קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים של Google Workspace

כדי לנהל אפליקציות לנייד בארגון, עוברים לכאן.

אתם יכולים לקבוע איך אפליקציות ניגשות לנתונים של הארגון בחשבון Google. אתם משתמשים בהגדרות במסוף Google Admin כדי לשלוט בגישה לשירותי Google Workspace באמצעות OAuth 2.0. חלק מהאפליקציות משתמשות בהיקפי הרשאות של OAuth 2.0 – מנגנון להגבלת הגישה לחשבון של משתמש.

אפשר גם להתאים אישית את הודעת השגיאה שמוצגת למשתמשים שמנסים להתקין אפליקציה לא מורשית.

הערה: ב-Google Workspace for Education, יכול להיות שיהיו הגבלות נוספות שימנעו ממשתמשים במוסדות יסודיים ועל-יסודיים לגשת לאפליקציות מסוימות של צד שלישי.

שליטה בגישה של האפליקציות לנתונים בחשבון Google

לפני שמתחילים: בדיקת אפליקציות צד שלישי מורשות

לפני שמטמיעים אמצעי בקרה, כדאי לעיין ברשימת האפליקציות שקיבלו הרשאה לגשת לנתונים בחשבון Google. בדרך כלל, הפרטים על אפליקציות צד שלישי מופיעים 24-48 שעות אחרי ההרשאה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

    אפשר לבדוק את מספר האפליקציות שהוגדרו ואת מספר האפליקציות שהייתה אליהן גישה.

    • אפליקציות שהוגדרו הן אפליקציות שנקבעה עבורן מדיניות גישה (מהימנה, מוגבלת או חסומה). אם לא נתתם אמון באף אפליקציה או חסמתם אף אפליקציה, יופיע המספר אפס (0) לצד האפשרות'אפליקציות שהוגדרו'.
    • אפליקציות עם גישה הן אפליקציות של צד שלישי שהמשתמשים משתמשים בהן ויש להן גישה לנתונים בחשבון Google.
  2. לוחצים על ניהול הגישה של אפליקציות צד שלישי.
    כברירת מחדל, מוצגות אפליקציות שהוגדרו. אתם יכולים לבדוק את:
    • שם האפליקציה
    • סוג
    • מזהה
    • סטטוס מאומת – אפליקציות מאומתות נבדקו על ידי Google כדי לוודא שהן עומדות בדרישות של כללי מדיניות מסוימים. יכול להיות שאפליקציות ידועות רבות לא מאומתות באופן הזה. מידע נוסף ניתן לקרוא במאמר מהי אפליקציה מאומתת של צד שלישי?
    • גישה – מציינת אם הגישה היא מהימנה, מוגבלת או חסומה.
  3. (אופציונלי) כדי לראות את האפליקציות שהייתה אליהן גישה, בקטע אפליקציות שהייתה אליהן גישה, לוחצים על הצגת הרשימה.

    בקטע אפליקציות שנכנסו אליהן, אפשר גם לבדוק:

    • משתמשים – מספר המשתמשים שניגשים לאפליקציה.
    • שירותים מבוקשים – ממשקי ה-API של שירותי Google (היקפי OAuth2) שכל אפליקציה משתמשת בהם (לדוגמה, Gmail, יומן Google או Google Drive). שירותים שנדרשים ולא שייכים ל-Google מופיעים בקטגוריה אחרים.
  4. ברשימה אפליקציות שהוגדרו או אפליקציות שהייתה אליהן גישה, לוחצים על אפליקציה כדי לבדוק אותה:
    • קביעת הרשאות הגישה של האפליקציה לשירותי Google – בודקים אם האפליקציה מסומנת כ'אמינה', 'מוגבלת' או 'חסומה'. אם משנים את הגדרת הגישה, לוחצים על שמירה.
    • הצגת מידע על האפליקציה – הצגת מזהה הלקוח המלא של OAuth2 של האפליקציה, מספר המשתמשים, מדיניות הפרטיות ופרטי התמיכה.
    • צפייה בממשקי ה-API של שירותי Google (היקפי הרשאות OAuth) שהאפליקציה מבקשת – צפייה ברשימה של היקפי הרשאות OAuth שכל אפליקציה מבקשת. כדי לראות את כל היקפי ההרשאות של OAuth, מרחיבים את שורת הטבלה או לוחצים על הרחבת כל ההרשאות.
  5. (אופציונלי) כדי להוריד את פרטי האפליקציה לקובץ CSV, בחלק העליון של הרשימה אפליקציות מוגדרות או אפליקציות שהייתה אליהן גישה, לוחצים על הורדת הרשימה.
    • כל הנתונים בטבלה יורדו (כולל נתונים שלא מוצגים).
    • באפליקציות שהוגדרו, קובץ ה-CSV מכיל עמודות נוספות שלא מוצגות בטבלה: מספר המשתמשים, השירותים המבוקשים והיקפי ה-API שמשויכים לכל שירות. אם לא הייתה גישה לאפליקציה שהוגדרה, מספר המשתמשים באפליקציה הזו יהיה אפס (0) ושתי העמודות האחרות יהיו ריקות.

