קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים של Google Workspace

כדי לנהל אפליקציות לנייד בארגון, עוברים לכאן.

אתם יכולים לקבוע איך אפליקציות ניגשות לנתונים של הארגון ב-Google. אתם משתמשים בהגדרות במסוף Google Admin כדי לשלוט בגישה לשירותי Google Workspace באמצעות OAuth 2.0. חלק מהאפליקציות משתמשות בהיקפי הרשאות של OAuth 2.0 – מנגנון להגבלת הגישה לחשבון של משתמש.

אפשר גם להתאים אישית את הודעת השגיאה שמוצגת למשתמשים שמנסים להתקין אפליקציה לא מורשית.

הערה: ב-Google Workspace for Education, יכול להיות שהגבלות נוספות ימנעו ממשתמשים במוסדות חינוך יסודיים ועל-יסודיים לגשת לאפליקציות מסוימות של צד שלישי.

שליטה בגישה של האפליקציות לנתוני Google

לפני שמתחילים: בדיקת אפליקציות צד שלישי מורשות

לפני שמטמיעים אמצעי בקרה, כדאי לעיין ברשימת האפליקציות שקיבלו הרשאה לגשת לנתונים ב-Google. בדרך כלל, הפרטים על אפליקציות צד שלישי מופיעים 24 עד 48 שעות אחרי ההרשאה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזאמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

    אפשר לבדוק את מספר האפליקציות שהוגדרו ואת מספר האפליקציות שהייתה אליהן גישה.

    • אפליקציות שהוגדרו הן אפליקציות שנקבעה עבורן מדיניות גישה (מהימנה, מוגבלת או חסומה). אם לא נתתם אמון באף אפליקציה או חסמתם אף אפליקציה, יופיע המספר אפס (0) לצד האפשרות'אפליקציות שהוגדרו'.
    • אפליקציות עם גישה הן אפליקציות של צד שלישי שהמשתמשים משתמשים בהן ויש להן גישה לנתונים בחשבון Google.
  2. לוחצים על ניהול הגישה של אפליקציות צד שלישי.
    כברירת מחדל, מוצגות אפליקציות שהוגדרו. אתם יכולים לבדוק את הפרטים הבאים:
    • שם האפליקציה
    • סוג
    • מזהה
    • סטטוס מאומת – אפליקציות מאומתות נבדקו על ידי Google כדי לוודא שהן עומדות בדרישות של כללי מדיניות מסוימים. יכול להיות שאפליקציות ידועות רבות לא מאומתות באופן הזה. מידע נוסף ניתן לקרוא במאמר מהי אפליקציה מאומתת של צד שלישי?
    • גישה – מציינת אם הגישה היא מהימנה, מוגבלת או חסומה.
  3. (אופציונלי) כדי לראות את האפליקציות שהייתה אליהן גישה, לוחצים על הצגת הרשימה בקטע אפליקציות שהייתה אליהן גישה.

    בקטע אפליקציות שנכנסו אליהן, אפשר גם לבדוק:

    • משתמשים – מספר המשתמשים שניגשים לאפליקציה.
    • שירותים מבוקשים – ממשקי ה-API של שירותי Google (היקפי OAuth2) שכל אפליקציה משתמשת בהם (לדוגמה, Gmail, יומן Google או Google Drive). שירותים שנדרשים ולא שייכים ל-Google מופיעים בקטגוריה אחרים.
  4. ברשימה אפליקציות שהוגדרו או אפליקציות שהייתה אליהן גישה, לוחצים על אפליקציה כדי לבדוק:
    • קביעת הרשאות הגישה של האפליקציה לשירותי Google – בודקים אם האפליקציה מסומנת כ'אמינה', 'מוגבלת' או 'חסומה'. אם משנים את הגדרת הגישה, לוחצים על שמירה.
    • הצגת מידע על האפליקציה – הצגת מזהה הלקוח המלא של OAuth2 של האפליקציה, מספר המשתמשים, מדיניות הפרטיות ופרטי התמיכה.
    • צפייה בממשקי ה-API של שירותי Google (היקפי הרשאות OAuth) שהאפליקציה מבקשת – אפשר לראות רשימה של היקפי הרשאות OAuth שכל אפליקציה מבקשת. כדי לראות את כל היקפי ההרשאות של OAuth, מרחיבים את שורת הטבלה או לוחצים על הרחבת כל ההרשאות.
  5. (אופציונלי) כדי להוריד את פרטי האפליקציה לקובץ CSV, בחלק העליון של הרשימה אפליקציות שהוגדרו או אפליקציות שהייתה אליהן גישה, לוחצים על הורדת הרשימה.
    • כל הנתונים בטבלה יורדו (כולל נתונים שלא מוצגים).
    • באפליקציות שהוגדרו, קובץ ה-CSV מכיל עמודות נוספות שלא מוצגות בטבלה: מספר המשתמשים, השירותים המבוקשים והיקפי ה-API שמשויכים לכל שירות. אם לא הייתה גישה לאפליקציה שהוגדרה, מספר המשתמשים באפליקציה הזו יהיה אפס (0), ושני העמודות האחרות יהיו ריקות.

