Specificare quali app di terze parti e interne possono accedere ai dati di Google Workspace

Per gestire le app mobile per la tua organizzazione, visita questa pagina.

Puoi controllare il modo in cui le app accedono ai dati Google della tua organizzazione. Le impostazioni della Console di amministrazione Google consentono di gestire l'accesso ai servizi di Google Workspace tramite OAuth 2.0. Alcune app utilizzano gli ambiti OAuth 2.0, un meccanismo che limita l'accesso all'account di un utente.

Puoi anche personalizzare il messaggio di errore visualizzato dagli utenti quando tentano di installare un'app non autorizzata.

Nota: per Google Workspace for Education, ulteriori limitazioni potrebbero impedire agli utenti degli istituti di istruzione primaria e secondaria di accedere ad alcune app di terze parti.

Controllare l'accesso delle app ai dati di Google

Prima di iniziare: esamina le app di terze parti autorizzate

Prima di implementare i controlli, esamina l'elenco delle app autorizzate ad accedere ai dati di Google. In genere i dettagli sulle app di terze parti vengono visualizzati entro 24-48 ore dall'autorizzazione.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAccesso e controllo dei datie poiControlli API.

    È necessario disporre del privilegio amministrativo "Impostazioni servizio".

    Puoi verificare il numero di app configurate e con accesso ai dati.

    • Le app configurate sono quelle a cui hai già applicato un criterio di accesso (attendibile, con restrizioni o bloccata). Se non hai impostato nessuna app come attendibile o come bloccata, vedrai (0) app configurate.
    • Le app con accesso ai dati sono app di terze parti utilizzate da utenti che hanno eseguito l'accesso ai dati di Google.
  2. Fai clic su Gestisci l'accesso delle app di terze parti.
    Per impostazione predefinita, vengono visualizzate le app configurate. Puoi controllare:
    • Nome app
    • Tipo
    • ID
    • Stato verificato: le app verificate sono state esaminate da Google per garantire la conformità a determinate norme. Molte app note potrebbero non essere verificate in questo modo. Per maggiori dettagli, vedi Che cos'è un'app di terze parti verificata?
    • Accesso: specifica Attendibile, Con restrizioni o Bloccato.
  3. (Facoltativo) Per visualizzare le app con accesso ai dati, nella sezione App con accesso ai dati, fai clic su Visualizza elenco.

    In App con accesso ai dati, puoi anche verificare:

    • Utenti: numero di utenti che accedono all'app.
    • Servizi richiesti: API dei servizi Google (ambiti OAuth2) utilizzate da ciascuna app (ad esempio, Gmail, Google Calendar o Google Drive). I servizi non Google richiesti sono contrassegnati come Altro.
  4. Nell'elenco App configurate o App con accesso ai dati, fai clic su un'app da esaminare:
    • Determinare se la tua app può accedere ai servizi Google: verifica se l'app è contrassegnata come Attendibile, Con restrizioni o Bloccato. Se modifichi la configurazione dell'accesso, fai clic su Salva.
    • Visualizzare informazioni sull'app: sono inclusi l'ID client OAuth2 completo dell'app, il numero di utenti, le norme sulla privacy e le informazioni relative all'assistenza.
    • Visualizzare le API dei servizi Google (ambiti OAuth) richieste dall'app: visualizza l'elenco degli ambiti OAuth richiesti da ogni app. Per visualizzare ciascuno degli ambiti OAuth, espandi la riga della tabella o fai clic su Espandi tutto.
  5. (Facoltativo) Per scaricare le informazioni sulle app in un file CSV, nella parte superiore dell'elenco App configurate o App con accesso ai dati, fai clic su Scarica l'elenco.
    • Verranno scaricati tutti i dati della tabella (inclusi quelli che non hai visualizzato).
    • Per le app Configurate, il file CSV contiene queste colonne aggiuntive, non visibili nella tabella: Numero di utenti, Servizi richiesti e Ambiti API associati a ciascun servizio. Se non è stato eseguito l'accesso a un'app configurata, il numero di utenti dell'app sarà 0, mentre le altre due colonne saranno vuote.

La verifica app è un programma di Google per garantire che le app di terze parti che accedono ai dati sensibili dei clienti superino i controlli per la sicurezza e per la privacy. Agli utenti potrebbe essere impedita l'attivazione di app non verificate che non hai impostato come attendibili (vedi qui sotto sulla pagina i dettagli sull'impostazione delle app come attendibili). Per ulteriori informazioni sulla verifica delle app, vedi Autorizzare applicazioni di terze parti non verificate.