אימות אפליקציות הוא תוכנית של Google שמטרתה לוודא שאפליקציות צד שלישי שמקבלות גישה לנתונים רגישים של לקוחות עוברות בדיקות אבטחה ופרטיות. יכול להיות שהמשתמשים ייחסמו מהפעלת אפליקציות לא מאומתות שאתם לא סומכים עליהן (פרטים על אפליקציות מהימנות מופיעים בהמשך הדף). מידע נוסף על אימות אפליקציות זמין במאמר אישור אפליקציות לא מאומתות של צד שלישי.

שלב 2: הגבלת הגישה לשירותי Google או ביטול ההגבלה

אתם יכולים להגביל את הגישה לרוב השירותים של Google Workspace, כולל שירותי Google Cloud כמו למידת מכונה, או להשאיר את הגישה ללא הגבלה. ב-Gmail וב-Google Drive, אפשר להגביל את הגישה לשירותים בסיכון גבוה, למשל שליחת אימייל או מחיקת קבצים ב-Drive. המשתמשים מתבקשים להביע הסכמה לשימוש באפליקציות, אבל אם אפליקציה מבקשת גישה לשירות מוגבל ולא הגדרתם את האפליקציה כ'מהימנה', המשתמשים לא יכולים להוסיף אותה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול שירותי Google.
  3. ברשימת השירותים, מסמנים את התיבות לצד השירותים שרוצים לנהל.
    מסמנים את התיבה שירות כדי לסמן את כל התיבות.
  4. (אופציונלי) כדי לסנן את הרשימה, לוחצים על הוספת מסנן ובוחרים מבין הקריטריונים הבאים:
    • שירותי Google – בוחרים מתוך רשימת השירותים, כמו Drive או Gmail, ולוחצים על החלה.
    • גישה לשירותי Google – בוחרים באפשרות ללא הגבלה או מוגבלת ולוחצים על החלה.
    • אפליקציות עם הרשאת גישה לשירות – מציינים טווח למספר האפליקציות שמותרות ולוחצים על החלה.
    • משתמשים – מציינים טווח למספר המשתמשים ולוחצים על החלה.
  5. למעלה, לוחצים על שינוי הגישה ובוחרים באפשרות ללא הגבלה או מוגבלת.
    אם משנים את הגישה ל'מוגבלת', כל האפליקציות שהותקנו קודם ולא הוגדרו כאפליקציות מהימנות מפסיקות לפעול, והאסימונים מבוטלים. כשמשתמש מנסה להתקין אפליקציה עם היקף מוגבל, הוא מקבל הודעה שהאפליקציה חסומה. הגבלת הגישה לשירות Drive מגבילה גם את הגישה ל-Google Forms API.
    הערה: רשימת האפליקציות שאליהן ניתנה גישה מתעדכנת 48 שעות אחרי שהטוקן ניתן או בוטל.
  6. (אופציונלי) אם בחרתם באפשרות מוגבלת, כדי לאפשר גישה להיקפי הרשאות של OAuth שלא מסווגים בסיכון גבוה (לדוגמה, היקפי הרשאות שמתירים לאפליקציות לגשת לקבצים ב-Drive שהמשתמש סימן), מסמנים את התיבה משתמשים יכולים להעניק לאפליקציות לא מהימנות גישה להיקפי הרשאות של OAuth שאינם מסווגים בסיכון גבוה. (תיבת הסימון הזו תופיע באפליקציות כמו Gmail ו-Drive, אבל לא בכל האפליקציות).
  7. לוחצים על שינוי ומאשרים, אם צריך.
  8. (אופציונלי) כדי לבדוק לאילו אפליקציות יש גישה לשירות:
    1. למעלה, בקטע אפליקציות עם גישה, לוחצים על הצגת הרשימה.
    2. לוחצים על הוספת מסנן ואז שירותים נדרשים.
    3. בוחרים את השירותים שרוצים לבדוק ולוחצים על אישור.

