenswürdig eingestuft oder blockiert haben, gibt es keine konfigurierten Apps.
    • Aufgerufene Apps sind von Nutzern verwendete Drittanbieter-Apps, die auf Google-Daten zugegriffen haben.
  2. Klicken Sie auf Zugriff von Drittanbieter-Apps verwalten.
    Konfigurierte Apps werden standardmäßig angezeigt. Sie können sich Folgendes ansehen:
    • App name
    • Typ
    • ID
    • Überprüfungsstatus: Bestätigte Apps wurden von Google auf Compliance mit bestimmten Richtlinien geprüft. Viele häufig verwendete Apps wurden allerdings unter Umständen nicht nach diesem Verfahren verifiziert. Weitere Informationen finden Sie unter Was ist eine verifizierte Drittanbieter-App?.
    • Zugriff: Vertrauenswürdig, Eingeschränkt oder Blockiert
  3. Optional: Wenn Sie sich Apps ansehen möchten, auf die zugegriffen wurde, klicken Sie im Abschnitt Apps, auf die zugegriffen wurde auf Liste ansehen.

    Bei Apps, auf die zugegriffen wurde, können Sie sich auch Folgendes ansehen:

    • Nutzer: Gibt die Anzahl der Nutzer an, die auf die App zugreifen.
    • Angeforderte Dienste: Google-Dienst-APIs (OAuth2-Umfang), die von den einzelnen Apps verwendet werden, z. B. Gmail, Google Kalender oder Google Drive. Angeforderte Fremddienste (nicht Google) werden unter Sonstige aufgeführt.
  4. Klicken Sie in der Liste Konfigurierte Apps oder Apps, auf die zugegriffen wurde auf eine App, um Folgendes zu sehen:
    • Verwalten, ob Ihre App auf Google-Dienste zugreifen kann: Prüfen Sie, ob die App als „Vertrauenswürdig“, „Eingeschränkt“ oder „Blockiert“ markiert ist. Wenn Sie die Zugriffskonfiguration ändern, klicken Sie anschließend auf Speichern.
    • Informationen zur App abrufen: Sie können sich die vollständige OAuth2-Client-ID der App, die Anzahl der Nutzer, die Datenschutzerklärung und Supportinformationen ansehen.
    • Von der App angeforderte Google-Dienst-APIs (OAuth-Bereiche) aufrufen: Hier finden Sie eine Liste der von jeder App angeforderten OAuth-Bereiche. Maximieren Sie die Tabellenzeile oder klicken Sie auf Alle maximieren, um alle OAuth-Bereiche einzublenden.
  5. Optional: Wenn Sie die App-Informationen in einer CSV-Datei herunterladen möchten, klicken Sie oben in der Liste Konfigurierte Apps oder Apps, auf die zugegriffen wurde auf Liste herunterladen.
    • Alle Daten in der Tabelle werden heruntergeladen, einschließlich der Daten, die nicht angezeigt wurden.
    • Für die konfigurierten Apps enthält die CSV-Datei diese zusätzlichen Spalten, die in der Tabelle nicht sichtbar sind: Anzahl der Nutzer, angeforderte Dienste und API-Bereiche, die mit jedem Dienst verknüpft sind. Wenn nicht auf eine konfigurierte App zugegriffen wurde, ist die Nutzerzahl null (0) und die anderen beiden Spalten sind leer.

Google unterzieht Drittanbieter-Apps, die auf vertrauliche Kundendaten zugreifen möchten, mehreren Datenschutz- und Sicherheitsprüfungen. Dieser Vorgang wird als App-Überprüfung bezeichnet. Es lässt sich verhindern, dass Nutzer Apps aktivieren, denen Sie nicht vertrauen und die noch nicht überprüft wurden. Wie Sie Apps als vertrauenswürdig einstufen, erfahren Sie weiter unten auf dieser Seite. Weitere Informationen zur App-Überprüfung finden Sie unter Nicht überprüfte Drittanbieter-Apps autorisieren.

