Контролируйте, какие сторонние и внутренние приложения получают доступ к данным Google Workspace.

Для управления мобильными приложениями вашей организации перейдите сюда .

Вы можете контролировать доступ приложений к данным Google вашей организации. Для управления доступом к сервисам Google Workspace через OAuth 2.0 используются настройки в консоли администратора Google. Некоторые приложения используют области действия OAuth 2.0 — механизм для ограничения доступа к учетной записи пользователя.

Вы также можете настроить сообщение об ошибке, которое пользователи видят при попытке установить неавторизованное приложение.

Примечание : В случае с Google Workspace for Education дополнительные ограничения могут препятствовать доступу пользователей начальных и средних учебных заведений к некоторым сторонним приложениям.

Контролировать доступ приложения к данным Google.

Прежде чем начать: ознакомьтесь с информацией об авторизованных сторонних приложениях.

Перед применением мер контроля проверьте список приложений, которым разрешен доступ к данным Google. Подробная информация о сторонних приложениях обычно появляется через 24–48 часов после авторизации.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Управление API .

    Для этого требуются права администратора в разделе «Настройки службы» .

    Вы можете просмотреть количество настроенных и используемых приложений.

    • Настроенные приложения — это приложения с политикой доступа (доверенные, ограниченные или заблокированные). Если вы не доверили и не заблокировали ни одно приложение, вы увидите ноль (0) настроенных приложений.
    • Доступ к данным Google имеют сторонние приложения, используемые пользователями.
  2. Нажмите «Управление доступом сторонних приложений» .
    Настроенные приложения отображаются по умолчанию. Вы можете просмотреть:
    • Название приложения
    • Тип
    • ИДЕНТИФИКАТОР
    • Статус «Проверено» — проверенные приложения прошли проверку Google на соответствие определенным правилам. Многие известные приложения могут не иметь такой проверки. Для получения более подробной информации перейдите по ссылке «Что такое проверенное стороннее приложение?»
    • Доступ — указывает, является ли доступ доверенным, ограниченным или заблокированным.
  3. (Необязательно) Чтобы просмотреть список использованных приложений, в разделе «Использованные приложения» нажмите «Просмотреть список» .

    Для приложений, к которым осуществлялся доступ , вы также можете просмотреть:

    • Пользователи — количество пользователей, использующих приложение.
    • Запрашиваемые сервисы — API-интерфейсы сервисов Google (области действия OAuth2), которые использует каждое приложение (например, Gmail, Google Calendar или Google Drive). Сервисы, не относящиеся к Google, указаны как «Другие» .
  4. В списке «Настроенные приложения» или «Доступные приложения» выберите приложение для просмотра:
    • Настройте доступ вашего приложения к сервисам Google — проверьте, помечено ли приложение как «Доверенное», «Ограниченное» или «Заблокированное». Если вы измените конфигурацию доступа, нажмите «Сохранить» .
    • Просмотреть информацию о приложении — Посмотреть полный идентификатор клиента OAuth2 приложения, количество пользователей, политику конфиденциальности и информацию о поддержке.
    • Просмотрите API-интерфейсы сервисов Google (области действия OAuth), которые запрашивает приложение. — Просмотрите список областей действия OAuth, которые запрашивает каждое приложение. Чтобы увидеть каждую из областей действия OAuth, разверните строку таблицы или нажмите «Развернуть все» .
  5. (Необязательно) Чтобы загрузить информацию о приложении в CSV-файл, в верхней части списка «Настроенные приложения» или «Доступные приложения» нажмите «Загрузить список» .
    • Все данные в таблице загружаются (включая данные, которые у вас не отображаются).
    • Для настроенных приложений CSV-файл содержит дополнительные столбцы, которые не отображаются в таблице: количество пользователей, запрошенные сервисы и области действия API, связанные с каждым сервисом. Если к настроенному приложению не обращались, количество пользователей для этого приложения будет отображаться как ноль (0), а два других столбца будут пустыми.

Проверка приложений — это программа Google, призванная гарантировать, что сторонние приложения, получающие доступ к конфиденциальным данным клиентов, проходят проверки безопасности и конфиденциальности. Пользователям может быть заблокирован доступ к непроверенным приложениям, которым они не доверяют (подробнее о доверии к приложениям см. ниже на этой странице). Для получения дополнительной информации о проверке приложений перейдите по ссылке «Авторизовать непроверенные сторонние приложения» .

Шаг 2: Ограничение или снятие ограничений с сервисов Google.

