Controla qué aplicaciones internas y de terceros acceden a los datos de Google Workspace

Para administrar las apps para dispositivos móviles de tu organización, ve aquí.

Puedes controlar cómo las apps acceden a los datos de Google de tu organización. Para ello, usa la configuración de la Consola del administrador de Google para controlar el acceso a los servicios de Google Workspace a través de OAuth 2.0. Algunas apps usan permisos de OAuth 2.0, un mecanismo para limitar el acceso a la cuenta de un usuario.

También puedes personalizar el mensaje de error que ven los usuarios cuando intentan instalar una app no autorizada.

Nota: En Google Workspace for Education, es posible que haya restricciones adicionales que impidan que los usuarios de instituciones primarias y secundarias accedan a ciertas apps de terceros.

Controla el acceso de las apps a los datos de Google

Antes de comenzar: Revisa las apps de terceros autorizadas

Antes de implementar los controles, revisa la lista de apps que se autorizaron para acceder a los datos de Google. Por lo general, los detalles sobre las apps de terceros aparecen entre 24 y 48 horas después de la autorización.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Control de acceso y datos y luego Controles de API.

    Es necesario tener el privilegio de administrador de la configuración del servicio.

    Puedes revisar la cantidad de apps configuradas y a las que se accedió.

    • Las apps configuradas son aquellas que tienen una política de acceso (de confianza, limitada o bloqueada). Si no marcaste ninguna app como de confianza ni bloqueaste ninguna, verás cero (0) apps configuradas.
    • Las apps a las que se accedió son apps de terceros que usan los usuarios y que accedieron a datos de Google.
  2. Haz clic en Administra el acceso a apps de terceros.
    De forma predeterminada, se muestran las apps configuradas. Puedes revisar lo siguiente:
    • Nombre de la app
    • Tipo
    • ID
    • Estado verificado: Google revisó las apps verificadas para garantizar que cumplan con ciertas políticas. Es posible que muchas apps reconocidas no se hayan verificado de este modo. Para obtener más detalles, consulta ¿Qué es una app de terceros verificada?
    • Acceso: Especifica Confiable, Limitado o Bloqueado.
  3. (Opcional) Para ver las apps a las que se accedió, en la sección Apps a las que se accedió, haz clic en Ver lista.

    En Apps a las que se accedió, también puedes revisar lo siguiente:

    • Usuarios : La cantidad de usuarios que acceden a la app
    • Servicios solicitados: Las APIs de los servicios de Google (permisos de OAuth2) que utiliza cada app (por ejemplo, Gmail, Calendario de Google o Google Drive) Los servicios solicitados que no son de Google se muestran como Otros.
  4. En la lista Apps configuradas o Apps a las que se accedió, haz clic en una app para revisar lo siguiente:
    • Determina si tu app puede acceder a los servicios de Google : Revisa si la app está marcada como Confiable, Limitada o Bloqueada. Si cambias la configuración de acceso, haz clic en Guardar.
    • Ver información sobre la app: Consulta el ID de cliente de OAuth2 completo de la app, la cantidad de usuarios, la política de privacidad y la información de asistencia.
    • Ver las APIs de los servicios de Google (permisos de OAuth) que solicita la app: Consulta una lista de los permisos de OAuth que solicita cada app. Para ver cada uno de los permisos de OAuth, expande la fila de la tabla o haz clic en Expandir todo.
  5. (Opcional) Para descargar la información de la app en un archivo CSV, en la parte superior de la lista Apps configuradas o Apps a las que se accedió, haz clic en Descargar lista.
    • Se descargan todos los datos de la tabla (incluidos los datos que no se muestran).
    • En el caso de las apps configuradas, el archivo CSV contiene columnas adicionales que no son visibles en la tabla: Cantidad de usuarios, Servicios solicitados y Permisos de API asociados con cada servicio. Si no se accedió a una app configurada, la cantidad de usuarios de esa app mostrará cero (0) y las otras 2 columnas estarán en blanco.

La verificación de apps es el programa de Google para garantizar que las apps de terceros que acceden a datos sensibles de los clientes pasen las verificaciones de seguridad y privacidad. Es posible que los usuarios no puedan activar apps no verificadas en las que no confías (consulta los detalles para marcar apps como de confianza más abajo en esta página). Para obtener más información sobre la verificación de apps, consulta Cómo autorizar aplicaciones de terceros no verificadas.