Passaggio 2: limita i servizi Google o rimuovi le limitazioni

Puoi limitare o lasciare senza restrizioni l'accesso alla maggior parte dei servizi Google Workspace, inclusi i servizi Google Cloud, come Machine Learning. Per Gmail e Google Drive, puoi limitare in modo specifico l'accesso ai servizi ad alto rischio, ad esempio l'invio di posta o l'eliminazione di file su Drive. Agli utenti viene richiesto di consentire le app; tuttavia, se un'app che non hai specificamente impostato come attendibile richiede accesso a un servizio limitato, gli utenti non potranno aggiungerla.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAccesso e controllo dei datie poiControlli API.

    È necessario disporre del privilegio amministrativo "Impostazioni servizio".

  2. Fai clic su Gestisci i servizi Google.
  3. Dall'elenco dei servizi, seleziona le caselle accanto ai servizi che vuoi gestire.
    Seleziona la casella Servizio per selezionare tutte le caselle.
  4. (Facoltativo) Per filtrare questo elenco, fai clic su Aggiungi un filtro e seleziona uno dei seguenti criteri:
    • Servizi Google: seleziona uno o più servizi, come Drive o Gmail, e fai clic su Applica.
    • Accesso ai servizi Google: seleziona Senza restrizioni o Con restrizioni e fai clic su Applica.
    • App consentite: specifica un intervallo per il numero di app consentite e fai clic su Applica.
    • Utenti: specifica un intervallo per il numero di utenti e fai clic su Applica.
  5. In alto, fai clic su Cambia accesso e scegli Senza restrizioni o Con restrizioni.
    Se modifichi l'accesso a Con restrizioni, tutte le app installate in precedenza che non hai impostato come attendibili smetteranno di funzionare e i token verranno revocati. Se un utente tenta di installare un'app che ha un ambito soggetto a restrizioni, riceve un messaggio che indica che l'app è bloccata. La limitazione dell'accesso al servizio Drive limita anche l'accesso all'API Google Forms.
    Nota: l'elenco delle app con accesso ai dati viene aggiornato 48 ore dopo la concessione o la revoca di un token.
  6. (Facoltativo) Se hai scelto Con limitazioni, per consentire l'accesso agli ambiti OAuth non classificati come ad alto rischio (ad esempio, quelli che consentono alle app di accedere ai file selezionati dall'utente in Drive), seleziona la casella Per le app non attendibili, consenti agli utenti di concedere l'accesso agli ambiti OAuth non classificati come ad alto rischio. Questa casella di controllo viene visualizzata per le app come Gmail e Drive, ma non per tutte le app.
  7. Fai clic su Cambia e conferma, se necessario.
  8. (Facoltativo) Per rivedere quali app possono accedere a un servizio:
    1. In alto, per App con accesso ai dati, fai clic su Visualizza elenco.
    2. Fai clic su Aggiungi un filtroe poiServizi richiesti.
    3. Seleziona i servizi che stai controllando e fai clic su Applica.

Limitare l'accesso agli ambiti OAuth ad alto rischio

Gmail e Drive possono anche limitare l'accesso a un elenco predefinito di ambiti OAuth ad alto rischio.

Per Gmail, gli ambiti OAuth ad alto rischio sono:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    Per informazioni dettagliate sugli ambiti Gmail, vai a Scegliere gli ambiti di autenticazione.

Per Drive, gli ambiti OAuth ad alto rischio sono:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Per informazioni dettagliate sugli ambiti Drive, vedi le informazioni su autorizzazione e autenticazione specifiche dell'API .

Passaggio 3: gestisci l'accesso delle app di terze parti ai servizi Google e aggiungi le app

Puoi gestire l'accesso a determinate app bloccandole, contrassegnandole come attendibili o concedendo l'accesso solo ai servizi Google non soggetti a restrizioni. Un'app attendibile ha accesso a tutti i servizi Google Workspace (ambiti OAuth), inclusi i servizi limitati. Le app che non imposti come attendibili possono accedere solo ai servizi non limitati.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAccesso e controllo dei datie poiControlli API.

    È necessario disporre del privilegio amministrativo "Impostazioni servizio".