Вы можете ограничить или оставить неограниченным доступ к большинству сервисов Google Workspace, включая сервисы Google Cloud, такие как машинное обучение. Для Gmail и Google Drive вы можете специально ограничить доступ к сервисам с высоким риском, например, к отправке почты или удалению файлов в Drive. Хотя пользователям предлагается дать согласие на использование приложений, если приложение запрашивает доступ к ограниченному сервису, а вы не подтвердили доверие к этому приложению, пользователи не смогут его добавить.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Управление API .

    Для этого требуются права администратора в разделе «Настройки службы» .

  2. Нажмите «Управление службами Google» .
  3. В списке сервисов отметьте галочками те сервисы, которыми вы хотите управлять.
    Поставьте галочку в поле «Услуга» , чтобы отметить все пункты.
  4. (Необязательно) Чтобы отфильтровать этот список, нажмите «Добавить фильтр» и выберите один из следующих критериев:
    • Сервисы Google — выберите из списка сервисов, например, Google Диск или Gmail , и нажмите «Применить» .
    • Доступ к сервисам Google — выберите «Без ограничений» или «Ограничен» и нажмите «Применить» .
    • Разрешенные приложения — Укажите диапазон количества разрешенных приложений и нажмите «Применить» .
    • Пользователи — Укажите диапазон количества пользователей и нажмите «Применить» .
  5. Вверху нажмите «Изменить доступ» и выберите «Без ограничений» или «Ограничен» .
    Если вы измените уровень доступа на «Ограниченный», все ранее установленные приложения, которым вы не доверяете, перестанут работать, а токены будут аннулированы. Когда пользователь попытается установить приложение с ограниченным доступом, он получит уведомление о блокировке. Ограничение доступа к сервису Google Диск также ограничивает доступ к API Google Forms .
    Примечание : Список использованных приложений обновляется через 48 часов после предоставления или отзыва токена.
  6. (Необязательно) Если вы выбрали «Ограниченный доступ» , чтобы разрешить доступ к областям OAuth, которые не классифицируются как высокорискованные (например, области, позволяющие приложениям получать доступ к выбранным пользователем файлам в Google Диск), установите флажок «Для ненадежных приложений разрешать пользователям предоставлять доступ к областям OAuth, которые не классифицируются как высокорискованные» . (Этот флажок появится для таких приложений, как Gmail и Google Диск, но не для всех приложений.)
  7. Нажмите «Изменить» и подтвердите при необходимости.
  8. (Необязательно) Чтобы проверить, какие приложения имеют доступ к сервису:
    1. Вверху, в разделе «Доступные приложения» , нажмите «Просмотреть список» .
    2. Нажмите « Добавить фильтр». а потом Запрошенные услуги .
    3. Выберите интересующие вас услуги и нажмите «Применить» .

Ограничьте доступ к областям действия OAuth с высоким риском.

Gmail и Google Drive также могут ограничивать доступ к заранее определенному списку областей действия OAuth с высоким риском.

Для Gmail к зонам действия OAuth с высоким риском относятся:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    Подробную информацию о областях действия Gmail см. в разделе «Выбор областей действия аутентификации» .

Для Google Drive к зонам повышенного риска OAuth относятся:

Шаг 3: Управление доступом сторонних приложений к сервисам Google и добавление приложений.

Вы можете управлять доступом к определенным приложениям, блокируя их, помечая как доверенные или предоставляя доступ только к неограниченным сервисам Google. Доверенное приложение имеет доступ ко всем сервисам Google Workspace (области действия OAuth), включая сервисы с ограниченным доступом. Приложения, которым вы не доверяете, могут получать доступ только к сервисам с неограниченным доступом.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Управление API .

    Для этого требуются права администратора в разделе «Настройки службы» .

  2. В разделе «Управление доступом к приложениям» нажмите «Управление доступом к сторонним приложениям» .
  3. Чтобы просмотреть список настроенных приложений , нажмите «Просмотреть список» .
  4. (Необязательно) Чтобы отфильтровать список, нажмите «Добавить фильтр» и выберите нужный вариант:
    • Название приложения — Введите название приложения и нажмите «Применить» .
    • Тип — Выберите веб-приложение , iOS или Android и нажмите «Применить» .
    • ID — Введите ID приложения и нажмите «Применить» .
    • Статус «Подтверждено» — выберите «Подтверждено Google» и нажмите «Применить» , чтобы проверить приложения, проверенные Google и соответствующие определенным правилам. Для получения более подробной информации перейдите по ссылке «Что такое проверенное стороннее приложение ?».
    • Доступ — Установите флажок «Доверенные» или «Заблокированные» и нажмите «Применить» .
  5. Наведите указатель мыши на приложение и нажмите «Изменить доступ» . Или установите флажки рядом с несколькими приложениями и вверху страницы и нажмите «Изменить доступ» . Вы можете решить, доверять ли всем приложениям, принадлежащим домену, или заблокировать приложения, чтобы они не могли получить доступ к каким-либо сервисам Google Workspace.
  6. Выберите вариант:
    • Доверенные — присвоение приложению статуса доверенного отменяет ограничение со стороны сервиса. Приложения, принадлежащие Google, такие как браузер Chrome, автоматически считаются доверенными и не могут быть настроены как доверенные приложения.
    • Ограниченный доступ — Доступ только к неограниченным сервисам Google.
    • Заблокировано — Невозможно получить доступ ни к одному сервису Google.
      Если добавить приложение для устройств в список разрешенных и одновременно заблокировать это же приложение с помощью элементов управления API, приложение будет заблокировано. Блокировка приложения с помощью элементов управления API отменяет его размещение в списке разрешенных.
  7. Нажмите «Изменить» .

