Controlar quais apps internos e de terceiros acessam os dados do Google Workspace

Para gerenciar apps para dispositivos móveis da sua organização, acesse este link em vez disso.

É possível controlar como os apps acessam os dados do Google da sua organização. Use as configurações no Google Admin Console para controlar o acesso aos serviços do Google Workspace pelo OAuth 2.0. Alguns apps usam os escopos do OAuth 2.0, um mecanismo que limita o acesso à conta de um usuário.

Você também pode personalizar a mensagem de erro que os usuários veem quando tentam instalar um app não autorizado.

Observação: no Google Workspace for Education, restrições adicionais podem impedir que os usuários em instituições de ensino fundamental e médio acessem determinados apps de terceiros.

Controlar o acesso de apps aos dados do Google

Antes de começar: revise os apps de terceiros autorizados

Antes de implementar os controles, consulte a lista de apps autorizados a acessar os dados do Google. Os detalhes sobre os apps de terceiros geralmente aparecem de 24 a 48 horas após a autorização.

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControles de API.

    Exige o privilégio de administrador "Configurações do serviço".

    É possível revisar o número de apps configurados e acessados.

    • Os apps configurados são aqueles que têm uma política de acesso (confiável, limitado ou bloqueado). Se você não tiver definido um app como "Confiável" ou "Bloqueado", não verá apps configurados.
    • Os apps acessados são apps de terceiros usados por usuários que acessaram dados do Google.
  2. Clique em Gerenciar o acesso de apps de terceiros.
    Os apps configurados são exibidos por padrão. É possível revisar:
    • Nome do app
    • Tipo
    • ID
    • Status verificado: o Google analisa os apps verificados para garantir compliance com determinadas políticas. Muitos apps conhecidos podem não ser verificados dessa forma. Para mais detalhes, acesse O que é um app de terceiros verificado?
    • Acesso : especifica Confiável, Limitado ou Bloqueado.
  3. (Opcional) Para ver os apps acessados, clique em Ver lista na seção Apps acessados.

    Em Apps acessados, também é possível verificar:

    • Usuários : mostra o número de usuários que acessam o app.
    • Serviços solicitados: APIs de serviço do Google (escopos do OAuth2) que cada app está usando (por exemplo, Gmail, Agenda ou Google Drive). Os serviços não solicitados pelo Google são listados como Outros.
  4. Na lista Apps configurados ou Apps acessados, clique em um app para analisar o seguinte:
    • Gerenciar o acesso do app aos Serviços do Google : verifique se ele está marcado como "Confiável", "Limitado" ou "Bloqueado". Se você alterar a configuração de acesso, clique em Salvar.
    • Ver informações sobre o app: veja o ID do cliente OAuth2 do app, o número de usuários, a Política de Privacidade e as informações de suporte.
    • Ver as APIs de serviço do Google (escopos do OAuth) que o app está solicitando: veja uma lista dos escopos do OAuth solicitados por cada app. Para ver cada um dos escopos do OAuth, expanda a linha da tabela ou clique em Expandir tudo.
  5. (Opcional) Para fazer o download das informações do app em um arquivo CSV, clique em Fazer download da lista na parte de cima da lista Apps configurados ou Apps acessados.
    • Todos os dados na tabela são baixados, incluindo aqueles que não estão sendo exibidos.
    • Na lista de apps configurados, o arquivo CSV contém colunas extras que não estão visíveis na tabela: "Número de usuários", "Serviços solicitados" e "Escopos da API" associados a cada serviço. Se um app configurado não tiver sido acessado, o número de usuários desse app será zero, e as outras duas colunas ficarão em branco.

A verificação de apps é um programa do Google para que apps de terceiros que acessam dados confidenciais de clientes passem por verificações de segurança e privacidade. Os usuários podem ser impedidos de ativar apps não verificados e identificados como não confiáveis. Veja abaixo o que fazer para marcar apps como confiáveis. Veja mais informações sobre a verificação de apps em Autorizar apps de terceiros não verificados.

