Bepaal welke apps van derden en interne apps toegang hebben tot de gegevens in Google Workspace.

Om mobiele apps voor uw organisatie te beheren, gaat u hierheen .

U kunt bepalen hoe apps toegang krijgen tot de Google-gegevens van uw organisatie. U gebruikt de instellingen in de Google-beheerconsole om de toegang tot Google Workspace-services via OAuth 2.0 te beheren. Sommige apps gebruiken OAuth 2.0-scopes, een mechanisme om de toegang tot een gebruikersaccount te beperken.

Je kunt ook het foutbericht aanpassen dat gebruikers te zien krijgen wanneer ze een niet-geautoriseerde app proberen te installeren.

Let op : Voor Google Workspace voor Onderwijs kunnen aanvullende beperkingen voorkomen dat gebruikers in het primair en voortgezet onderwijs toegang krijgen tot bepaalde apps van derden.

Beheer de toegang van apps tot Google-gegevens.

Voordat je begint: controleer de geautoriseerde apps van derden.

Controleer voordat u beveiligingsmaatregelen implementeert de lijst met apps die gemachtigd zijn om toegang te krijgen tot Google-gegevens. Details over apps van derden verschijnen doorgaans 24 tot 48 uur na de machtiging.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Toegangs- en gegevensbeheer en dan API-besturingselementen .

    Hiervoor is beheerdersrechten voor service-instellingen vereist.

    Je kunt het aantal geconfigureerde en gebruikte apps bekijken.

    • Geconfigureerde apps zijn apps met een toegangsbeleid (vertrouwd, beperkt of geblokkeerd). Als u geen apps hebt vertrouwd of geblokkeerd, ziet u nul (0) geconfigureerde apps.
    • Toegang tot Google-gegevens wordt ook wel aangeduid als 'apps van derden'.
  2. Klik op Toegang tot apps van derden beheren .
    De geconfigureerde apps worden standaard weergegeven. U kunt ze bekijken:
    • Appnaam
    • Type
    • ID
    • Geverifieerde status — Geverifieerde apps zijn door Google beoordeeld om te garanderen dat ze voldoen aan bepaalde beleidsregels. Veel bekende apps zijn mogelijk niet op deze manier geverifieerd. Ga voor meer informatie naar Wat is een geverifieerde app van derden?
    • Toegang — Geeft aan of de toegang vertrouwd, beperkt of geblokkeerd is.
  3. (Optioneel) Om de geopende apps te bekijken, klikt u in het gedeelte 'Geopende apps' op 'Lijst bekijken' .

    Voor Accessed-apps kunt u ook het volgende bekijken:

    • Gebruikers — Het aantal gebruikers dat de app gebruikt.
    • Gevraagde services — Google-service-API's (OAuth2-scopes) die elke app gebruikt (bijvoorbeeld Gmail, Google Agenda of Google Drive). Niet-Google-services die worden aangevraagd, worden vermeld als 'Overig' .
  4. Klik in de lijst met geconfigureerde apps of geopende apps op een app om deze te bekijken:
    • Beheer of uw app toegang heeft tot Google-services — Controleer of de app is gemarkeerd als Vertrouwd, Beperkt of Geblokkeerd. Als u de toegangsinstellingen wijzigt, klikt u op Opslaan .
    • Bekijk informatie over de app — Bekijk de volledige OAuth2-client-ID van de app, het aantal gebruikers, het privacybeleid en ondersteuningsinformatie.
    • Bekijk de Google-service-API's (OAuth-scopes) die de app aanvraagt ​​— Bekijk een lijst met OAuth-scopes die elke app aanvraagt. Om alle OAuth-scopes te bekijken, vouwt u de tabelrij uit of klikt u op Alles uitvouwen .
  5. (Optioneel) Om de app-informatie naar een CSV-bestand te downloaden, klikt u bovenaan de lijst met geconfigureerde apps of geopende apps op 'Lijst downloaden' .
    • Alle gegevens in de tabel worden gedownload (inclusief gegevens die u niet weergeeft).
    • Voor geconfigureerde apps bevat het CSV-bestand extra kolommen die niet zichtbaar zijn in de tabel: Aantal gebruikers, Gevraagde services en API-bereiken die aan elke service zijn gekoppeld. Als een geconfigureerde app niet is gebruikt, zal het aantal gebruikers voor die app nul (0) weergeven en zullen de andere twee kolommen leeg zijn.

Appverificatie is het programma van Google om ervoor te zorgen dat apps van derden die toegang hebben tot gevoelige klantgegevens, voldoen aan de beveiligings- en privacycontroles. Gebruikers kunnen worden geblokkeerd voor het activeren van niet-geverifieerde apps die ze niet vertrouwen (zie verderop op deze pagina meer informatie over het vertrouwen van apps). Ga voor meer informatie over appverificatie naar Niet-geverifieerde apps van derden autoriseren .

