کنترل دسترسی برنامه‌های شخص ثالث و داخلی به داده‌های Google Workspace

برای مدیریت برنامه‌های تلفن همراه برای سازمان خود، به اینجا بروید .

شما می‌توانید نحوه دسترسی برنامه‌ها به داده‌های گوگل سازمان خود را کنترل کنید. شما از تنظیمات موجود در کنسول مدیریت گوگل برای مدیریت دسترسی به سرویس‌های Google Workspace از طریق OAuth 2.0 استفاده می‌کنید. برخی از برنامه‌ها از محدوده‌های OAuth 2.0 استفاده می‌کنند - مکانیسمی برای محدود کردن دسترسی به حساب کاربری.

همچنین می‌توانید پیام خطایی که کاربران هنگام نصب یک برنامه غیرمجاز می‌بینند را سفارشی کنید.

توجه : برای Google Workspace for Education، محدودیت‌های اضافی ممکن است مانع از دسترسی کاربران در مؤسسات آموزشی ابتدایی و متوسطه به برخی از برنامه‌های شخص ثالث شود.

کنترل دسترسی برنامه‌ها به داده‌های گوگل

قبل از شروع: برنامه‌های شخص ثالث مجاز را بررسی کنید

قبل از اجرای کنترل‌ها، فهرست برنامه‌هایی که برای دسترسی به داده‌های گوگل مجاز شده‌اند را بررسی کنید. جزئیات مربوط به برنامه‌های شخص ثالث معمولاً ۲۴ تا ۴۸ ساعت پس از مجوز ظاهر می‌شود.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس کنترل دسترسی و داده‌ها و سپس کنترل‌های API .

    نیاز به داشتن امتیاز مدیر تنظیمات سرویس دارد.

    می‌توانید تعداد برنامه‌های پیکربندی‌شده و دسترسی‌یافته را بررسی کنید.

    • برنامه‌های پیکربندی‌شده، برنامه‌هایی با خط‌مشی دسترسی (قابل اعتماد، محدود یا مسدود شده) هستند. اگر هیچ برنامه‌ای را قابل اعتماد یا مسدود نکرده باشید، هیچ (0) برنامه پیکربندی‌شده‌ای را مشاهده نخواهید کرد.
    • برنامه‌های دسترسی‌یافته، برنامه‌های شخص ثالثی هستند که توسط کاربرانی که به داده‌های گوگل دسترسی داشته‌اند، استفاده می‌شوند.
  2. روی مدیریت دسترسی برنامه‌های شخص ثالث کلیک کنید.
    برنامه‌های پیکربندی‌شده به‌طور پیش‌فرض نمایش داده می‌شوند. می‌توانید موارد زیر را بررسی کنید:
    • نام برنامه
    • نوع
    • شناسه
    • وضعیت تأیید شده — برنامه‌های تأیید شده توسط گوگل بررسی شده‌اند تا از انطباق آنها با سیاست‌های خاص اطمینان حاصل شود. بسیاری از برنامه‌های شناخته شده ممکن است به این روش تأیید نشوند. برای جزئیات بیشتر، به بخش «برنامه شخص ثالث تأیید شده چیست؟» مراجعه کنید.
    • دسترسی - مشخص می‌کند که آیا قابل اعتماد، محدود یا مسدود شده است.
  3. (اختیاری) برای مشاهده برنامه‌های دسترسی‌یافته، در بخش برنامه‌های دسترسی‌یافته ، روی مشاهده لیست کلیک کنید.

