Controla qué aplicaciones internas y de terceros acceden a los datos de Google Workspace

Para administrar las apps para dispositivos móviles de tu organización, consulta aquí.

Puedes controlar cómo las apps acceden a los datos de Google de tu organización. Usas la configuración de la Consola del administrador de Google para regir el acceso a los servicios de Google Workspace a través de OAuth 2.0. Algunas apps usan permisos de OAuth 2.0, un mecanismo para limitar el acceso a la cuenta de un usuario.

También puedes personalizar el mensaje de error que ven los usuarios cuando intentan instalar una app no autorizada.

Nota: En el caso de Google Workspace for Education, es posible que haya restricciones adicionales que impidan que los usuarios de instituciones de educación primaria y secundaria accedan a ciertas apps de terceros.

Controla el acceso de las apps a los datos de Google

Antes de comenzar: Revisa las apps de terceros autorizadas

Antes de implementar controles, revisa la lista de apps que se autorizaron para acceder a los datos de Google. Por lo general, los detalles sobre las apps de terceros aparecen entre 24 y 48 horas después de la autorización.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoControl de acceso y datosy luegoControles de API.

    Es necesario tener el privilegio de administrador de Configuración del servicio.

    Puedes revisar la cantidad de apps configuradas y a las que se accedió.

    • Las apps configuradas son aquellas que tienen una política de acceso (confiable, limitada o bloqueada). Si no confiaste en ninguna app ni la bloqueaste, verás cero (0) apps configuradas.
    • Las apps a las que se accedió son apps de terceros que usan los usuarios que accedieron a datos de Google.
  2. Haz clic en Administrar el acceso de apps de terceros.
    De forma predeterminada, se muestran las apps configuradas. Puedes revisar lo siguiente:
    • Nombre de la app
    • Tipo
    • ID
    • Estado verificado: Google revisó las apps verificadas para garantizar que cumplan con ciertas políticas. Es posible que muchas apps reconocidas no se hayan verificado de este modo. Para obtener más detalles, consulta ¿Qué es una app de terceros verificada?
    • Acceso: Especifica si es de confianza, limitado o bloqueado.
  3. (Opcional) Para ver las apps a las que se accedió, en la sección Apps a las que se accedió, haz clic en Ver lista.

    En Se accedió a apps, también puedes revisar lo siguiente:

    • Usuarios: Es la cantidad de usuarios que acceden a la app.
    • Servicios solicitados: Son las APIs de los servicios de Google (permisos de OAuth2) que utiliza cada app (por ejemplo, Gmail, Calendario de Google o Google Drive). Los servicios que no solicitó Google se indican como Otros.
  4. En la lista Apps configuradas o Apps a las que se accedió, haz clic en una app para revisarla:
    • Administra si tu app puede acceder a los servicios de Google: Revisa si la app está marcada como de confianza, limitada o bloqueada. Si cambias la configuración de acceso, haz clic en Guardar.
    • Ver información sobre la app: Consulta el ID de cliente de OAuth2 completo de la app, la cantidad de usuarios, la política de privacidad y la información de asistencia.
    • Ver las APIs de los servicios de Google (permisos de OAuth) que solicita la app: Consulta una lista de los permisos de OAuth que solicita cada app. Para ver cada uno de los permisos de OAuth, expande la fila de la tabla o haz clic en Expandir todo.
  5. (Opcional) Para descargar la información de la app en un archivo CSV, en la parte superior de la lista Apps configuradas o Apps a las que se accedió, haz clic en Descargar lista.
    • Se descargan todos los datos de la tabla (incluidos los datos que no se muestran).
    • En el caso de las apps configuradas, el archivo CSV contiene columnas adicionales que no se ven en la tabla: Cantidad de usuarios, Servicios solicitados y Alcances de la API asociados a cada servicio. Si no se accedió a una app configurada, el recuento de usuarios de esa app mostrará cero (0) y las otras 2 columnas estarán en blanco.

La verificación de apps es el programa de Google que garantiza que las apps de terceros que acceden a datos sensibles de los clientes superen las verificaciones de seguridad y privacidad. Es posible que se bloquee la activación de apps sin verificar en las que no confías (consulta los detalles para confiar en apps más abajo en esta página). Para obtener más información sobre la verificación de apps, consulta Cómo autorizar aplicaciones de terceros no verificadas.