Stap 2: Beperk of deblokkeer Google-services

Je kunt de toegang tot de meeste Google Workspace-services, inclusief Google Cloud-services zoals Machine Learning, beperken of onbeperkt laten. Voor Gmail en Google Drive kun je de toegang tot risicovolle services specifiek beperken, bijvoorbeeld het verzenden van e-mail of het verwijderen van bestanden in Drive. Hoewel gebruikers worden gevraagd om toestemming te geven voor apps, kunnen gebruikers een app niet toevoegen als deze toegang vraagt ​​tot een beperkte service en je de app niet specifiek hebt vertrouwd.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Toegangs- en gegevensbeheer en dan API-besturingselementen .

    Hiervoor is beheerdersrechten voor service-instellingen vereist.

  2. Klik op Google-services beheren .
  3. In de lijst met services kunt u de vakjes aanvinken naast de services die u wilt beheren.
    Vink het vakje 'Service' aan om alle vakjes aan te vinken.
  4. (Optioneel) Om deze lijst te filteren, klikt u op 'Filter toevoegen' en selecteert u een van de volgende criteria:
    • Google-services — Selecteer een service uit de lijst, zoals Drive of Gmail , en klik op Toepassen .
    • Toegang tot Google-services — Selecteer Onbeperkt of Beperkt en klik op Toepassen .
    • Toegestane apps — Geef een bereik op voor het aantal toegestane apps en klik op Toepassen .
    • Gebruikers — Geef een bereik op voor het aantal gebruikers en klik op Toepassen .
  5. Klik bovenaan op Toegang wijzigen en kies Onbeperkt of Beperkt .
    Als u de toegang wijzigt naar 'Beperkt', werken alle eerder geïnstalleerde apps die u niet vertrouwt niet meer en worden tokens ingetrokken. Wanneer een gebruiker een app probeert te installeren met een beperkt bereik, krijgt hij of zij een melding dat dit is geblokkeerd. Het beperken van de toegang tot de Drive-service beperkt ook de toegang tot de Google Forms API .
    Let op : de lijst met geopende apps wordt 48 uur na het verlenen of intrekken van een token bijgewerkt.
  6. (Optioneel) Als u 'Beperkt' hebt gekozen, vink dan het vakje ' Voor apps die niet vertrouwd zijn, gebruikers toegang geven tot OAuth-scopes die niet als hoog risico zijn geclassificeerd' aan om toegang te verlenen tot OAuth-scopes die niet als hoog risico zijn geclassificeerd .' (Dit selectievakje verschijnt voor apps zoals Gmail en Drive, maar niet voor alle apps.)
  7. Klik op Wijzigen en bevestig indien nodig.
  8. (Optioneel) Om te controleren welke apps toegang hebben tot een service:
    1. Bovenaan, bij 'Geopendde apps' , klikt u op 'Lijst bekijken' .
    2. Klik op ' Een filter toevoegen'. en dan Gevraagde diensten .
    3. Selecteer de services die u wilt controleren en klik op Toepassen .

Beperk de toegang tot risicovolle OAuth-scopes.

Gmail en Drive kunnen de toegang ook beperken tot een vooraf gedefinieerde lijst met OAuth-scopes met een hoog risico.

Voor Gmail zijn de volgende OAuth-scopes als risicovol aangemerkt:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    Voor meer informatie over Gmail-scopes ga je naar 'Authenticatiescopes kiezen' .

Voor Drive zijn de volgende OAuth-scopes met een hoog risico van toepassing:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Voor meer informatie over Drive-scopes raadpleegt u de API-specifieke autorisatie- en authenticatie-informatie .

Stap 3: Beheer de toegang van apps van derden tot Google-services en voeg apps toe.

Je kunt de toegang tot bepaalde apps beheren door ze te blokkeren, als vertrouwd te markeren of alleen toegang te verlenen tot onbeperkte Google-services. Een vertrouwde app heeft toegang tot alle Google Workspace-services (OAuth-scopes), inclusief beperkte services. Apps die je niet vertrouwt, hebben alleen toegang tot onbeperkte services.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Toegangs- en gegevensbeheer en dan API-besturingselementen .

    Hiervoor is beheerdersrechten voor service-instellingen vereist.

