Styr vilka tredjepartsappar och interna appar som har åtkomst till Google Workspace-data

För att hantera mobilappar för din organisation, gå hit istället.

Du kan styra hur appar får åtkomst till din organisations Google-data. Du använder inställningar i Googles administratörskonsol för att styra åtkomst till Google Workspace-tjänster via OAuth 2.0. Vissa appar använder OAuth 2.0-omfattningar – en mekanism för att begränsa åtkomsten till en användares konto.

Du kan också anpassa felmeddelandet som användarna ser när de försöker installera en obehörig app.

Obs ! För Google Workspace for Education kan ytterligare begränsningar hindra användare på grundskolor och gymnasieskolor från att få åtkomst till vissa tredjepartsappar.

Styr appens åtkomst till Google-data

Innan du börjar: Granska auktoriserade tredjepartsappar

Innan du implementerar kontroller bör du granska listan över appar som har auktoriserats för åtkomst till Google-data. Information om tredjepartsappar visas vanligtvis 24–48 timmar efter auktorisering.

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan API-kontroller .

    Kräver administratörsbehörighet för tjänstinställningar .

    Du kan granska antalet konfigurerade och använda appar.

    • Konfigurerade appar är appar med en åtkomstpolicy (betrodd, begränsad eller blockerad). Om du inte har betrodd eller blockerat några appar ser du noll (0) konfigurerade appar.
    • Åtkomstappar är tredjepartsappar som används av användare som har åtkomst till Google-data.
  2. Klicka på Hantera åtkomst till tredjepartsappar .
    Konfigurerade appar visas som standard. Du kan granska:
    • Appnamn
    • Typ
    • ID
    • Verifierad status – Verifierade appar har granskats av Google för att säkerställa att de följer vissa policyer. Många välkända appar kanske inte verifieras på detta sätt. För mer information, gå till Vad är en verifierad tredjepartsapp?
    • Åtkomst — Anger betrodd, begränsad eller blockerad.
  3. (Valfritt) Om du vill visa åtkomna appar klickar du på Visa lista i avsnittet Åtkomna appar .

    För åtkomna appar kan du även granska:

    • Användare — Antal användare som har åtkomst till appen.
    • Begärda tjänster — Googles tjänst-API:er (OAuth2-omfattningar) som varje app använder (till exempel Gmail, Google Kalender eller Google Drive). Tjänster som inte begärs av Google listas som Övriga .
  4. Från listan Konfigurerade appar eller Åtkomst till appar klickar du på en app för att granska:
    • Hantera om din app har åtkomst till Googles tjänster – Kontrollera om appen är markerad som Betrodd, Begränsad eller Blockerad. Om du ändrar åtkomstkonfigurationen klickar du på Spara .
    • Visa information om appen – Visa appens fullständiga OAuth2-klient-ID, antal användare, integritetspolicy och supportinformation.
    • Visa Google-tjänstens API:er (OAuth-omfång) som appen begär – Visa en lista över OAuth-omfång som varje app begär. För att se vart och ett av OAuth-omfången, expandera tabellraden eller klicka på Expandera alla .
  5. (Valfritt) Om du vill ladda ner appinformationen till en CSV-fil klickar du på Ladda ner lista högst upp i listan Konfigurerade appar eller Åtkomst till appar .
    • All data i tabellen laddas ner (inklusive data som du inte har visat).
    • För konfigurerade appar innehåller CSV-filen ytterligare kolumner som inte syns i tabellen: Antal användare, Begärda tjänster och API-omfång som är associerade med varje tjänst. Om en konfigurerad app inte har använts kommer användarantalet för den appen att visa noll (0) och de andra två kolumnerna kommer att vara tomma.

Appverifiering är Googles program som säkerställer att tredjepartsappar som har åtkomst till känsliga kunddata klarar säkerhets- och sekretesskontroller. Användare kan blockeras från att aktivera overifierade appar som du inte litar på (se information om att lita på appar längre ner på den här sidan). För mer information om appverifiering, gå till Auktorisera overifierade tredjepartsappar .

Steg 2: Begränsa eller avbegränsa Googles tjänster

Du kan begränsa, eller lämna obegränsad, åtkomst till de flesta Google Workspace-tjänster, inklusive Google Cloud-tjänster, som maskininlärning. För Gmail och Google Drive kan du specifikt begränsa åtkomsten till högrisktjänster, till exempel att skicka e-post eller radera filer i Drive. Användare uppmanas att samtycka till appar, men om en app begär åtkomst till en begränsad tjänst och du inte specifikt har betrott appen kan användarna inte lägga till den.