  2. In Controllo accesso app, fai clic su Gestisci l'accesso delle app di terze parti.
  3. In App configurate, fai clic su Visualizza elenco.
  4. (Facoltativo) Per filtrare l'elenco, fai clic su Aggiungi un filtro e seleziona un'opzione:
    • Nome app: inserisci il nome dell'app e fai clic su Applica.
    • Tipo: seleziona Applicazione web, iOS o Android e fai clic su Applica.
    • ID: inserisci l'ID dell'app e fai clic su Applica.
    • Stato verificato: seleziona Verificata da Google e fai clic su Applica per esaminare le app che sono esaminate da Google e che rispettano determinati criteri. Per maggiori dettagli, vedi Che cos'è un'app di terze parti verificata?
    • Accesso: seleziona la casella Attendibile o Bloccata, quindi fai clic su Applica.
  5. Posiziona il cursore del mouse su un'app e fai clic su Cambia accesso. In alternativa, seleziona le caselle accanto a più app e fai clic su Modifica accesso in alto. Puoi decidere di considerare attendibili tutte le app di proprietà del dominio o bloccare le app in modo che non possano accedere ad alcun servizio di Google Workspace.
  6. Scegli un'opzione:
    • Attendibile: l'impostazione di un'app come attendibile prevale sull'eventuale limitazione di un servizio. Le app di proprietà di Google, come il browser Chrome, sono automaticamente considerate attendibili e non possono essere configurate come app attendibili.
    • Con restrizioni: sono accessibili solo i servizi Google non soggetti a restrizioni.
    • Bloccato: accesso ai servizi Google non consentito.
      Se aggiungi un'app per dispositivi a una lista consentita e blocchi la stessa app tramite i controlli API, l'app sarà bloccata. Il blocco dell'app tramite controlli API prevale sull'inserimento nella lista consentita.
  7. Fai clic su Cambia.

Aggiungere una nuova app

  1. In Controllo accesso app, fai clic su Gestisci l'accesso delle app di terze parti.
  2. In App configurate, fai clic su Aggiungi app.
  3. Scegli Nome app o ID client OAuth, Android o iOS.
  4. Inserisci il nome o l'ID client dell'app, quindi fai clic su Cerca.
  5. Posiziona il cursore del mouse sull'app e fai clic su Seleziona.
  6. Seleziona le caselle corrispondenti agli ID client che vuoi configurare e fai clic su Seleziona.
  7. Seleziona Attendibile o Bloccata e fai clic su Configura.

Agli utenti viene richiesto di acconsentire all'aggiunta di app web; tuttavia, in Google Workspace Marketplace e solo per le app approvate, puoi aggirare la schermata di consenso ricorrendo all'installazione nel dominio.

Personalizzare il messaggio per un'app non autorizzata

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAccesso e controllo dei datie poiControlli API.

    È necessario disporre del privilegio amministrativo "Impostazioni servizio".

  2. Fai clic sulla scheda Impostazioni.
  3. Fai clic su Messaggio per gli utenti.
  4. Attiva il messaggio utente.
  5. Inserisci il messaggio utente che preferisci nel campo del messaggio.
  6. Fai clic su Salva.

Passaggio 4: controlla l'accesso alle API

Bloccare l'accesso di tutte le API di terze parti

Puoi bloccare l'accesso di tutte le API di terze parti in modo che l'accesso ai dati utente da parte di app e siti web di terze parti venga rifiutato. Questa impostazione blocca tutti gli ambiti OAuth, inclusi gli ambiti di accesso, per cui gli utenti non potranno più utilizzare la funzionalità Accedi con Google per app e siti web di terze parti.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAccesso e controllo dei datie poiControlli API.

    È necessario disporre del privilegio amministrativo "Impostazioni servizio".

  2. Fai clic sulla scheda Impostazioni.
  3. Fai clic su App di terze parti non configurate.
  4. A seconda della versione di Workspace, scegli una delle seguenti opzioni:
    • Versioni Education: seleziona Non consentire agli utenti di accedere ad app di terze parti con il proprio account.
    • Altre versioni di Workspace: scegli Non consentire agli utenti di accedere alle app di terze parti.
  5. Fai clic su Salva.

Alcune impostazioni hanno la precedenza su quelle relative alle API. Ad esempio, gli utenti potranno comunque accedere alle app configurate con accesso Attendibile o Con restrizioni, anche se selezioni la casella Blocca l'accesso di tutte le API di terze parti.

Consenti l'accesso alle app di terze parti che richiedono solo l'accesso con Google

Utilizza questa opzione se vuoi consentire agli utenti di accedere ad app di terze parti che non richiedono dati di Google, ad eccezione dei dati di accesso a Google (ad esempio l'indirizzo email).

Nota:questa opzione non è disponibile nelle versioni Workspace Education.

  1. In Controlli API, fai clic sulla scheda Impostazioni.
  2. Fai clic su App di terze parti non configurate.
  3. Scegli Consenti agli utenti di accedere alle app di terze parti che chiedono solo i dati relativi all'accesso con Google.
  4. Fai clic su Salva.

Consentire alle app interne l'accesso con restrizioni alle API Google Workspace

Se crei delle app interne (di proprietà della tua organizzazione), puoi considerarle tutte attendibili per l'accesso alle API Google Workspace con restrizioni. In questo modo, non è necessario impostarle tutte singolarmente come attendibili.

  1. In Controlli API, fai clic sulla scheda Impostazioni.
  2. Fai clic su App interne.
  3. Seleziona la casella di controllo Considera attendibili le app interne.