  2. Klik in Toegangsbeheer voor apps op Toegang tot apps van derden beheren .
  3. Voor geconfigureerde apps klikt u op Lijst bekijken .
  4. (Optioneel) Om de lijst te filteren, klikt u op 'Filter toevoegen' en selecteert u een optie:
    • Appnaam — Voer de naam van de app in en klik op Toepassen .
    • Type —Selecteer webapplicatie , iOS of Android en klik op Toepassen .
    • ID — Voer de app-ID in en klik op Toepassen .
    • Geverifieerde status — Selecteer 'Google geverifieerd' en klik op 'Toepassen' om apps te beoordelen die door Google zijn beoordeeld en aan bepaalde beleidsregels voldoen. Ga voor meer informatie naar 'Wat is een geverifieerde app van derden ?'
    • Toegang — Vink het vakje 'Vertrouwd' of 'Geblokkeerd' aan en klik op 'Toepassen' .
  5. Wijs een app aan en klik op Toegang wijzigen . Of vink de vakjes naast meerdere apps en bovenaan aan en klik op Toegang wijzigen . Je kunt ervoor kiezen om alle apps die eigendom zijn van het domein te vertrouwen of apps te blokkeren zodat ze geen toegang hebben tot Google Workspace-services.
  6. Kies een optie:
    • Vertrouwd — Door een app te vertrouwen, wordt een servicebeperking opgeheven. Apps van Google, zoals de Chrome-browser, worden automatisch als vertrouwd beschouwd en kunnen niet als vertrouwde apps worden geconfigureerd.
    • Beperkt — Alleen toegang tot onbeperkte Google-services.
    • Geblokkeerd — Geen toegang tot Google-services.
      Als je een app voor apparaten toevoegt aan een whitelist en diezelfde app vervolgens blokkeert via API-instellingen, wordt de app geblokkeerd. Het blokkeren van de app via API-instellingen heeft voorrang op de plaatsing op de whitelist.
  7. Klik op Wijzigen .

Een nieuwe app toevoegen

  1. Klik in Toegangsbeheer voor apps op Toegang tot apps van derden beheren .
  2. Voor geconfigureerde apps klikt u op App toevoegen .
  3. Kies de OAuth-appnaam of client-ID , Android of iOS .
  4. Voer de naam van de app of de client-ID in en klik op Zoeken .
  5. Wijs naar de app en klik op Selecteren .
  6. Vink de vakjes aan voor de client-ID's die u wilt configureren en klik op Selecteren .
  7. Selecteer Vertrouwd of Geblokkeerd en klik op Configureren .

Gebruikers worden gevraagd toestemming te geven voor het toevoegen van webapps, maar in de Google Workspace Marketplace kun je, alleen voor goedgekeurde apps, het toestemmingsscherm omzeilen door de app via een domein te installeren .

Pas het bericht aan voor een ongeautoriseerde app.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Toegangs- en gegevensbeheer en dan API-besturingselementen .

    Hiervoor is beheerdersrechten voor service-instellingen vereist.

  2. Klik op de kaart Instellingen .
  3. Klik op Gebruikersbericht .
  4. Schakel het gebruikersbericht in .
  5. Voer uw gewenste gebruikersbericht in het berichtveld in.
  6. Klik op Opslaan .

Stap 4: API-toegang beheren

Blokkeer alle toegang tot API's van derden.

Je kunt alle toegang tot API's van derden blokkeren, zodat verzoeken van apps en websites van derden geen toegang meer krijgen tot gebruikersgegevens. Deze instelling blokkeert alle OAuth-scopes, inclusief aanmeldingsscopes, wat betekent dat gebruikers zich niet langer met Google kunnen aanmelden bij apps en websites van derden.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Toegangs- en gegevensbeheer en dan API-besturingselementen .

    Hiervoor is beheerdersrechten voor service-instellingen vereist.

  2. Klik op de kaart Instellingen .
  3. Klik op Niet-geconfigureerde apps van derden .
  4. Afhankelijk van uw Workspace-editie kunt u een van de volgende opties kiezen:
    • Educatieve edities—Vink 'Gebruikers geen toegang geven tot apps van derden met hun account' aan .
    • Andere Workspace-edities—Kies ' Gebruikers geen toegang geven tot apps van derden' .
  5. Klik op Opslaan .

Sommige instellingen hebben voorrang op API-instellingen. Gebruikers kunnen bijvoorbeeld nog steeds toegang krijgen tot apps die zijn geconfigureerd met Vertrouwde of Beperkte toegang, zelfs als u het vakje ' Alle toegang tot API's van derden blokkeren' aanvinkt.

Sta toegang toe tot apps van derden die alleen een Google-aanmelding vereisen.

Gebruik deze optie als u uw gebruikers toegang wilt geven tot apps van derden die geen Google-gegevens opvragen, behalve de Google-aanmeldingsgegevens (zoals het e-mailadres).

Let op: deze optie is niet beschikbaar in Workspace Education-edities.

  1. Klik in de API-instellingen op het tabblad Instellingen .
  2. Klik op Niet-geconfigureerde apps van derden .
  3. Kies ' Gebruikers toegang geven tot apps van derden die alleen om Google-aanmeldingsgegevens vragen' .
  4. Klik op Opslaan .

Interne apps toegang geven tot beperkte Google Workspace API's

Als u interne apps ontwikkelt (in eigendom van uw organisatie), kunt u erop vertrouwen dat alle apps toegang hebben tot de beperkte Google Workspace API's. Op die manier hoeft u ze niet allemaal afzonderlijk te vertrouwen.

  1. Klik in de API-instellingen op het tabblad Instellingen .
  2. Klik op Interne apps .
  3. Schakel het selectievakje 'Interne apps vertrouwen' in .