    برای برنامه‌های دسترسی‌یافته ، می‌توانید موارد زیر را نیز بررسی کنید:

    • کاربران — تعداد کاربرانی که به برنامه دسترسی دارند.
    • سرویس‌های درخواستی — APIهای سرویس گوگل (محدوده‌های OAuth2) که هر برنامه از آنها استفاده می‌کند (برای مثال، Gmail، Google Calendar یا Google Drive). سرویس‌های درخواستی غیر گوگلی به عنوان Other فهرست می‌شوند.
  4. از فهرست برنامه‌های پیکربندی‌شده یا برنامه‌های دسترسی‌یافته ، روی یک برنامه برای بررسی کلیک کنید:
    • مدیریت دسترسی برنامه شما به سرویس‌های گوگل — بررسی کنید که آیا برنامه به عنوان قابل اعتماد، محدود یا مسدود شده علامت‌گذاری شده است یا خیر. اگر پیکربندی دسترسی را تغییر می‌دهید، روی ذخیره کلیک کنید.
    • مشاهده اطلاعات مربوط به برنامه — مشاهده شناسه کامل کلاینت OAuth2 برنامه، تعداد کاربران، سیاست حفظ حریم خصوصی و اطلاعات پشتیبانی.
    • مشاهده APIهای سرویس گوگل (محدوده‌های OAuth) که برنامه درخواست می‌کند — فهرستی از محدوده‌های OAuth که هر برنامه درخواست می‌کند را مشاهده کنید. برای مشاهده هر یک از محدوده‌های OAuth، ردیف جدول را گسترش دهید یا روی «گسترش همه» کلیک کنید.
  5. (اختیاری) برای دانلود اطلاعات برنامه در یک فایل CSV، در بالای لیست برنامه‌های پیکربندی‌شده یا برنامه‌های دسترسی‌یافته ، روی فهرست دانلود کلیک کنید.
    • تمام داده‌های جدول دانلود می‌شوند (از جمله داده‌هایی که نمایش نداده‌اید).
    • برای برنامه‌های پیکربندی‌شده، فایل CSV شامل ستون‌های اضافی است که در جدول قابل مشاهده نیستند: تعداد کاربران، سرویس‌های درخواستی و محدوده‌های API مرتبط با هر سرویس. اگر به یک برنامه پیکربندی‌شده دسترسی پیدا نشده باشد، تعداد کاربران آن برنامه صفر (0) و دو ستون دیگر خالی خواهند بود.

تأیید برنامه، برنامه گوگل است تا اطمینان حاصل شود که برنامه‌های شخص ثالث که به داده‌های حساس مشتری دسترسی دارند، از بررسی‌های امنیتی و حریم خصوصی عبور می‌کنند. ممکن است کاربران از فعال کردن برنامه‌های تأیید نشده‌ای که به آنها اعتماد ندارید، منع شوند (جزئیات مربوط به اعتماد به برنامه‌ها را در زیر این صفحه ببینید). برای اطلاعات بیشتر در مورد تأیید برنامه، به «مجاز کردن برنامه‌های شخص ثالث تأیید نشده» مراجعه کنید.

مرحله ۲: محدود کردن یا لغو محدودیت سرویس‌های گوگل

شما می‌توانید دسترسی به اکثر سرویس‌های Google Workspace، از جمله سرویس‌های Google Cloud مانند Machine Learning، را محدود یا بدون محدودیت بگذارید. برای Gmail و Google Drive، می‌توانید دسترسی به سرویس‌های پرخطر، مانند ارسال ایمیل یا حذف فایل‌ها در Drive را به‌طور خاص محدود کنید. در حالی که از کاربران خواسته می‌شود با برنامه‌ها موافقت کنند، اگر برنامه‌ای درخواست دسترسی به یک سرویس محدود شده را داشته باشد و شما به‌طور خاص به آن برنامه اعتماد نکرده باشید، کاربران نمی‌توانند آن را اضافه کنند.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس کنترل دسترسی و داده‌ها و سپس کنترل‌های API .

    نیاز به داشتن امتیاز مدیر تنظیمات سرویس دارد.