Paso 2: Restringe o deja sin restricciones los servicios de Google

Puedes restringir o dejar sin restricciones el acceso a la mayoría de los servicios de Google Workspace, incluidos los servicios de Google Cloud, como el aprendizaje automático. En el caso de Gmail y Google Drive, puedes restringir específicamente el acceso a servicios de alto riesgo, por ejemplo, enviar correos electrónicos o borrar archivos en Drive. Si bien se les solicita a los usuarios que den su consentimiento para usar las apps, si una app solicita acceso a un servicio restringido y no la marcaste específicamente como de confianza, los usuarios no podrán agregarla.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Control de acceso y datos y luego Controles de API.

    Es necesario tener el privilegio de administrador de la configuración del servicio.

  2. Haz clic en Administrar servicios de Google.
  3. En la lista de servicios, marca las casillas junto a los servicios que quieras administrar.
    Marca la casilla Servicio para marcar todas las casillas.
  4. (Opcional) Para filtrar esta lista, haz clic en Agregar un filtro y selecciona uno de los siguientes criterios:
    • Servicios de Google: Selecciona un servicio de la lista, como Drive o Gmail, y haz clic en Aplicar.
    • Acceso a los servicios de Google: Selecciona Sin restricciones o Restringido y haz clic en Aplicar.
    • Apps permitidas: Especifica un rango para la cantidad de apps permitidas y haz clic en Aplicar.
    • Usuarios : Especifica un rango para la cantidad de usuarios y haz clic en Aplicar.
  5. En la parte superior, haz clic en Cambiar acceso y elige Sin restricciones o Restringido.
    Si cambias el acceso a Restringido, las apps instaladas anteriormente que no marcaste como de confianza dejarán de funcionar y se revocarán los tokens. Cuando un usuario intenta instalar una app que tiene un permiso restringido, se le notifica que está bloqueada. Si restringes el acceso al servicio de Drive, también restringes el acceso a la API de Formularios de Google.
    Nota: La lista de apps a las que se accedió se actualiza 48 horas después de que se otorga o revoca un token.
  6. (Opcional) Si elegiste Restringido, marca la casilla En el caso de apps que no son de confianza, permite que los usuarios otorguen acceso a los permisos de OAuth que no estén clasificados como de alto riesgo para permitir el acceso a los permisos de OAuth que no estén clasificados como de alto riesgo (por ejemplo, los permisos que permiten que las apps accedan a archivos de Drive seleccionados por los usuarios). (Esta casilla de verificación aparecerá para apps como Gmail y Drive, pero no para todas las apps).
  7. Haz clic en Cambiar y confirma si es necesario.
  8. (Opcional) Para revisar qué apps tienen acceso a un servicio, haz lo siguiente:
    1. En la parte superior, en Apps a las que se accedió, haz clic en Ver lista.
    2. Haz clic en Agregar un filtro y luego Servicios solicitados.
    3. Selecciona los servicios que estás verificando y haz clic en Aplicar.

Restringe el acceso a los permisos de OAuth de alto riesgo

Gmail y Drive también pueden restringir el acceso a una lista predefinida de permisos de OAuth de alto riesgo.

En el caso de Gmail, los permisos de OAuth de alto riesgo son los siguientes:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    Para obtener detalles sobre los permisos de Gmail, consulta Elige permisos de autenticación.

En el caso de Drive, los permisos de OAuth de alto riesgo son los siguientes:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Para obtener detalles sobre los permisos de Drive, consulta Información de autenticación y autorización específica de la API .

Paso 3: Administra el acceso de las apps de terceros a los servicios de Google y agrega apps

Puedes administrar el acceso a ciertas apps bloqueándolas, marcándolas como de confianza o proporcionando acceso solo a los servicios de Google no restringidos. Una app de confianza tiene acceso a todos los servicios de Google Workspace (permisos de OAuth), incluidos los servicios restringidos. Las apps en las que no confías solo pueden acceder a servicios no restringidos.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Control de acceso y datos y luego Controles de API.

    Es necesario tener el privilegio de administrador de la configuración del servicio.