Etapa 2: restringir ou cancelar a restrição de Serviços do Google

Você pode restringir ou não o acesso à maioria dos serviços do Google Workspace, inclusive aos serviços do Google Cloud, como o aprendizado de máquina. No Gmail e no Google Drive, você pode restringir especificamente o acesso a serviços de alto risco, por exemplo, enviar e-mails do Gmail ou excluir arquivos no Drive. Os usuários precisam permitir a instalação de apps. No entanto, se um app solicitar acesso a um serviço restrito e não estiver marcado como confiável, os usuários não poderão adicioná-lo.

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControles de API.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique em Gerenciar Serviços do Google.
  3. Na lista de serviços, marque as caixas ao lado dos serviços que você quer gerenciar.
    Marque a caixa Serviço para marcar todas as caixas.
  4. (Opcional) Para filtrar essa lista, clique em Adicionar um filtro e selecione um dos seguintes critérios:
    • Serviços do Google: selecione uma opção na lista de serviços, como o Drive ou o Gmail, e clique em Aplicar.
    • Acesso aos serviços do Google : selecione Não restrito ou Restrito e clique em Aplicar.
    • Apps permitidos: especifique um intervalo para o número de apps permitidos e clique em Aplicar.
    • Usuários : especifique um intervalo para o número de usuários e clique em Aplicar.
  5. Na parte de cima, clique em Alterar acesso e escolha Não restrito ou Restrito.
    Se você mudar o acesso para "Restrito", os apps instalados que não foram marcados como confiáveis deixarão de funcionar, e os tokens serão revogados. Quando um usuário tentar instalar um app com escopo restrito, ele receberá uma notificação informando que o app está bloqueado. Restringir o acesso ao serviço do Drive também restringe o acesso à API Google Forms.
    Observação: a lista de apps acessados é atualizada 48 horas após um token ser concedido ou revogado.
  6. Opcional: se você escolheu Restrito, para permitir o acesso a escopos OAuth não classificados como de alto risco (por exemplo, os que permitem que os apps acessem arquivos selecionados pelo usuário no Drive), marque a caixa Para apps não confiáveis, permitir que os usuários concedam acesso a escopos OAuth não classificados como de alto risco. Essa caixa de seleção vai aparecer para apps como o Gmail e o Drive, mas não para todos os apps.
  7. Clique em Alterar e confirme, se necessário.
  8. (Opcional) Para analisar quais apps têm acesso a um serviço:
    1. Na parte de cima, em Apps acessados, clique em Ver lista.
    2. Clique em Adicionar um filtroe depoisServiços solicitados.
    3. Selecione os serviços que você está verificando e clique em Aplicar.

Restringir o acesso a escopos OAuth de alto risco

O Gmail e o Drive também podem restringir o acesso a uma lista predefinida de escopos do OAuth de alto risco.

Estes são os escopos do OAuth de alto risco do Gmail:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    Para mais detalhes sobre os escopos do Gmail, acesse Escolher escopos do Auth.

Estes são os escopos do OAuth de alto risco do Drive:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Para mais detalhes sobre os escopos do Drive, acesse Informações de autorização e autenticação específicas da API .

Etapa 3: gerenciar o acesso de apps de terceiros aos Serviços do Google e adicionar apps

Para gerenciar o acesso a determinados apps, basta bloqueá-los, marcá-los como confiáveis ou fornecer acesso apenas a Serviços do Google não restritos. Um app confiável tem acesso a todos os serviços do Google Workspace (escopos do OAuth), inclusive os restritos. Apps em que você não confia só podem acessar serviços sem restrições.