אימות אפליקציות הוא התוכנית של Google שמטרתה לוודא שאפליקציות צד שלישי שמקבלות גישה לנתונים רגישים של לקוחות עוברות בדיקות אבטחה ופרטיות. יכול להיות שהמשתמשים ייחסמו מהפעלת אפליקציות לא מאומתות שאתם לא סומכים עליהן (פרטים על אפליקציות מהימנות מופיעים בהמשך הדף). מידע נוסף על אימות אפליקציות זמין במאמר אישור אפליקציות לא מאומתות של צד שלישי.

שלב 2: הגבלת הגישה לשירותי Google או ביטול ההגבלה

אתם יכולים להגביל את הגישה לרוב השירותים של Google Workspace, כולל שירותי Google Cloud כמו Machine Learning, או להשאיר את הגישה ללא הגבלה. ב-Gmail וב-Google Drive, אפשר להגביל את הגישה לשירותים בסיכון גבוה, למשל שליחת אימייל או מחיקת קבצים ב-Drive. בזמן שהמשתמשים מתבקשים להביע הסכמה לשימוש באפליקציות, אם אפליקציה מבקשת גישה לשירות מוגבל ולא הגדרתם את האפליקציה כ'מהימנה' באופן ספציפי, המשתמשים לא יכולים להוסיף אותה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזאמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על ניהול השירותים של Google.
  3. ברשימת השירותים, מסמנים את התיבות לצד השירותים שרוצים לנהל.
    מסמנים את התיבה שירות כדי לסמן את כל התיבות.
  4. (אופציונלי) כדי לסנן את הרשימה, לוחצים על הוספת מסנן ובוחרים מבין הקריטריונים הבאים:
    • שירותי Google – בוחרים מתוך רשימת השירותים, כמו Drive או Gmail, ולוחצים על החלה.
    • גישה לשירותי Google – בוחרים באפשרות ללא הגבלה או מוגבלת ולוחצים על החלה.
    • אפליקציות עם הרשאת גישה לשירות – מציינים טווח למספר האפליקציות שמורשות ולוחצים על החלה.
    • משתמשים – מציינים טווח למספר המשתמשים ולוחצים על החלת הסינון.
  5. למעלה, לוחצים על שינוי הגישה ובוחרים באפשרות ללא הגבלה או מוגבלת.
    אם משנים את הגישה ל'מוגבלת', כל האפליקציות שהותקנו קודם ולא הוגדרו כאפליקציות מהימנות מפסיקות לפעול, והאסימונים מבוטלים. כשמשתמש מנסה להתקין אפליקציה עם היקף מוגבל, הוא מקבל הודעה שהאפליקציה חסומה. הגבלת הגישה לשירות Drive מגבילה גם את הגישה ל-Google Forms API.
    הערה: רשימת האפליקציות שאליהן ניתנה גישה מתעדכנת 48 שעות אחרי שהטוקן ניתן או בוטל.
  6. (אופציונלי) אם בחרתם באפשרות מוגבלת, כדי לאפשר גישה להיקפי הרשאות של OAuth שלא מסווגים בסיכון גבוה (לדוגמה, היקפי הרשאות שמתירים לאפליקציות לגשת לקבצים ב-Drive שהמשתמש סימן), מסמנים את התיבה משתמשים יכולים להעניק לאפליקציות לא מהימנות גישה להיקפי הרשאות של OAuth שאינם מסווגים בסיכון גבוה. (תיבת הסימון הזו תופיע באפליקציות כמו Gmail ו-Drive, אבל לא בכל האפליקציות).
  7. לוחצים על שינוי ומאשרים, אם צריך.
  8. (אופציונלי) כדי לבדוק לאילו אפליקציות יש גישה לשירות:
    1. למעלה, בקטע אפליקציות עם גישה, לוחצים על הצגת הרשימה.
    2. לוחצים על הוספת מסנןואזשירותים מבוקשים.
    3. בוחרים את השירותים שרוצים לבדוק ולוחצים על אישור.