  2. روی مدیریت سرویس‌های گوگل کلیک کنید.
  3. از فهرست سرویس‌ها، کادرهای کنار سرویس‌هایی را که می‌خواهید مدیریت کنید، علامت بزنید.
    برای بررسی همه گزینه‌ها، گزینه Service را تیک بزنید.
  4. (اختیاری) برای فیلتر کردن این لیست، روی افزودن فیلتر کلیک کنید و از معیارهای زیر انتخاب کنید:
    • سرویس‌های گوگل — از لیست سرویس‌ها، مانند درایو یا جیمیل ، یکی را انتخاب کنید و روی اعمال کلیک کنید.
    • دسترسی به سرویس‌های گوگل — گزینه «بدون محدودیت» یا «محدود» را انتخاب کنید و روی «اعمال» کلیک کنید.
    • برنامه‌های مجاز — محدوده‌ای برای تعداد برنامه‌های مجاز مشخص کنید و روی اعمال کلیک کنید.
    • کاربران - محدوده‌ای برای تعداد کاربران مشخص کنید و روی اعمال کلیک کنید.
  5. در بالا، روی تغییر دسترسی کلیک کنید و «بدون محدودیت» یا «محدود» را انتخاب کنید.
    اگر دسترسی را به محدود تغییر دهید، هر برنامه‌ای که قبلاً نصب شده و به آن اعتماد نداشته‌اید، دیگر کار نمی‌کند و توکن‌ها لغو می‌شوند. وقتی کاربری سعی می‌کند برنامه‌ای را نصب کند که دامنه دسترسی محدودی دارد، به او اطلاع داده می‌شود که مسدود شده است. محدود کردن دسترسی به سرویس Drive، دسترسی به API فرم‌های گوگل را نیز محدود می‌کند.
    توجه : فهرست برنامه‌های قابل دسترسی، ۴۸ ساعت پس از اعطای یا لغو توکن، به‌روزرسانی می‌شود.
  6. (اختیاری) اگر گزینه Restricted را انتخاب کرده‌اید، برای اجازه دسترسی به محدوده‌های OAuth که به عنوان پرخطر طبقه‌بندی نشده‌اند (به عنوان مثال، محدوده‌هایی که به برنامه‌ها اجازه دسترسی به فایل‌های انتخاب شده توسط کاربر در Drive را می‌دهند)، گزینه For apps that are not trusted, allow users to give access to OAuth scopes that are not classification as high-risk را علامت بزنید. (این کادر انتخاب برای برنامه‌هایی مانند Gmail و Drive ظاهر می‌شود، اما برای همه برنامه‌ها ظاهر نمی‌شود.)
  7. در صورت لزوم، روی تغییر کلیک کنید و تأیید کنید.
  8. (اختیاری) برای بررسی اینکه کدام برنامه‌ها به یک سرویس دسترسی دارند:
    1. در بالا، برای برنامه‌های دسترسی‌یافته ، روی «مشاهده لیست» کلیک کنید.
    2. روی افزودن فیلتر کلیک کنید و سپس خدمات درخواستی .
    3. سرویس‌هایی را که بررسی می‌کنید انتخاب کنید و روی اعمال کلیک کنید.

دسترسی به محدوده‌های پرخطر OAuth را محدود کنید

جیمیل و درایو همچنین می‌توانند دسترسی به یک لیست از پیش تعریف‌شده از حوزه‌های پرخطر OAuth را محدود کنند.

برای Gmail، محدوده‌های پرخطر OAuth عبارتند از:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    برای جزئیات بیشتر در مورد محدوده‌های Gmail، به Choose Auth Scopes بروید.

برای درایو، محدوده‌های پرخطر OAuth عبارتند از:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    برای جزئیات بیشتر در مورد محدوده‌های درایو، به اطلاعات مجوز و احراز هویت مخصوص API مراجعه کنید.

مرحله ۳: مدیریت دسترسی برنامه‌های شخص ثالث به سرویس‌های گوگل و افزودن برنامه‌ها

شما می‌توانید با مسدود کردن برنامه‌های خاص، علامت‌گذاری آنها به عنوان مورد اعتماد یا ارائه دسترسی فقط به سرویس‌های نامحدود گوگل، دسترسی به آنها را مدیریت کنید. یک برنامه مورد اعتماد به همه سرویس‌های Google Workspace (محدوده‌های OAuth)، از جمله سرویس‌های محدود، دسترسی دارد. برنامه‌هایی که به آنها اعتماد ندارید، فقط می‌توانند به سرویس‌های نامحدود دسترسی داشته باشند.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس کنترل دسترسی و داده‌ها و سپس کنترل‌های API .