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan API-kontroller .

    Kräver administratörsbehörighet för tjänstinställningar .

  2. Klicka på Hantera Google-tjänster .
  3. Markera rutorna bredvid de tjänster du vill hantera i listan över tjänster.
    Markera rutan Tjänst för att markera alla rutor.
  4. (Valfritt) Om du vill filtrera listan klickar du på Lägg till ett filter och väljer bland följande kriterier:
    • Google-tjänster – Välj från listan över tjänster, till exempel Drive eller Gmail , och klicka på Verkställ .
    • Åtkomst till Google-tjänster – Välj Obegränsad eller Begränsad och klicka på Verkställ .
    • Tillåtna appar – Ange ett intervall för antalet tillåtna appar och klicka på Verkställ .
    • Användare – Ange ett intervall för antalet användare och klicka på Verkställ .
  5. Klicka på Ändra åtkomst högst upp och välj Obegränsad eller Begränsad .
    Om du ändrar åtkomsten till Begränsad slutar alla tidigare installerade appar som du inte har betrott att fungera och tokens återkallas. När en användare försöker installera en app som har ett begränsat omfång får de ett meddelande om att den är blockerad. Att begränsa åtkomsten till Drive-tjänsten begränsar även åtkomsten till Google Forms API .
    Obs ! Listan över åtkomna appar uppdateras 48 timmar efter att en token har beviljats ​​eller återkallats.
  6. (Valfritt) Om du väljer Begränsad , för att tillåta åtkomst till OAuth-omfång som inte klassificeras som högrisk (till exempel omfång som tillåter appar att komma åt användarvalda filer i Drive), markerar du rutan Tillåt användare att ge åtkomst till OAuth-omfång som inte klassificeras som högrisk för appar som inte är betrodda. (Denna kryssruta visas för appar som Gmail och Drive, men inte för alla appar.)
  7. Klicka på Ändra och bekräfta om det behövs.
  8. (Valfritt) Så här granskar du vilka appar som har åtkomst till en tjänst:
    1. Klicka på Visa lista högst upp för Åtkomst till appar .
    2. Klicka på Lägg till ett filter och sedan Begärda tjänster .
    3. Markera de tjänster du kontrollerar och klicka på Verkställ .

Begränsa åtkomst till OAuth-omfång med hög risk

Gmail och Drive kan också begränsa åtkomsten till en fördefinierad lista över OAuth-omfång med hög risk.

För Gmail är OAuth-omfång med hög risk:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    För mer information om Gmail-omfattningar, gå till Välj autentiseringsomfattningar .

För Drive är OAuth-omfång med hög risk:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    För mer information om Drive-omfattningar, gå till API-specifik auktoriserings- och autentiseringsinformation .

Steg 3: Hantera åtkomst till Googles tjänster för tredjepartsappar och lägg till appar

Du kan hantera åtkomst till vissa appar genom att blockera dem, markera dem som betrodda eller endast ge åtkomst till obegränsade Google-tjänster. En betrodd app har åtkomst till alla Google Workspace-tjänster (OAuth-omfattningar), inklusive begränsade tjänster. Appar som du inte litar på har bara åtkomst till obegränsade tjänster.

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan API-kontroller .

    Kräver administratörsbehörighet för tjänstinställningar .