הגבלת הגישה להיקפי OAuth בסיכון גבוה

ב-Gmail וב-Drive אפשר גם להגביל את הגישה רק לרשימה מוגדרת-מראש של היקפי OAuth בסיכון גבוה.

ב-Gmail, היקפי הרשאות של OAuth בסיכון גבוה הם:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    פרטים על היקף ההרשאות ב-Gmail מופיעים במאמר בחירת היקף ההרשאות לאימות.

ב-Drive, היקפי הרשאות של OAuth בסיכון גבוה הם:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • ‫https://www.googleapis.com/auth/documents
    פרטים על היקפי הגישה ב-Drive זמינים במאמר בנושא מידע על הרשאות ואימות שספציפי לממשקי API .

שלב 3: ניהול הגישה של אפליקציות צד שלישי לשירותי Google והוספת אפליקציות

אתם יכולים לנהל את הגישה לאפליקציות מסוימות על ידי חסימת האפליקציות האלה, סימון שלהן כאפליקציות אמינות או מתן גישה רק לשירותי Google שהגישה אליהם לא מוגבלת. לאפליקציה מהימנה יש גישה לכל שירותי Google Workspace (היקפי הרשאות OAuth), כולל שירותים מוגבלים. אפליקציות שאתם לא סומכים עליהן יכולות לגשת רק לשירותים שהגישה אליהם לא מוגבלת.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזאמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. בקטע שליטה בגישה לאפליקציות, לוחצים על ניהול הגישה של אפליקציות צד שלישי.
  3. בקטע Configured apps (אפליקציות שהוגדרו), לוחצים על View list (הצגת הרשימה).
  4. (אופציונלי) כדי לסנן את הרשימה, לוחצים על הוספת מסנן ובוחרים באחת מהאפשרויות:
    • שם האפליקציה – מזינים את שם האפליקציה ולוחצים על אישור.
    • סוג – בוחרים באפשרות אפליקציית אינטרנט, iOS או Android ולוחצים על החלה.
    • מזהה – מזינים את מזהה האפליקציה ולוחצים על אישור.
    • סטטוס מאומת – בוחרים באפשרות מאומת על ידי Google ולוחצים על החלה כדי לראות אפליקציות שנבדקו על ידי Google ועומדות בדרישות של מדיניות מסוימת. מידע נוסף זמין במאמר מהי אפליקציה מאומתת של צד שלישי.
    • גישה – מסמנים את התיבה מהימנים או חסומים ולוחצים על הפעלה.
  5. מעבירים את העכבר מעל האפליקציה ולוחצים על שינוי הגישה. לחלופין, מסמנים את התיבות שליד כמה אפליקציות ולוחצים על שינוי הגישה בחלק העליון. אתם יכולים להחליט לתת אמון בכל האפליקציות שבבעלות הדומיין או לחסום אפליקציות כדי שלא תהיה להן גישה לשום שירות של Google Workspace.
  6. בוחרים אפשרות:
    • מהימנה – הגדרת אפליקציה כמהימנה מבטלת את ההגבלה על השירות. אפליקציות בבעלות Google, כמו דפדפן Chrome, נחשבות אוטומטית למהימנות ואי אפשר להגדיר אותן כאפליקציות מהימנות.
    • מוגבלת – יכולה לגשת רק לשירותי Google שהגישה אליהם חופשית.
    • חסומה – אין גישה לאף אחד משירותי Google.
      אם מוסיפים אפליקציה למכשירים לרשימת ההיתרים וגם חוסמים את אותה אפליקציה באמצעות אמצעי בקרה על API, האפליקציה נחסמת. החסימה של האפליקציה באמצעות אמצעי בקרה לממשקי API מבטלת את המיקום ברשימת ההיתרים.
  7. לוחצים על Change.