הגבלת הגישה להיקפי OAuth בסיכון גבוה

ב-Gmail וב-Drive אפשר גם להגביל את הגישה רק לרשימה מוגדרת-מראש של היקפי OAuth בסיכון גבוה.

ב-Gmail, היקפי הרשאות של OAuth בסיכון גבוה הם:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    פרטים על היקף ההרשאות ב-Gmail מופיעים במאמר בחירת היקף ההרשאות לאימות.

ב-Drive, היקפי הרשאות של OAuth בסיכון גבוה הם:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • ‫https://www.googleapis.com/auth/documents
    פרטים על היקפי הגישה ב-Drive זמינים במאמר בנושא מידע על הרשאות ואימות שספציפיים לממשקי API .

שלב 3: ניהול הגישה של אפליקציות צד שלישי לשירותי Google והוספת אפליקציות

אתם יכולים לנהל את הגישה לאפליקציות מסוימות על ידי חסימת האפליקציות האלה, סימון שלהן כאמינות או מתן גישה רק לשירותי Google שהגישה אליהם לא מוגבלת. לאפליקציה מהימנה יש גישה לכל שירותי Google Workspace (היקפי הרשאות OAuth), כולל שירותים מוגבלים. אפליקציות שאתם לא סומכים עליהן יכולות לגשת רק לשירותים שהגישה אליהם לא מוגבלת.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. בקטע בקרת גישה של אפליקציות, לוחצים על ניהול הגישה של אפליקציות צד שלישי.
  3. בקטע אפליקציות שהוגדרו, לוחצים על הצגת הרשימה.
  4. (אופציונלי) כדי לסנן את הרשימה, לוחצים על הוספת מסנן ובוחרים באחת מהאפשרויות:
    • שם האפליקציה – מזינים את שם האפליקציה ולוחצים על אישור.
    • סוג – בוחרים באפשרות אפליקציית אינטרנט, iOS או Android ולוחצים על החלה.
    • מזהה – מזינים את מזהה האפליקציה ולוחצים על אישור.
    • סטטוס מאומת – בוחרים באפשרות מאומת על ידי Google ולוחצים על החלה כדי לראות אפליקציות שנבדקו על ידי Google ועומדות בדרישות של מדיניות מסוימת. מידע נוסף זמין במאמר מהי אפליקציה מאומתת של צד שלישי.
    • גישה – מסמנים את התיבה מהימנות או חסימה ולוחצים על הפעלה.
  5. מעבירים את העכבר מעל האפליקציה ולוחצים על שינוי הגישה. אפשר גם לסמן את התיבות שליד כמה אפליקציות וללחוץ על שינוי הגישה בחלק העליון. אתם יכולים להחליט לתת אמון בכל האפליקציות שבבעלות הדומיין או לחסום אפליקציות כדי שלא תהיה להן גישה לשום שירות של Google Workspace.
  6. בוחרים אפשרות:
    • מהימנה – אפליקציה מהימנה עוקפת את ההגבלה על השירות. אפליקציות בבעלות Google, כמו דפדפן Chrome, נחשבות אוטומטית למהימנות ואי אפשר להגדיר אותן כאפליקציות מהימנות.
    • מוגבלת – יכולה לגשת רק לשירותי Google שהגישה אליהם חופשית.
    • חסומה – אין גישה לאף אחד משירותי Google.
      אם מוסיפים אפליקציה למכשירים לרשימת ההיתרים וגם חוסמים את אותה אפליקציה באמצעות אמצעי בקרה על API, האפליקציה נחסמת. החסימה של האפליקציה באמצעות אמצעי בקרה לממשקי API מבטלת את המיקום ברשימת ההיתרים.
  7. לוחצים על שינוי.