Schritt 2: Google-Dienste einschränken oder Einschränkung aufheben

Für die meisten Google Workspace-Dienste können Sie den Zugriff einschränken (oder uneingeschränkt lassen), einschließlich der Dienste von Google Cloud, z. B. maschinelles Lernen. Bei Gmail und Google Drive haben Sie die Möglichkeit, gezielt den Zugriff auf Dienste einzuschränken, die hochriskante Aktionen ermöglichen, z. B. E‑Mails senden oder Dateien in Drive löschen. Nutzer werden aufgefordert, einer App zuzustimmen. Wenn eine App jedoch Zugriff auf einen eingeschränkten Dienst anfordert und Sie die App nicht als vertrauenswürdig eingestuft haben, können Nutzer sie nicht hinzufügen.

  1. Gehen Sie in der Admin-Konsole zum Dreistrichmenü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannAPI-Steuerung.

    Erfordert die Administratorberechtigung „Diensteinstellungen“

  2. Klicken Sie auf Google-Dienste verwalten.
  3. Klicken Sie in der Liste auf die Kästchen der Dienste, die Sie verwalten möchten.
     Klicken Sie das Kästchen Dienst an, um alle Kästchen zu markieren.
  4. Optional: Wenn Sie die Liste filtern möchten, klicken Sie auf Filter hinzufügen und wählen Sie aus den folgenden Kriterien aus:
    • Google-Dienste: Wählen Sie einen Dienst aus der Liste aus, z. B. Drive oder Gmail, und klicken Sie auf Anwenden.
    • Google-Dienste – Zugriff: Wählen Sie Uneingeschränkt oder Eingeschränkt aus und klicken Sie auf Anwenden.
    • Zugelassene Apps: Geben Sie einen Bereich für die Anzahl der zulässigen Apps an und klicken Sie auf Anwenden.
    • Nutzer: Geben Sie einen Bereich für die Anzahl der Nutzer an und klicken Sie auf Anwenden.
  5. Klicken Sie oben auf Zugriff ändern und wählen Sie Uneingeschränkt oder Eingeschränkt aus.
    Wenn Sie den Zugriff auf „Eingeschränkt“ ändern, funktionieren alle zuvor installierten nicht vertrauenswürdigen Apps nicht mehr und Tokens werden widerrufen. Wenn ein Nutzer versucht, eine App mit eingeschränktem Umfang zu installieren, erhält er eine Benachrichtigung, dass das nicht möglich ist. Wenn der Zugriff auf den Drive-Dienst eingeschränkt wird, wird auch der Zugriff auf die Google Forms API eingeschränkt.
    Hinweis: Die Liste der Apps, auf die zugegriffen wurde, wird 48 Stunden nach der Ausstellung oder Aufhebung eines Tokens aktualisiert.
  6. Optional: Wenn Sie Eingeschränkt ausgewählt haben, können Sie das Kästchen Nutzern für Apps, die nicht vertrauenswürdig sind, den Zugriff auf nicht als risikoreich eingestufte OAuth-Umfänge erlauben anklicken, um den Zugriff auf OAuth-Umfänge zu erlauben, die nicht als risikoreich eingestuft werden. Das sind z. B. Umfänge, die es Apps ermöglichen, auf vom Nutzer ausgewählte Dateien in Drive zuzugreifen. Dieses Kästchen wird für Apps wie Gmail und Google Drive angezeigt, aber nicht für alle Apps.
  7. Klicken Sie auf Ändern und bestätigen Sie den Vorgang bei Bedarf.
  8. Optional: So prüfen Sie, welche Apps Zugriff auf einen Dienst haben:
    1. Klicken Sie oben unter Apps, auf die zugegriffen wurde auf Liste ansehen.
    2. Klicken Sie auf Filter hinzufügenund dannAngeforderte Dienste.
    3. Wählen Sie die gewünschten Dienste aus und klicken Sie auf Übernehmen.

Zugriff auf OAuth-Bereiche mit hohem Risiko einschränken

In Gmail und Drive kann auch der Zugriff auf vorab definierte OAuth-Umfänge mit hohem Risiko eingeschränkt werden.