הוספת אפליקציה חדשה

  1. בקטע שליטה בגישה לאפליקציות, לוחצים על ניהול הגישה של אפליקציות צד שלישי.
  2. בקטע Configured apps (אפליקציות שהוגדרו), לוחצים על Add app (הוספת אפליקציה).
  3. בוחרים באפשרות השם של אפליקציית ה-OAuth או מזהה הלקוח, Android או IOS.
  4. מזינים את השם של האפליקציה או את מזהה הלקוח שלה ולוחצים על חיפוש.
  5. מציבים את הסמן של העכבר מעל האפליקציה ולוחצים על בחירה.
  6. מסמנים את התיבות לצד מזהי הלקוח שרוצים להגדיר ולוחצים על בחירה.
  7. בוחרים באפשרות מהימנות או חסימה ולוחצים על הגדרה.

המשתמשים מתבקשים להביע הסכמה להוספת אפליקציות אינטרנט, אבל ב-Google Workspace Marketplace, רק לאפליקציות שאושרו, אפשר לדלג על מסך ההסכמה באמצעות התקנה ברמת הדומיין.

התאמה אישית של ההודעה לגבי אפליקציה לא מורשית

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזאמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על הכרטיס הגדרות.
  3. לוחצים על הודעה למשתמש.
  4. מפעילים את ההודעה למשתמש On.
  5. מזינים את הודעת המשתמש הרצויה בשדה ההודעה.
  6. לוחצים על שמירה.

שלב 4: שליטה בגישה ל-API

חסימת כל ניסיון גישה באמצעות API של צד שלישי

אתם יכולים לחסום את כל הגישה באמצעות API של צד שלישי, כך שבקשות של אפליקציות ואתרים של צד שלישי לא יקבלו גישה לנתוני המשתמשים. ההגדרה הזו חוסמת את כל היקפי OAuth, כולל היקפים לכניסה, כך שהמשתמשים לא יוכלו יותר להיכנס לאפליקציות ולאתרים של צד שלישי באמצעות חשבון Google.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזאמצעי בקרה לממשקי API.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על הכרטיס הגדרות.
  3. לוחצים על אפליקציות צד שלישי שלא הוגדרו.
  4. בהתאם למהדורת Workspace שיש לכם, בוחרים אחת מהאפשרויות הבאות:
    • מהדורות Education – מסמנים את האפשרות המשתמשים לא יכולים להשתמש בחשבון שלהם כדי להיכנס לאפליקציות צד שלישי.
    • מהדורות אחרות של Workspace – בוחרים באפשרות המשתמשים לא יכולים להיכנס לאפליקציות צד שלישי.
  5. לוחצים על שמירה.

חלק מההגדרות מבטלות את הגדרות ה-API. לדוגמה, המשתמשים עדיין יוכלו לגשת לאפליקציות שהוגדרה להן גישה מהימנה או מוגבלת, גם אם תסמנו את התיבה חסימת כל ניסיון גישה באמצעות API של צד שלישי.

התרת גישה לאפליקציות צד שלישי שנדרשת בהן רק כניסה באמצעות חשבון Google

משתמשים באפשרות הזו אם רוצים לאפשר למשתמשים לגשת לאפליקציות צד שלישי שלא מבקשות נתוני Google, למעט פרטי כניסה ל-Google (כמו כתובת אימייל).

הערה: האפשרות הזו לא זמינה במהדורות Workspace Education.

  1. בקטע API controls (אמצעי בקרה של API), לוחצים על הכרטיס Settings (הגדרות).
  2. לוחצים על אפליקציות צד שלישי שלא הוגדרו.
  3. בוחרים באפשרות המשתמשים יכולים להיכנס לאפליקציות צד שלישי שמבקשות רק פרטי כניסה ל-Google.
  4. לוחצים על שמירה.

מתן גישה לאפליקציות פנימיות לממשקי API מוגבלים של Google Workspace

אם אתם מפתחים אפליקציות פנימיות (בבעלות הארגון שלכם), אתם יכולים לתת אמון בכל האפליקציות כדי לגשת לממשקי API מוגבלים של Google Workspace. כך לא צריך לתת אמון לכל אחד מהם בנפרד.

  1. בקטע API controls (אמצעי בקרה של API), לוחצים על הכרטיס Settings (הגדרות).
  2. לוחצים על אפליקציות פנימיות.
  3. מסמנים את תיבת הסימון אפשר לתת אמון באפליקציות פנימיות.