Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御する

制御を実装する前に、Google データへのアクセスが許可されているアプリのリストを確認します。通常、サードパーティ製アプリの詳細は、承認の 24 ～ 48 時間後に表示されます。

1. Google 管理コンソールで、メニュー アイコン [セキュリティ] [アクセスとデータ管理] [API の制御] に移動します。

   API の制御に移動

   アクセスするにはサービス設定の管理者権限が必要です。

   設定済みアプリとアクセス済みアプリの数を確認できます。

   • 設定済みアプリとは、アクセス ポリシー（信頼できる、限定、ブロック中）が設定されているアプリです。どのアプリも信頼またはブロックしていない場合、設定済みアプリの数は 0 個と表示されます。
   • アクセス済みアプリとは、Google データにアクセスしたユーザーが使用するサードパーティ製アプリです。
2. [サードパーティ製アプリのアクセスを管理] をクリックします。
   設定済みアプリがデフォルトで表示されます。次の情報を確認できます。
   • アプリ名
   • 型
   • ID
   • 確認済みのステータス - 確認済みアプリは、Google の審査によって特定のポリシーに準拠していることが確認されています。よく使われている多くのアプリがここでは確認済みにならない場合があります。詳しくは、確認済みのサードパーティ製アプリとはをご覧ください。
   • アクセス - [信頼できる]、[限定]、[ブロック中] のいずれかが表示されます。
3. （省略可）アクセスしたアプリを表示するには、[アクセス済みアプリ] の [リストを表示] をクリックします。

   アクセス済みアプリについては、以下のことも確認できます。

   • ユーザー - アプリにアクセスするユーザーの数。
   • リクエストされたサービス - 各アプリ（Gmail、Google カレンダー、Google ドライブなど）で使用されている Google サービスの API（OAuth2 スコープ）。Google がリクエストしていないサービスは「その他」と表示されます。
4. [設定済みアプリ] または [アクセス済みアプリ] のリストで、目的のアプリをクリックして確認します。
   • アプリが Google サービスにアクセスできるかどうかを管理する - アプリが [信頼できる]、[限定]、[ブロック中] のどれに設定されているかを確認します。アクセス設定を変更した場合は、[保存] をクリックします。
   • アプリに関する情報を確認する - アプリの完全な OAuth2 クライアント ID、ユーザー数、プライバシー ポリシー、サポート情報を確認できます。
   • アプリがリクエストしている Google サービス API（OAuth スコープ）を確認する - 各アプリがリクエストしている OAuth スコープのリストを確認します。各 OAuth スコープを表示するには、表の行を展開するか、[すべて展開] をクリックします。
5. （省略可）アプリの情報を CSV ファイルにダウンロードするには、[設定済みアプリ] または [アクセス済みアプリ] のリストの上部にある [リストをダウンロード] をクリックします。
   • 表示されていないデータも含め、表内のすべてのデータがダウンロードされます。
   • 設定済みのアプリの場合、CSV ファイルには表に表示されない列（ユーザー数、リクエストされたサービス、各サービスに関連付けられている API スコープ）も記載されます。設定済みのアプリがアクセス済みではない場合、そのアプリのユーザー数は 0 になり、他の 2 列は空白になります。

アプリの確認とは、機密性の高いお客様データにアクセスするサードパーティ製アプリが、セキュリティとプライバシーの基準を満たしていることを保証する Google のプログラムです。管理者から信頼されていない未確認のアプリをユーザーが有効化するのをブロックできます（アプリを信頼する方法について詳しくは、後述を参照）。アプリの確認について詳しくは、未確認のサードパーティ製アプリを承認するをご覧ください。

機械学習などの Google Cloud サービスを含む、ほとんどの Google Workspace サービスへのアクセスを制限（または無制限のままに）することができます。Gmail と Google ドライブでは、メールの送信やドライブ内のファイルの削除など、リスクの高いサービスへのアクセスを詳細に制限できます。ユーザーがアプリに同意するよう求められても、アプリが制限付きサービスへのアクセスをリクエストしていて、管理者がアプリを信頼していない場合は、ユーザーはアプリを追加できません。

1. Google 管理コンソールで、メニュー アイコン [セキュリティ] [アクセスとデータ管理] [API の制御] に移動します。

   API の制御に移動

   アクセスするにはサービス設定の管理者権限が必要です。

2. [Google サービスを管理] をクリックします。
3. サービスの一覧で、管理するサービスの横にあるチェックボックスをオンにします。
   [サービス] チェックボックスをオンにして、すべてのチェックボックスをオンにします。
4. （省略可）このリストをフィルタするには、[フィルタを追加] をクリックして次の条件から選択します。
   • Google サービス - [ドライブ] や [Gmail] などのサービスを一覧から選択し、[適用] をクリックします。
   • Google サービスによるアクセス - [制限なし] または [制限付き] を選択し、[適用]をクリックします。
   • 許可されているアプリ - 許可されているアプリの数の範囲を指定し、[適用] をクリックします。
   • ユーザー - ユーザーの数の範囲を指定し、[適用] をクリックします。
5. 上部にある [アクセス権を変更] をクリックし、[制限なし] または [制限付き] を選択します。
   アクセス権を [制限付き] に変更すると、インストール済みアプリのうち信頼していないアプリが動作しなくなり、トークンが取り消されます。ユーザーがスコープ制限付きのアプリをインストールしようとすると、インストールできないことが通知されます。ドライブ サービスへのアクセスを制限すると、Google フォーム API へのアクセスも制限されます。
   注: アクセスしたアプリの一覧は、トークンが付与または取り消されてから 48 時間後に更新されます。
6. （省略可）[制限付き] を選択した場合、高リスクに分類されていない OAuth スコープ（アプリがドライブ内のユーザー選択ファイルにアクセスできるようにするスコープなど）へのアクセスを許可するには、[信頼できないアプリに対して、高リスクに分類されていない OAuth スコープへのアクセスをユーザーが許可できるようにする] チェックボックスをオンにします。（このチェックボックスは Gmail やドライブなどのアプリについて表示されますが、すべてのアプリについて表示されるわけではありません）。
7. [変更] をクリックして、必要に応じて確定します。
8. （省略可）サービスにアクセスできるアプリを確認するには:
   1. 上部の [アクセス済みアプリ] で [リストを表示] をクリックします。
   2. [フィルタを追加] [リクエストされたサービス] をクリックします。
   3. 確認するサービスを選択し、[適用] をクリックします。