Paso 2: Restringe o deja de restringir los servicios de Google

Puedes restringir o dejar sin restricciones el acceso a la mayoría de los servicios de Google Workspace, incluidos los servicios de Google Cloud, como el aprendizaje automático. En el caso de Gmail y Google Drive, puedes restringir específicamente el acceso a los servicios de alto riesgo, por ejemplo, enviar correos electrónicos o borrar archivos en Drive. Si bien se les solicita a los usuarios que den su consentimiento para las apps, si una app solicita acceso a un servicio restringido y no la agregaste específicamente a la lista de apps de confianza, los usuarios no podrán agregarla.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoControl de acceso y datosy luegoControles de API.

    Es necesario tener el privilegio de administrador de Configuración del servicio.

  2. Haz clic en Administrar servicios de Google.
  3. En la lista de servicios, marca las casillas junto a los servicios que deseas administrar.
    Marca la casilla Servicio para marcar todas las casillas.
  4. (Opcional) Para filtrar esta lista, haz clic en Agregar un filtro y selecciona uno de los siguientes criterios:
    • Servicios de Google: Selecciona un servicio de la lista, como Drive o Gmail, y haz clic en Aplicar.
    • Acceso a los servicios de Google: Selecciona Sin restricciones o Restringido y haz clic en Aplicar.
    • Apps permitidas: Especifica un rango para la cantidad de apps permitidas y haz clic en Aplicar.
    • Usuarios: Especifica un rango para la cantidad de usuarios y haz clic en Aplicar.
  5. En la parte superior, haz clic en Cambiar acceso y elige Sin restricciones o Restringido.
    Si cambias el acceso a Restringido, las apps instaladas anteriormente en las que no confías dejarán de funcionar y se revocarán los tokens. Cuando un usuario intenta instalar una app que tiene un permiso restringido, recibe una notificación de que está bloqueada. Restringir el acceso al servicio de Drive también restringe el acceso a la API de Formularios de Google.
    Nota: La lista de apps a las que se accedió se actualiza 48 horas después de que se otorga o revoca un token.
  6. (Opcional) Si elegiste Restringido, marca la casilla En el caso de las apps que no sean de confianza, permite que los usuarios otorguen acceso a los permisos de OAuth que no estén clasificados como de alto riesgo para permitir el acceso a los permisos de OAuth que no estén clasificados como de alto riesgo (por ejemplo, los permisos que permiten que las apps accedan a los archivos seleccionados por el usuario en Drive). (Esta casilla de verificación aparecerá para apps como Gmail y Drive, pero no para todas las apps).
  7. Haz clic en Cambiar y confirma si es necesario.
  8. (Opcional) Para revisar qué apps tienen acceso a un servicio, haz lo siguiente:
    1. En la parte superior, en Apps a las que se accedió, haz clic en Ver lista.
    2. Haz clic en Agregar un filtroy luegoServicios solicitados.
    3. Selecciona los servicios que deseas verificar y haz clic en Aplicar.

Restringe el acceso a los permisos de OAuth de alto riesgo

Gmail y Drive también pueden restringir el acceso a una lista predefinida de alcances de OAuth de alto riesgo.

En el caso de Gmail, los permisos de OAuth de alto riesgo son los siguientes:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    Para obtener detalles sobre los permisos de Gmail, consulta Elige permisos de autorización.

En el caso de Drive, los permisos de OAuth de alto riesgo son los siguientes:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Para obtener detalles sobre los permisos de Drive, consulta Información específica sobre la autorización y la autenticación de la API .

Paso 3: Administra el acceso de las apps de terceros a los servicios de Google y agrega apps

Puedes administrar el acceso a ciertas apps bloqueándolas, marcándolas como de confianza o proporcionando acceso solo a los servicios de Google no restringidos. Una app de confianza tiene acceso a todos los servicios de Google Workspace (permisos de OAuth), incluidos los servicios restringidos. Las apps en las que no confías solo pueden acceder a servicios sin restricciones.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoControl de acceso y datosy luegoControles de API.

    Es necesario tener el privilegio de administrador de Configuración del servicio.