  2. I Appåtkomstkontroll klickar du på Hantera åtkomst från tredjepartsappar .
  3. För Konfigurerade appar klickar du på Visa lista .
  4. (Valfritt) Om du vill filtrera listan klickar du på Lägg till ett filter och väljer ett alternativ:
    • Appnamn – Ange appens namn och klicka på Verkställ .
    • Typ – Välj webbapplikation , iOS eller Android och klicka på Verkställ .
    • ID – Ange app-ID:t och klicka på Verkställ .
    • Verifierad status – Välj Google-verifierad och klicka på Verkställ för att granska appar som har granskats av Google och följer vissa policyer. För mer information, gå till Vad är en verifierad tredjepartsapp ?
    • Åtkomst – Markera rutan Betrodd eller Blockerad och klicka på Verkställ .
  5. Peka på en app och klicka på Ändra åtkomst . Eller markera rutorna bredvid flera appar och högst upp och klicka på Ändra åtkomst . Du kan välja att lita på alla domänägda appar eller blockera appar så att de inte kan komma åt någon Google Workspace-tjänst.
  6. Välj ett alternativ:
    • Betrott – Att lita på en app åsidosätter en tjänstbegränsning. Google-ägda appar, som Chrome-webbläsaren, är automatiskt betrodda och kan inte konfigureras som betrodda appar.
    • Begränsad – Endast obegränsad åtkomst till Googles tjänster.
    • Blockerad – Kan inte komma åt någon Google-tjänst.
      Om du lägger till en app för enheter på en godkännandelista och samtidigt blockerar samma app med API-kontroller, blockeras appen. Blockering av appen med API-kontroller åsidosätter placeringen på godkännandelistan.
  7. Klicka på Ändra .

Lägg till en ny app

  1. I Appåtkomstkontroll klickar du på Hantera åtkomst från tredjepartsappar .
  2. För Konfigurerade appar klickar du på Lägg till app .
  3. Välj OAuth-appnamn eller klient-ID , Android eller iOS .
  4. Ange appens namn eller klient-ID och klicka på Sök .
  5. Peka på appen och klicka på Välj .
  6. Markera rutorna för de klient-ID:n som du vill konfigurera och klicka på Välj .
  7. Välj Betrodd eller Blockerad och klicka på Konfigurera .

Användare uppmanas att samtycka till att lägga till webbappar, men i Google Workspace Marketplace kan du, endast för godkända appar, kringgå samtyckesskärmen via domäninstallation .

Anpassa meddelandet för en obehörig app

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan API-kontroller .

    Kräver administratörsbehörighet för tjänstinställningar .

  2. Klicka på kortet Inställningar .
  3. Klicka på Användarmeddelande .
  4. Slå användarmeddelandet.
  5. Ange ditt önskade användarmeddelande i meddelandefältet.
  6. Klicka på Spara .

Steg 4: Kontrollera API-åtkomst

Blockera all åtkomst till tredjeparts-API:er

Du kan blockera all åtkomst till tredjeparts-API:er så att förfrågningar från tredjepartsappar och webbplatser nekas åtkomst till användardata. Den här inställningen blockerar alla OAuth-omfång, inklusive inloggningsomfång, vilket innebär att användare inte längre kommer att kunna logga in med Google på tredjepartsappar och webbplatser.

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan API-kontroller .

    Kräver administratörsbehörighet för tjänstinställningar .

  2. Klicka på kortet Inställningar .
  3. Klicka på Okonfigurerade tredjepartsappar .
  4. Beroende på din Workspace-utgåva, välj ett av följande alternativ:
    • Utbildningsutgåvor – Markera rutan Tillåt inte användare att komma åt tredjepartsappar med sitt konto .
    • Andra Workspace-utgåvor – välj Tillåt inte användare att komma åt några tredjepartsappar .
  5. Klicka på Spara .

Vissa inställningar åsidosätter API-inställningar. Till exempel kommer användare fortfarande att kunna komma åt appar som konfigurerats med betrodd eller begränsad åtkomst, även om du markerar rutan Blockera all åtkomst från tredjeparts-API:er .

Tillåt åtkomst till tredjepartsappar som bara kräver Google-inloggning

Använd det här alternativet om du vill tillåta dina användare att komma åt tredjepartsappar som inte ber om några Google-data förutom Google-inloggningsinformation (t.ex. e-postadress).

Obs! Det här alternativet är inte tillgängligt i Workspace Education-utgåvor.

  1. I API-kontroller klickar du på kortet Inställningar .
  2. Klicka på Okonfigurerade tredjepartsappar .
  3. Välj Tillåt användare att komma åt tredjepartsappar som bara ber om Googles inloggningsinformation .
  4. Klicka på Spara .

Låt interna appar få åtkomst till begränsade Google Workspace API:er

Om du skapar interna appar (som ägs av din organisation) kan du lita på att alla appar har åtkomst till begränsade Google Workspace API:er. På så sätt behöver du inte lita på dem alla individuellt.

  1. I API-kontroller klickar du på kortet Inställningar .
  2. Klicka på Interna appar .
  3. Markera kryssrutan Lita på interna appar .