リスクの高い OAuth スコープへのアクセスを制限する

Gmail とドライブでは、事前定義されたリスクの高い OAuth スコープのリストへのアクセスを制限することもできます。

Gmail のリスクの高い OAuth スコープは次のとおりです。

• https://mail.google.com/
• https://www.googleapis.com/auth/gmail.compose
• https://www.googleapis.com/auth/gmail.insert
• https://www.googleapis.com/auth/gmail.metadata
• https://www.googleapis.com/auth/gmail.modify
• https://www.googleapis.com/auth/gmail.readonly
• https://www.googleapis.com/auth/gmail.send
• https://www.googleapis.com/auth/gmail.settings.basic
• https://www.googleapis.com/auth/gmail.settings.sharing
  Gmail のスコープについて詳しくは、Auth スコープを選択するをご覧ください。

ドライブのリスクの高い OAuth スコープは次のとおりです。

• https://www.googleapis.com/auth/drive
• https://www.googleapis.com/auth/drive.apps.readonly
• https://www.googleapis.com/auth/drive.metadata
• https://www.googleapis.com/auth/drive.metadata.readonly
• https://www.googleapis.com/auth/drive.readonly
• https://www.googleapis.com/auth/drive.scripts
• https://www.googleapis.com/auth/documents
  ドライブのスコープについて詳しくは、API 固有の認可と認証情報をご覧ください。

アプリをブロックしたり、信頼できるアプリとしてマークしたり、制限のない Google サービスにのみアクセスできるように設定したりして特定のアプリのアクセスを管理できます。信頼できるアプリは、制限付きのサービスを含むすべての Google Workspace サービス（OAuth スコープ）にアクセスできます。管理者が信頼していないアプリは、制限のないサービスにのみアクセスできます。

1. Google 管理コンソールで、メニュー アイコン [セキュリティ] [アクセスとデータ管理] [API の制御] に移動します。

   API の制御に移動

   アクセスするにはサービス設定の管理者権限が必要です。

2. [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
3. [設定済みアプリ] で [リストを表示] をクリックします。
4. （省略可）リストをフィルタするには、[フィルタを追加] をクリックして次のいずれかを選択します。
   • アプリ名 - アプリの名前を入力し、[適用] をクリックします。
   • 種類 - [ウェブ アプリケーション]、[iOS]、または [Android] を選択し、[適用] をクリックします。
   • ID - アプリ ID を入力し、[適用] をクリックします。
   • 確認済みのステータス - [Google 確認済み] を選択して [適用] をクリックすると、Google の審査を受け、特定のポリシーに準拠しているアプリを確認できます。詳しくは、確認済みのサードパーティ製アプリとはをご覧ください。
   • アクセス - [信頼できる] または [ブロック中] のチェックボックスをオンにして、[適用] をクリックします。
5. アプリにカーソルを合わせ、[アクセス権限を変更] をクリックします。または、複数のアプリの横にあるチェックボックスをオンにして、上部にある [アクセス権限を変更] をクリックします。ドメインで所有するすべてのアプリを信頼することも、Google Workspace サービスにアクセスできないようにアプリをブロックすることもできます。
6. 次のいずれかを選択します。
   • 信頼されている - アプリを信頼すると、サービスの制限がオーバーライドされます。Chrome ブラウザなどの Google 所有アプリは自動的に信頼されるため、信頼できるアプリとして設定することはできません。
   • 制限付き - アクセス制限のない Google サービスにのみアクセスできます。
   • ブロック - Google サービスにアクセスできません。
     デバイス用のアプリを許可リストに追加し、API の制御で同じアプリをブロックした場合、そのアプリはブロックされます。API の制御でアプリのブロックを行うと、許可リストへの登録がオーバーライドされます。
7. [変更] をクリックします。

新しいアプリを追加する

1. [アプリのアクセス制御] で [サードパーティ製アプリのアクセスを管理] をクリックします。
2. [設定済みアプリ] で [アプリを追加] をクリックします。
3. [OAuth アプリ名またはクライアント ID]、[Android]、[IOS] のいずれかを選択します。
4. アプリ名またはクライアント ID を入力し、[検索] をクリックします。
5. アプリにカーソルを合わせ、[選択] をクリックします。
6. 設定するクライアント ID のチェックボックスをオンにして [選択] をクリックします。
7. [信頼されている] または [ブロック中] をオンにして、[設定] をクリックします。

ユーザーはウェブアプリの追加に同意するよう求められますが、Google Workspace Marketplace では承認済みアプリに限り、管理者がドメイン インストールを使用して同意画面を省略できます。

未承認のアプリのメッセージをカスタマイズする