  2. En Control de acceso de apps, haz clic en Administra el acceso a apps de terceros.
  3. En Apps configuradas, haz clic en Ver lista.
  4. (Opcional) Para filtrar la lista, haz clic en Agregar un filtro y selecciona una opción:
    • Nombre de la app: Ingresa el nombre de la app y haz clic en Aplicar.
    • Tipo: Selecciona Aplicación web, iOS o Android y haz clic en Aplicar.
    • ID: Ingresa el ID de la app y haz clic en Aplicar.
    • Estado verificado: Selecciona Verificado por Google y haz clic en Aplicar para revisar las apps que Google revisó y que cumplen con ciertas políticas. Para obtener más detalles, consulta ¿Qué es una app de terceros verificada?
    • Acceso : Marca la casilla Confiable o Bloqueado y haz clic en Aplicar.
  5. Coloca el cursor sobre una app y haz clic en Cambiar acceso. O bien, marca las casillas junto a varias apps y, en la parte superior, haz clic en Cambiar acceso. Puedes decidir marcar como de confianza todas las apps que pertenecen al dominio o bloquearlas para que no puedan acceder a ningún servicio de Google Workspace.
  6. Elige una opción:
    • Confiable: Si marcas una app como de confianza, se anula la restricción de un servicio. Las apps que pertenecen a Google, como el navegador Chrome, se marcan automáticamente como de confianza y no se pueden configurar como apps de confianza.
    • Limitado : Pueden acceder solo a los servicios de Google no restringidos.
    • Bloqueadas : No pueden acceder a ninguno de los servicios de Google.
      Si agregas una app para dispositivos a una lista de entidades permitidas y también bloqueas esa misma app con los controles de API, la app se bloquea. El bloqueo de la app con los controles de API anula la ubicación en la lista de entidades permitidas.
  7. Haz clic en Cambiar.

Cómo agregar una app nueva

  1. En Control de acceso de apps, haz clic en Administra el acceso a apps de terceros.
  2. En Apps configuradas, haz clic en Agregar app.
  3. Elige Nombre de la app de OAuth o ID de cliente, Android o IOS.
  4. Ingresa el nombre o el ID de cliente de la app y haz clic en Buscar.
  5. Coloca el cursor sobre la app y haz clic en Seleccionar.
  6. Marca las casillas de los IDs de cliente que quieres configurar y haz clic en Seleccionar.
  7. Selecciona Confiable o Bloqueado y haz clic en Configurar.

Se les solicita a los usuarios que den su consentimiento para agregar apps web, pero en Google Workspace Marketplace, solo para las apps aprobadas, puedes omitir la pantalla de consentimiento a través de la instalación del dominio.

Personaliza el mensaje para una app no autorizada

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Control de acceso y datos y luego Controles de API.

    Es necesario tener el privilegio de administrador de la configuración del servicio.

  2. Haz clic en la tarjeta Configuración.
  3. Haz clic en Mensaje para el usuario.
  4. Activa el mensaje para el usuario On.
  5. Ingresa el mensaje para el usuario que prefieras en el campo de mensaje.
  6. Haz clic en Guardar.

Paso 4: Controla el acceso a la API

Bloquea el acceso de todas las API de terceros

Puedes bloquear el acceso de todas las API de terceros para que se denieguen las solicitudes de apps y sitios web de terceros a los datos de los usuarios. Este parámetro de configuración bloquea todos los permisos de OAuth, incluidos los de acceso, lo que significa que los usuarios ya no podrán acceder con Google a apps y sitios web de terceros.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Control de acceso y datos y luego Controles de API.

    Es necesario tener el privilegio de administrador de la configuración del servicio.

  2. Haz clic en la tarjeta Configuración.
  3. Haz clic en Apps de terceros no configuradas.
  4. Según tu edición de Workspace, elige una de las siguientes opciones:
    • Ediciones de Education: Marca No permitir que los usuarios accedan a ninguna app de terceros con sus cuentas.
    • Otras ediciones de Workspace: Elige No permitir que los usuarios accedan a ninguna app de terceros.
  5. Haz clic en Guardar.

Algunos parámetros de configuración anulan la configuración de la API. Por ejemplo, los usuarios podrán acceder a las apps configuradas con acceso Confiable o Limitado, incluso si marcas la casilla Bloquear el acceso de todas las API de terceros.

Permite el acceso a apps de terceros que solo requieren Acceder con Google

Usa esta opción si quieres permitir que tus usuarios accedan a apps de terceros que no solicitan ningún dato de Google, excepto la información de Acceder con Google (como la dirección de correo electrónico).

Nota: Esta opción no está disponible en las ediciones de Workspace Education.

  1. En Controles de API, haz clic en la tarjeta Configuración.
  2. Haz clic en Apps de terceros no configuradas.
  3. Elige Permitir que los usuarios accedan a las apps de terceros que solo solicitan información de acceso a Google.
  4. Haz clic en Guardar.

Permite que las apps internas accedan a las APIs de Google Workspace restringidas

Si creas apps internas (que pertenecen a tu organización), puedes marcar todas las apps como de confianza para que accedan a las APIs de Google Workspace restringidas. De esta manera, no tienes que marcarlas todas como de confianza de forma individual.

  1. En Controles de API, haz clic en la tarjeta Configuración.
  2. Haz clic en Apps internas.
  3. Marca la casilla Confiar en las apps internas.