Добавить новое приложение

  1. В разделе «Управление доступом к приложениям» нажмите «Управление доступом к сторонним приложениям» .
  2. Для просмотра списка настроенных приложений нажмите «Добавить приложение» .
  3. Выберите название приложения OAuth или идентификатор клиента , Android или iOS .
  4. Введите название приложения или идентификатор клиента и нажмите «Поиск» .
  5. Наведите указатель мыши на приложение и нажмите «Выбрать» .
  6. Отметьте галочками идентификаторы клиентов, которые вы хотите настроить, и нажмите «Выбрать» .
  7. Выберите «Доверенные» или «Заблокированные» и нажмите «Настроить» .

Пользователям предлагается дать согласие на добавление веб-приложений, но в Google Workspace Marketplace (только для одобренных приложений) можно обойти этот шаг, установив приложение на домене .

Настройте сообщение для неавторизованного приложения.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Управление API .

    Для этого требуются права администратора в разделе «Настройки службы» .

  2. Нажмите на карточку «Настройки» .
  3. Нажмите «Сообщение пользователя» .
  4. Включите отправку сообщений пользователю.
  5. Введите желаемое сообщение для пользователя в поле для сообщения.
  6. Нажмите « Сохранить ».

Шаг 4: Контроль доступа к API

Заблокируйте доступ ко всем сторонним API.

Вы можете заблокировать доступ ко всем API сторонних сервисов, чтобы запросы от сторонних приложений и веб-сайтов не получали доступа к данным пользователей. Эта настройка блокирует все области действия OAuth, включая области действия для входа в систему, что означает, что пользователи больше не смогут входить в систему сторонних приложений и веб-сайтов с помощью Google.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Управление API .

    Для этого требуются права администратора в разделе «Настройки службы» .

  2. Нажмите на карточку «Настройки» .
  3. Нажмите «Не настроенные сторонние приложения» .
  4. В зависимости от версии Workspace выберите один из следующих вариантов:
    • Для образовательных учреждений: Отметьте галочкой пункт « Не разрешать пользователям доступ к сторонним приложениям с помощью своей учетной записи» .
    • В других версиях Workspace выберите пункт «Не разрешать пользователям доступ к сторонним приложениям» .
  5. Нажмите « Сохранить ».

Некоторые настройки переопределяют настройки API. Например, пользователи по-прежнему смогут получать доступ к приложениям, настроенным с доверенным или ограниченным доступом, даже если вы установите флажок «Блокировать весь доступ к сторонним API» .

Разрешите доступ к сторонним приложениям, для работы которых требуется только вход через Google.

Используйте этот параметр, если хотите разрешить пользователям доступ к сторонним приложениям, которые не запрашивают никаких данных Google, кроме информации для входа в Google (например, адреса электронной почты).

Примечание: Эта опция недоступна в версиях Workspace Education.

  1. В разделе «Управление API» нажмите на карточку «Настройки» .
  2. Нажмите «Не настроенные сторонние приложения» .
  3. Выберите пункт «Разрешить пользователям доступ к сторонним приложениям, которые запрашивают только данные для входа в Google» .
  4. Нажмите « Сохранить ».

Разрешить внутренним приложениям доступ к ограниченным API Google Workspace.

Если вы разрабатываете внутренние приложения (принадлежащие вашей организации), вы можете доверить всем приложениям доступ к ограниченным API Google Workspace. Таким образом, вам не придется доверять каждому приложению по отдельности.

  1. В разделе «Управление API» нажмите на карточку «Настройки» .
  2. Нажмите «Внутренние приложения» .
  3. Установите флажок «Доверять внутренним приложениям» .