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControles de API.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Em Controle de acesso de apps, clique em Gerenciar o acesso de apps de terceiros.
  3. Em Apps configurados, clique em Ver lista.
  4. (Opcional) Para filtrar a lista, clique em Adicionar um filtro e selecione uma opção:
    • Nome do app: digite o nome do app e clique em Aplicar.
    • Tipo: escolha Aplicativo da Web, iOS ou Android e clique em Aplicar.
    • ID: digite o ID do app e clique em Aplicar.
    • Status verificado: selecione Verificado pelo Google e clique em Aplicar para analisar os apps revisados pelo Google e que estejam em conformidade com determinadas políticas. Para mais detalhes, acesse O que é um app de terceiros verificado?
    • Acesso : marque a caixa Confiável ou Bloqueado e clique em Aplicar.
  5. Aponte para um app e clique em Alterar acesso. Ou marque as caixas de seleção ao lado de vários apps e, na parte de cima, clique em Alterar acesso. É possível confiar em todos os apps do domínio ou bloquear apps para eles não acessarem os serviços do Google Workspace.
  6. Escolha uma opção:
    • Confiável: confiar em um app modifica uma restrição de serviço. Os apps do Google, como o navegador Chrome, são identificados automaticamente como confiáveis e não podem ser configurados como confiáveis.
    • Limitado : acessa só os Serviços do Google sem restrições.
    • Bloqueado : o app não acessa nenhum serviço do Google.
      Se você adicionar um app para dispositivos em uma lista de permissões e também bloquear esse app usando controles de API, ele será bloqueado. O bloqueio do app usando controles de API substitui a posição na lista de permissões.
  7. Clique em Alterar.

Adicionar um novo app

  1. Em Controle de acesso de apps, clique em Gerenciar o acesso de apps de terceiros.
  2. Em Apps configurados, clique em Adicionar app.
  3. Escolha Nome ou ID do cliente do app OAuth, Android ou IOS.
  4. Digite o nome do app ou o ID do cliente e clique em Pesquisar.
  5. Aponte para o app e clique em Selecionar.
  6. Marque as caixas dos IDs do cliente que você quer configurar e clique em Selecionar.
  7. Selecione Confiável ou Bloqueado e clique em Configurar.

Os usuários precisam permitir a adição de apps da Web. No entanto, no caso dos apps aprovados do Google Workspace Marketplace, você pode ignorar a tela de consentimento com a instalação no domínio.

Personalizar a mensagem de um app não autorizado

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControles de API.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique no card Configurações.
  3. Clique em Mensagem do usuário.
  4. Ative a mensagem do usuário On.
  5. Digite sua mensagem preferida no campo de mensagem.
  6. Clique em Salvar.

Etapa 4: controlar o acesso à API

Bloquear o acesso de APIs de terceiros

É possível bloquear o acesso de todas as APIs de terceiros para que as solicitações de apps e sites de terceiros não recebam acesso aos dados do usuário. Como essa configuração bloqueia todos os escopos OAuth, inclusive os de login, os usuários não poderão mais fazer login com o Google em sites e apps de terceiros.

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControles de API.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique no card Configurações.
  3. Clique em Apps de terceiros não configurados.
  4. Dependendo da sua edição do Workspace, escolha uma das seguintes opções:
    • Edições do Education: marque a caixa Não permitir que os usuários acessem com a própria conta os apps de terceiros.
    • Outras edições do Workspace: escolha Não permitir o acesso de usuários a apps de terceiros.
  5. Clique em Salvar.

Algumas configurações substituem as configurações da API. Por exemplo, os usuários ainda poderão acessar apps configurados com acesso "Confiável" ou "Limitado", mesmo que você marque a caixa Bloquear o acesso de APIs de terceiros.

Permitir o acesso a apps de terceiros que exigem apenas o Login do Google

Use essa opção se quiser permitir que os usuários acessem apps de terceiros que não pedem nenhum dado do Google, exceto as informações de login do Google (como o endereço de e-mail).

Observação: Essa opção não está disponível nas edições do Workspace Education.

  1. Em Controles de API, clique no card Configurações.
  2. Clique em Apps de terceiros não configurados.
  3. Escolha Permitir que os usuários acessem apps de terceiros que solicitam apenas informações de login do Google.
  4. Clique em Salvar.

Permitir que apps internos acessem APIs restritas do Google Workspace

Se você criar apps internos (da sua organização), poderá confiar em todos eles para acessar as APIs restritas do Google Workspace. Assim, você não precisa confiar em todos eles individualmente.

  1. Em Controles de API, clique no card Configurações.
  2. Clique em Apps internos.
  3. Marque a caixa de seleção Confiar em apps internos.