Bei Gmail bergen die folgenden OAuth-Umfänge ein hohes Risiko:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    Weitere Informationen zu Gmail-Umfängen finden Sie unter Auth-Bereiche auswählen.

Bei Drive bergen die folgenden OAuth-Umfänge ein hohes Risiko:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Weitere Informationen zu Drive-Bereichen finden Sie unter API-spezifische Autorisierungs- und Authentifizierungsinformationen .

Schritt 3: Zugriff von Drittanbieter-Apps auf Google-Dienste verwalten und Apps hinzufügen

Sie können den Zugriff auf bestimmte Apps verwalten, indem Sie diese blockieren, als vertrauenswürdig kennzeichnen oder den Zugriff nur für uneingeschränkte Google-Dienste gewähren. Eine vertrauenswürdige App hat Zugriff auf alle Google Workspace-Dienste (OAuth-Umfänge), auch auf eingeschränkte Dienste. Apps, denen Sie nicht vertrauen, können nur auf Dienste zugreifen, bei denen keine Einschränkungen gelten.

  1. Gehen Sie in der Admin-Konsole zum Dreistrichmenü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannAPI-Steuerung.

    Erfordert die Administratorberechtigung „Diensteinstellungen“

  2. Klicken Sie unter App-Zugriffssteuerung auf Zugriff von Drittanbieter-Apps verwalten.
  3. Klicken Sie unter Konfigurierte Apps auf Liste ansehen.
  4. Optional: Wenn Sie die Liste filtern möchten, klicken Sie auf Filter hinzufügen und wählen Sie eine Option aus:
    • App-Name: Geben Sie den Namen der App ein und klicken Sie auf Anwenden.
    • Typ: Wählen Sie Webanwendung, iOS oder Android aus und klicken Sie auf Anwenden.
    • ID: Geben Sie die App-ID ein und klicken Sie auf Übernehmen.
    • Überprüfungsstatus: Wählen Sie Von Google verifiziert aus und klicken Sie auf Übernehmen, um von Google geprüfte Apps, die bestimmte Richtlinien erfüllen, zu prüfen. Weitere Informationen finden Sie unter Was ist eine verifizierte Drittanbieter-App?
    • Zugriff: Klicken Sie auf das Kästchen Vertrauenswürdig oder Blockiert und dann auf Übernehmen.
  5. Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf Zugriff ändern. Alternativ können Sie auch die Kästchen neben mehreren Apps anklicken und dann oben auf Zugriff ändern klicken. Sie können alle domaineigenen Apps als vertrauenswürdig einstufen oder sie blockieren, sodass sie nicht auf Google Workspace-Dienste zugreifen können.
  6. Wählen Sie eine Option aus:
    • Vertrauenswürdig: Wenn Sie eine App als vertrauenswürdig einstufen, hat das Vorrang vor Diensteinschränkungen. Apps von Google, wie z. B. der Chrome-Browser, werden automatisch als vertrauenswürdig eingestuft und können nicht als vertrauenswürdige Apps konfiguriert werden.
    • Eingeschränkt: Nur Zugriff auf nicht eingeschränkte Google-Dienste
    • Blockiert: Kein Zugriff auf Google-Dienste.
      Wenn Sie eine App für Geräte auf die Zulassungsliste setzen und diese App über API-Steuerelemente blockieren, wird die App blockiert. Die Sperrung der App mit API-Steuerelementen hat Vorrang vor der Platzierung auf der Zulassungsliste.
  7. Klicken Sie auf Ändern.

Neue App hinzufügen

  1. Klicken Sie unter App-Zugriffssteuerung auf Zugriff von Drittanbieter-Apps verwalten.
  2. Klicken Sie unter Konfigurierte Apps auf App hinzufügen.
  3. Wählen Sie OAuth-App-Name oder Client-ID, Android oder iOS aus.
  4. Geben Sie den Namen oder die Client-ID der App ein und klicken Sie auf Suchen.
  5. Bewegen Sie den Mauszeiger auf die App und klicken Sie auf Auswählen.
  6. Klicken Sie die Kästchen neben den Client-IDs an, die Sie konfigurieren möchten, und klicken Sie dann auf Auswählen.
  7. Wählen Sie Vertrauenswürdig oder Blockiert aus und klicken Sie auf Konfigurieren.