    نیاز به داشتن امتیاز مدیر تنظیمات سرویس دارد.

  2. در کنترل دسترسی برنامه ، روی مدیریت دسترسی برنامه شخص ثالث کلیک کنید.
  3. برای برنامه‌های پیکربندی‌شده ، روی مشاهده لیست کلیک کنید.
  4. (اختیاری) برای فیلتر کردن لیست، روی افزودن فیلتر کلیک کنید و یک گزینه را انتخاب کنید:
    • نام برنامه — نام برنامه را وارد کنید و روی اعمال کلیک کنید.
    • نوعبرنامه وب ، iOS یا اندروید را انتخاب کنید و روی اعمال کلیک کنید.
    • شناسه —شناسه برنامه را وارد کنید و روی اعمال کلیک کنید.
    • وضعیت تأیید شدهگزینه تأیید شده توسط گوگل را انتخاب کنید و برای بررسی برنامه‌هایی که توسط گوگل بررسی شده‌اند و با سیاست‌های خاص مطابقت دارند، روی اعمال کلیک کنید. برای جزئیات بیشتر، به «برنامه شخص ثالث تأیید شده چیست ؟» مراجعه کنید.
    • دسترسی — کادر «معتبر» یا «مسدود شده» را علامت بزنید و روی «اعمال» کلیک کنید.
  5. به یک برنامه اشاره کنید و روی «تغییر دسترسی» کلیک کنید. یا کادرهای کنار چندین برنامه و در بالا را علامت بزنید و روی «تغییر دسترسی» کلیک کنید. می‌توانید تصمیم بگیرید که به همه برنامه‌های متعلق به دامنه اعتماد کنید یا برنامه‌ها را مسدود کنید تا نتوانند به هیچ یک از سرویس‌های Google Workspace دسترسی داشته باشند.
  6. یک گزینه را انتخاب کنید:
    • قابل اعتماد - اعتماد به یک برنامه، محدودیت سرویس را لغو می‌کند. برنامه‌های متعلق به گوگل، مانند مرورگر کروم، به طور خودکار قابل اعتماد هستند و نمی‌توان آنها را به عنوان برنامه‌های قابل اعتماد پیکربندی کرد.
    • محدود - فقط می‌تواند به سرویس‌های نامحدود گوگل دسترسی داشته باشد.
    • مسدود شده - دسترسی به هیچ یک از سرویس‌های گوگل امکان‌پذیر نیست.
      اگر برنامه‌ای را برای دستگاه‌ها به لیست مجاز اضافه کنید و همچنین همان برنامه را با استفاده از کنترل‌های API مسدود کنید، برنامه مسدود می‌شود. مسدود کردن برنامه با استفاده از کنترل‌های API، جایگاه آن در لیست مجاز را لغو می‌کند.
  7. روی تغییر کلیک کنید.

اضافه کردن یک برنامه جدید

  1. در کنترل دسترسی برنامه ، روی مدیریت دسترسی برنامه شخص ثالث کلیک کنید.
  2. برای برنامه‌های پیکربندی‌شده ، روی افزودن برنامه کلیک کنید.
  3. نام برنامه OAuth یا شناسه کلاینت ، اندروید یا iOS را انتخاب کنید.
  4. نام برنامه یا شناسه کلاینت را وارد کنید و روی جستجو کلیک کنید.
  5. به برنامه اشاره کنید و روی «انتخاب» کلیک کنید.
  6. کادرهای مربوط به شناسه‌های کلاینتی که می‌خواهید پیکربندی کنید را علامت بزنید و روی «انتخاب» کلیک کنید.
  7. مورد اعتماد یا مسدود شده را انتخاب کنید و روی پیکربندی کلیک کنید.

از کاربران خواسته می‌شود که برای افزودن برنامه‌های وب رضایت خود را اعلام کنند، اما در بازار Google Workspace، فقط برای برنامه‌های تأیید شده، می‌توانید از طریق نصب دامنه، صفحه رضایت را دور بزنید.