  2. En Control de acceso de apps, haz clic en Administrar el acceso de apps de terceros.
  3. En Apps configuradas, haz clic en Ver lista.
  4. (Opcional) Para filtrar la lista, haz clic en Agregar un filtro y selecciona una opción:
    • Nombre de la app: Ingresa el nombre de la app y haz clic en Aplicar.
    • Tipo: Selecciona Aplicación web, iOS o Android y haz clic en Aplicar.
    • ID: Ingresa el ID de la app y haz clic en Aplicar.
    • Estado verificado: Selecciona Verificado por Google y haz clic en Aplicar para revisar las apps que Google revisó y que cumplen con ciertas políticas. Para obtener más detalles, consulta ¿Qué es una app de terceros verificada?
    • Acceso: Marca la casilla De confianza o Bloqueado y haz clic en Aplicar.
  5. Coloca el cursor sobre una app y haz clic en Cambiar acceso. También puedes marcar las casillas junto a varias apps y, en la parte superior, hacer clic en Cambiar acceso. Puedes decidir confiar en todas las apps propiedad del dominio o bloquearlas para que no puedan acceder a ningún servicio de Google Workspace.
  6. Elige una opción:
    • De confianza: Confiar en una app anula la restricción de un servicio. Las apps propiedad de Google, como el navegador Chrome, se consideran automáticamente de confianza y no se pueden configurar como apps de confianza.
    • Limitado: Solo puede acceder a servicios de Google no restringidos.
    • Bloqueado: No puede acceder a ningún servicio de Google.
      Si agregas una app para dispositivos a una lista de entidades permitidas y también la bloqueas con los controles de la API, la app se bloqueará. El bloqueo de la app con los controles de la API anula la colocación en la lista de entidades permitidas.
  7. Haz clic en Cambiar.

Cómo agregar una app nueva

  1. En Control de acceso de apps, haz clic en Administrar el acceso de apps de terceros.
  2. En Configured apps, haz clic en Add app.
  3. Elige Nombre de la app de OAuth o ID de cliente, Android o iOS.
  4. Ingresa el nombre o el ID de cliente de la app y haz clic en Buscar.
  5. Coloca el cursor sobre la app y haz clic en Seleccionar.
  6. Marca las casillas junto a los IDs de cliente que quieras configurar y, luego, haz clic en Seleccionar.
  7. Selecciona Confiable o Bloqueado y haz clic en Configurar.

Se les solicita a los usuarios que den su consentimiento para agregar apps web, pero en Google Workspace Marketplace, solo para las apps aprobadas, puedes omitir la pantalla de consentimiento a través de la instalación en el dominio.

Cómo personalizar el mensaje de una app no autorizada

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoControl de acceso y datosy luegoControles de API.

    Es necesario tener el privilegio de administrador de Configuración del servicio.

  2. Haz clic en la tarjeta Configuración.
  3. Haz clic en Mensaje del usuario.
  4. Activa el mensaje del usuario On.
  5. Ingresa el mensaje de usuario que prefieras en el campo de mensaje.
  6. Haz clic en Guardar.

Paso 4: Controla el acceso a la API

Bloquear el acceso de todas las APIs de terceros

Puedes bloquear el acceso a todas las APIs de terceros para que se deniegue el acceso a los datos del usuario a las solicitudes de apps y sitios web de terceros. Este parámetro de configuración bloquea todos los permisos de OAuth, incluidos los de acceso, lo que significa que los usuarios ya no podrán acceder con Google a aplicaciones y sitios web de terceros.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoControl de acceso y datosy luegoControles de API.

    Es necesario tener el privilegio de administrador de Configuración del servicio.

  2. Haz clic en la tarjeta Configuración.
  3. Haz clic en Apps de terceros no configuradas.
  4. Según tu edición de Workspace, elige una de las siguientes opciones:
    • Ediciones educativas: Marca la opción No permitir que los usuarios accedan a ninguna app de terceros con sus cuentas.
    • Otras ediciones de Workspace: Elige No permitir que los usuarios accedan a ninguna app de terceros.
  5. Haz clic en Guardar.

Algunos parámetros de configuración anulan los de la API. Por ejemplo, los usuarios aún podrán acceder a las apps configuradas con acceso Confiable o Limitado, incluso si marcas la casilla Bloquear todo el acceso a la API de terceros.

Permitir el acceso a apps de terceros que solo requieren el acceso con Google

Usa esta opción si quieres permitir que tus usuarios accedan a apps de terceros que no solicitan datos de Google, excepto la información de acceso a Google (como la dirección de correo electrónico).

Nota: Esta opción no está disponible en las ediciones de Workspace Education.

  1. En Controles de API, haz clic en la tarjeta Configuración.
  2. Haz clic en Apps de terceros no configuradas.
  3. Elige Permitir que los usuarios accedan a las apps de terceros que solo solicitan información de acceso a Google.
  4. Haz clic en Guardar.

Permite que las apps internas accedan a las APIs restringidas de Google Workspace

Si compilas apps internas (que pertenecen a tu organización), puedes confiar en todas las apps para que accedan a las APIs de Google Workspace restringidas. De esa manera, no tienes que confiar en cada uno de ellos de forma individual.

  1. En Controles de API, haz clic en la tarjeta Configuración.
  2. Haz clic en Apps internas.
  3. Marca la casilla de verificación Confiar en las apps internas.