Nutzer werden aufgefordert, zuzustimmen, wenn Web-Apps hinzugefügt werden. Im Google Workspace Marketplace können Sie den Genehmigungsbildschirm während der Domaininstallation für genehmigte Apps jedoch überspringen.

Meldung für eine nicht autorisierte App anpassen

  1. Gehen Sie in der Admin-Konsole zum Dreistrichmenü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannAPI-Steuerung.

    Erfordert die Administratorberechtigung „Diensteinstellungen“

  2. Klicken Sie auf die Karte Einstellungen.
  3. Klicken Sie auf Nutzernachricht.
  4. Aktivieren Sie die Nutzernachricht.
  5. Geben Sie die gewünschte Nutzernachricht in das Nachrichtenfeld ein.
  6. Klicken Sie auf Speichern.

Schritt 4: API-Zugriff steuern

Alle Zugriffe durch Drittanbieter-APIs blockieren

Sie können den Zugriff für alle Drittanbieter-APIs blockieren, sodass bei Anfragen von Drittanbieter-Apps und ‑Websites der Zugriff auf Nutzerdaten verweigert wird. Mit dieser Einstellung werden alle OAuth-Umfänge blockiert, auch Anmeldeumfänge. Das bedeutet, dass Nutzer sich nicht mehr über Google bei Drittanbieter-Apps und ‑Websites anmelden können.

  1. Gehen Sie in der Admin-Konsole zum Dreistrichmenü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannAPI-Steuerung.

    Erfordert die Administratorberechtigung „Diensteinstellungen“

  2. Klicken Sie auf die Karte Einstellungen.
  3. Klicken Sie auf Nicht konfigurierte Drittanbieter-Apps.
  4. Wählen Sie je nach Workspace-Version eine der folgenden Optionen aus:
    • Education-Versionen: Aktivieren Sie Nutzern nicht erlauben, mit ihrem Konto auf Drittanbieter-Apps zuzugreifen.
    • Andere Workspace-Versionen: Wählen Sie Nutzer dürfen nicht auf Drittanbieter-Apps zugreifen aus.
  5. Klicken Sie auf Speichern.

Einige Einstellungen überschreiben API-Einstellungen. Nutzer können beispielsweise weiterhin auf Apps zugreifen, deren Zugriff als „Vertrauenswürdig“ oder „Eingeschränkt“ festgelegt wurde, auch wenn Sie das Kästchen Alle Zugriffe durch Drittanbieter-APIs blockieren aktivieren.

Zugriff auf Drittanbieter-Apps erlauben, für die nur Google Log-in erforderlich ist

Verwenden Sie diese Option, wenn Sie Ihren Nutzern den Zugriff auf Drittanbieter-Apps erlauben möchten, die keine Google-Daten außer Anmeldeinformationen für Google Log-in (z. B. E-Mail-Adresse) anfordern.

Hinweis:Diese Option ist in Workspace Education-Versionen nicht verfügbar.

  1. Klicken Sie unter API-Steuerelemente auf die Karte Einstellungen.
  2. Klicken Sie auf Nicht konfigurierte Drittanbieter-Apps.
  3. Wählen Sie Nutzer dürfen auf Drittanbieter-Apps zugreifen, die ausschließlich Anmeldeinformationen für Google Log-in anfordern aus.
  4. Klicken Sie auf Speichern.

Internen Apps den Zugriff auf eingeschränkte Google Workspace APIs erlauben

Wenn Sie interne Apps erstellen, die Ihrer Organisation gehören, können Sie sie gemeinsam als vertrauenswürdig einstufen und ihnen so Zugriff auf eingeschränkte Google Workspace-APIs gewähren. So müssen Sie nicht alle einzeln als vertrauenswürdig einstufen.

  1. Klicken Sie unter API-Steuerelemente auf die Karte Einstellungen.
  2. Klicken Sie auf Interne Apps.
  3. Klicken Sie das Kästchen Interne Apps als vertrauenswürdig einstufen an.