پیام را برای یک برنامه غیرمجاز سفارشی کنید

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس کنترل دسترسی و داده‌ها و سپس کنترل‌های API .

    نیاز به داشتن امتیاز مدیر تنظیمات سرویس دارد.

  2. روی کارت تنظیمات کلیک کنید.
  3. روی پیام کاربر کلیک کنید.
  4. پیام کاربر را روشن کنید.
  5. پیام کاربری مورد نظر خود را در قسمت پیام وارد کنید.
  6. روی ذخیره کلیک کنید.

مرحله ۴: کنترل دسترسی API

دسترسی به APIهای شخص ثالث را مسدود کنید

شما می‌توانید تمام دسترسی‌های API شخص ثالث را مسدود کنید تا درخواست‌های برنامه‌ها و وب‌سایت‌های شخص ثالث به داده‌های کاربر رد شود. این تنظیم تمام حوزه‌های OAuth، از جمله حوزه‌های ورود به سیستم را مسدود می‌کند، به این معنی که کاربران دیگر نمی‌توانند با استفاده از گوگل به برنامه‌ها و وب‌سایت‌های شخص ثالث وارد شوند.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس کنترل دسترسی و داده‌ها و سپس کنترل‌های API .

    نیاز به داشتن امتیاز مدیر تنظیمات سرویس دارد.

  2. روی کارت تنظیمات کلیک کنید.
  3. روی برنامه‌های شخص ثالث پیکربندی نشده کلیک کنید.
  4. بسته به نسخه Workspace خود، یکی از گزینه‌های زیر را انتخاب کنید:
    • نسخه‌های آموزشی—گزینه «به کاربران اجازه ندهید با حسابشان به هیچ برنامه شخص ثالثی دسترسی داشته باشند» را علامت بزنید.
    • سایر نسخه‌های Workspace—گزینه «به کاربران اجازه دسترسی به هیچ برنامه شخص ثالثی داده نشود» را انتخاب کنید.
  5. روی ذخیره کلیک کنید.

برخی از تنظیمات، تنظیمات API را لغو می‌کنند. برای مثال، کاربران همچنان می‌توانند به برنامه‌های پیکربندی‌شده با دسترسی قابل اعتماد یا محدود دسترسی داشته باشند، حتی اگر کادر مسدود کردن دسترسی همه اشخاص ثالث به API را علامت بزنید.

اجازه دسترسی به برنامه‌های شخص ثالث که فقط به ورود به سیستم گوگل نیاز دارند را بدهید

اگر می‌خواهید به کاربران خود اجازه دهید به برنامه‌های شخص ثالثی دسترسی داشته باشند که هیچ داده گوگلی به جز اطلاعات ورود به سیستم گوگل (مانند آدرس ایمیل) درخواست نمی‌کنند، از این گزینه استفاده کنید.

توجه: این گزینه در نسخه‌های Workspace Education موجود نیست.

  1. در کنترل‌های API ، روی کارت تنظیمات کلیک کنید.
  2. روی برنامه‌های شخص ثالث پیکربندی نشده کلیک کنید.
  3. گزینه «به کاربران اجازه دهید به برنامه‌های شخص ثالثی که فقط اطلاعات ورود به سیستم گوگل را درخواست می‌کنند، دسترسی داشته باشند» را انتخاب کنید.
  4. روی ذخیره کلیک کنید.

اجازه دهید برنامه‌های داخلی به APIهای محدود Google Workspace دسترسی داشته باشند

اگر برنامه‌های داخلی (متعلق به سازمان خود) می‌سازید، می‌توانید به همه برنامه‌ها برای دسترسی به APIهای محدود Google Workspace اعتماد کنید. به این ترتیب، لازم نیست به همه آنها به صورت جداگانه اعتماد کنید.

  1. در کنترل‌های API ، روی کارت تنظیمات کلیک کنید.
  2. روی برنامه‌های داخلی کلیک کنید.
  3. کادر انتخاب «اعتماد به برنامه‌های داخلی» را علامت بزنید.