ควบคุมว่าจะให้แอปของบุคคลที่สามและแอปภายในรายการใดเข้าถึงข้อมูล Google Workspace ได้บ้าง

หากต้องการจัดการแอปบนอุปกรณ์เคลื่อนที่สำหรับองค์กร โปรดไปที่นี่แทน

คุณสามารถควบคุมวิธีที่แอปเข้าถึงข้อมูล Google ขององค์กรได้ ซึ่งทำได้โดยใช้การตั้งค่าในคอนโซลผู้ดูแลระบบของ Google เพื่อควบคุมการเข้าถึงบริการ Google Workspace ผ่าน OAuth 2.0 บางแอปจะใช้ขอบเขตของ OAuth 2.0 ซึ่งเป็นกลไกการจำกัดการเข้าถึงในบัญชีของผู้ใช้

คุณยังสามารถปรับแต่งข้อความแสดงข้อผิดพลาดที่จะแจ้งให้กับผู้ใช้ซึ่งพยายามติดตั้งแอปที่ไม่ได้รับอนุญาตได้ด้วย

หมายเหตุ: สำหรับ Google Workspace for Education ข้อจำกัดเพิ่มเติมอาจทำให้ผู้ใช้ในสถาบันการศึกษาระดับประถมศึกษาและมัธยมศึกษาไม่สามารถเข้าถึงแอปของบุคคลที่สามบางรายการได้

ควบคุมการเข้าถึงข้อมูลใน Google ของแอป

ก่อนเริ่มต้น: ตรวจสอบแอปของบุคคลที่สามที่ได้รับอนุญาต

โปรดตรวจสอบรายการแอปที่ได้รับอนุญาตให้เข้าถึงข้อมูลใน Google ก่อนใช้การควบคุม รายละเอียดเกี่ยวกับแอปของบุคคลที่สามมักจะปรากฏหลังจากให้สิทธิ์ไปแล้ว 24-48 ชั่วโมง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการเข้าถึงและการควบคุมข้อมูลจากนั้นการควบคุม API

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าบริการ

    คุณสามารถตรวจสอบจํานวนแอปที่กําหนดค่าแล้วและมีสิทธิ์เข้าถึงได้

    • แอปที่กําหนดค่าแล้วคือแอปที่มีนโยบายการเข้าถึง (เชื่อถือได้ ถูกจำกัด หรือถูกบล็อก) หากคุณไม่ได้กดเชื่อถือหรือบล็อกแอปใดๆ ไว้ คุณจะเห็นแอปที่กําหนดค่าไว้มีจำนวนเป็นศูนย์ (0)
    • แอปที่มีสิทธิ์เข้าถึงคือแอปของบุคคลที่สามซึ่งใช้โดยผู้ใช้ที่มีสิทธิ์เข้าถึงข้อมูล Google
  2. คลิกจัดการการเข้าถึงแอปของบุคคลที่สาม
    ตามค่าเริ่มต้น แอปที่กำหนดค่าไว้จะปรากฏ โดยสิ่งที่สามารถตรวจสอบได้มีดังนี้
    • ชื่อแอป
    • ประเภท
    • รหัส
    • สถานะที่ยืนยันแล้ว - แอปที่ยืนยันแล้วได้รับการตรวจสอบโดย Google แล้วว่าสอดคล้องกับนโยบายที่กำหนด ทั้งนี้แอปซึ่งเป็นที่รู้จักกันดีหลายแอปอาจไม่ได้รับการยืนยันผ่านวิธีนี้ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อแอปของบุคคลที่สามที่ยืนยันแล้วคืออะไร
    • สิทธิ์เข้าถึง - ระบุว่าเชื่อถือได้ ถูกจำกัด หรือถูกบล็อก
  3. (ไม่บังคับ) หากต้องการดูแอปที่มีสิทธิ์เข้าถึง ให้คลิกดูรายการ ในส่วนแอปที่มีสิทธิ์เข้าถึง