הוספת אפליקציה חדשה

  1. בקטע בקרת גישה של אפליקציות, לוחצים על ניהול הגישה של אפליקציות צד שלישי.
  2. בקטע אפליקציות שהוגדרו, לוחצים על הוספת אפליקציה.
  3. בוחרים באפשרות השם של אפליקציית ה-OAuth או מזהה הלקוח, Android או iOS.
  4. מזינים את השם של האפליקציה או את מזהה הלקוח שלה ולוחצים על חיפוש.
  5. מציבים את הסמן של העכבר מעל האפליקציה ולוחצים על בחירה.
  6. מסמנים את התיבות לצד מזהי הלקוח שרוצים להגדיר ולוחצים על בחירה.
  7. בוחרים באפשרות מהימנות או חסימה ולוחצים על הגדרה.

המשתמשים מתבקשים להביע הסכמה להוספת אפליקציות אינטרנט, אבל ב-Google Workspace Marketplace, רק לאפליקציות שאושרו, אפשר לדלג על מסך ההסכמה באמצעות התקנה ברמת הדומיין.

התאמה אישית של ההודעה לגבי אפליקציה לא מורשית

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על הכרטיס הגדרות.
  3. לוחצים על הודעה למשתמש.
  4. מפעילים את ההודעה למשתמש On.
  5. מזינים את הודעת המשתמש המועדפת בשדה ההודעה.
  6. לוחצים על שמירה.

שלב 4: שליטה בגישה ל-API

חסימת כל ניסיון גישה באמצעות API של צד שלישי

אתם יכולים לחסום את כל הגישה באמצעות API של צד שלישי, כך שבקשות של אפליקציות ואתרים של צד שלישי לא יוכלו לגשת לנתוני המשתמשים. ההגדרה הזו חוסמת את כל היקפי OAuth, כולל היקפים לכניסה, כלומר המשתמשים לא יוכלו יותר להיכנס לאפליקציות ולאתרים של צד שלישי באמצעות חשבון Google.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז אמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על הכרטיס הגדרות.
  3. לוחצים על אפליקציות צד שלישי שלא הוגדרו.
  4. בהתאם למהדורת Workspace שיש לכם, בוחרים אחת מהאפשרויות הבאות:
    • מהדורות Education – מסמנים את האפשרות המשתמשים לא יכולים להשתמש בחשבון שלהם כדי להיכנס לאפליקציות צד שלישי.
    • מהדורות אחרות של Workspace – בוחרים באפשרות המשתמשים לא יכולים להיכנס לאפליקציות צד שלישי.
  5. לוחצים על שמירה.

חלק מההגדרות מבטלות את הגדרות ה-API. לדוגמה, המשתמשים עדיין יוכלו לגשת לאפליקציות שהוגדרה להן גישה מהימנה או מוגבלת, גם אם תסמנו את התיבה חסימת כל ניסיון גישה באמצעות API של צד שלישי.

התרת גישה לאפליקציות צד שלישי שנדרשת בהן רק כניסה באמצעות חשבון Google

משתמשים באפשרות הזו אם רוצים לאפשר למשתמשים לגשת לאפליקציות צד שלישי שלא מבקשות נתונים מ-Google, למעט פרטי כניסה ל-Google (כמו כתובת אימייל).

הערה: האפשרות הזו לא זמינה במהדורות של Workspace Education.

  1. בקטע אמצעי בקרה של API, לוחצים על הכרטיס הגדרות.
  2. לוחצים על אפליקציות צד שלישי שלא הוגדרו.
  3. בוחרים באפשרות המשתמשים יכולים להיכנס לאפליקציות צד שלישי שמבקשות רק פרטי כניסה ל-Google.
  4. לוחצים על שמירה.

מתן גישה לאפליקציות פנימיות לממשקי API מוגבלים של Google Workspace

אם אתם מפתחים אפליקציות פנימיות (בבעלות הארגון), אתם יכולים לתת אמון בכל האפליקציות כדי לגשת לממשקי API מוגבלים של Google Workspace. כך לא צריך לתת אמון בכל אחד מהם בנפרד.

  1. בקטע אמצעי בקרה של API, לוחצים על הכרטיס הגדרות.
  2. לוחצים על אפליקציות פנימיות.
  3. מסמנים את תיבת הסימון אפשר לתת אמון באפליקציות פנימיות.