    นอกจากนั้นคุณยังตรวจสอบรายการดังต่อไปนี้ในส่วนแอปที่เข้าถึงแล้วได้ด้วย

    • ผู้ใช้ - จำนวนผู้ใช้ที่เข้าถึงแอป
    • บริการที่ขอ - API สำหรับบริการของ Google (ขอบเขตของ OAuth2) ที่แต่ละแอปใช้อยู่ (เช่น Gmail, Google ปฏิทิน หรือ Google ไดรฟ์) โดยบริการที่ขอซึ่งไม่ใช่ของ Google จะแสดงเป็นอื่นๆ
  4. จากรายการแอปที่กำหนดค่าไว้หรือแอปที่เข้าถึงแล้ว ให้คลิกแอปเพื่อตรวจสอบดังนี้
    • จัดการสิทธิ์เข้าถึงบริการของ Google สำหรับแอปของคุณ - ตรวจสอบว่าแอปมีสถานะเป็นเชื่อถือได้ ถูกจำกัด หรือถูกบล็อก หากคุณมีการเปลี่ยนค่าสิทธิ์เข้าถึง ให้คลิกบันทึก
    • ดูข้อมูลเกี่ยวกับแอป - ดูรหัสไคลเอ็นต์ OAuth2 แบบเต็มของแอป จำนวนผู้ใช้ นโยบายความเป็นส่วนตัว และข้อมูลการสนับสนุน
    • ดู API บริการของ Google (ขอบเขต OAuth) ที่แอปขอ - ดูรายการขอบเขต OAuth ที่แต่ละแอปขอ หากต้องการดูขอบเขต OAuth แต่ละรายการ ให้ขยายแถวของตารางหรือคลิกขยายทั้งหมด
  5. (ไม่บังคับ) หากต้องการดาวน์โหลดข้อมูลแอปเป็นไฟล์ CSV ให้คลิกดาวน์โหลดรายการที่ด้านบนของรายการแอปที่กำหนดค่าไว้หรือแอปที่มีสิทธิ์เข้าถึง
    • ระบบจะดาวน์โหลดข้อมูลทั้งหมดในตาราง (รวมถึงข้อมูลที่คุณไม่แสดงด้วย)
    • สําหรับแอปที่กําหนดค่าไว้ ไฟล์ CSV จะมีคอลัมน์เพิ่มเติมซึ่งไม่แสดงอยู่ในตาราง ได้แก่ จํานวนผู้ใช้ บริการที่ส่งคำขอ และขอบเขต API ที่เชื่อมโยงกับแต่ละบริการ หากไม่มีการเข้าถึงแอปที่กําหนดค่าแล้ว จํานวนผู้ใช้ของแอปจะแสดงเป็นศูนย์ (0) และอีก 2 คอลัมน์จะว่างเปล่า

การตรวจสอบแอปเป็นโปรแกรมของ Google ที่ช่วยให้แอปของบุคคลที่สามเข้าถึงข้อมูลที่ละเอียดอ่อนของลูกค้าผ่านการตรวจสอบด้านความปลอดภัยและความเป็นส่วนตัวได้ โดยผู้ใช้อาจถูกบล็อกไม่ให้เปิดใช้งานแอปที่ไม่ได้รับการยืนยันซึ่งคุณไม่ไว้ใจได้ (โปรดดูรายละเอียดการเชื่อถือแอปด้านล่างของหน้านี้) โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการตรวจสอบแอปที่หัวข้อให้สิทธิ์แอปของบุคคลที่สามที่ยังไม่ได้รับการยืนยัน

ขั้นตอนที่ 2: จำกัดหรือไม่จำกัดบริการของ Google

คุณเลือกที่จะจำกัดสิทธิ์เข้าถึงบริการส่วนใหญ่ของ Google Workspace รวมถึงบริการของ Google Cloud เช่น แมชชีนเลิร์นนิง หรือจะปล่อยให้ไม่มีการจำกัดก็ได้ สำหรับ Gmail และ Google ไดรฟ์ คุณจะจำกัดสิทธิ์เข้าถึงบริการที่มีความเสี่ยงสูง เช่น การส่งอีเมลหรือการลบไฟล์ในไดรฟ์โดยเฉพาะได้ แม้ว่าผู้ใช้จะได้รับข้อความแจ้งเพื่อให้ความยินยอมแก่แอป แต่หากแอปต้องการสิทธิ์เข้าถึงบริการที่มีการจำกัด และคุณไม่ได้กำหนดโดยเฉพาะว่าแอปดังกล่าวเชื่อถือได้ ผู้ใช้จะเพิ่มแอปนั้นไม่ได้

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการเข้าถึงและการควบคุมข้อมูลจากนั้นการควบคุม API

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าบริการ

  2. คลิกจัดการบริการของ Google
  3. เลือกช่องข้างบริการที่ต้องการจัดการได้จากรายชื่อบริการ
    เลือกช่องบริการเพื่อเลือกทุกช่อง
  4. (ไม่บังคับ) หากต้องการกรองรายการนี้ ให้คลิกเพิ่มตัวกรองและเลือกจากเกณฑ์ต่อไปนี้
    • บริการของ Google - เลือกจากรายชื่อบริการ เช่น ไดรฟ์หรือ Gmail แล้วคลิกใช้
    • สิทธิ์เข้าถึงบริการของ Google - เลือกไม่จำกัดหรือจำกัด แล้วคลิกใช้
    • แอปที่อนุญาต - ระบุช่วงจำนวนแอปที่อนุญาต แล้วคลิกใช้
    • ผู้ใช้ - ระบุช่วงจำนวนผู้ใช้ แล้วคลิกใช้
  5. คลิกเปลี่ยนสิทธิ์เข้าถึงที่ด้านบน แล้วเลือกไม่จํากัดหรือถูกจำกัด
    หากเปลี่ยนสิทธิ์เข้าถึงเป็น "ถูกจำกัด" แอปที่ติดตั้งไว้ล่วงหน้าซึ่งคุณยังไม่ได้กำหนดว่าเชื่อถือได้จะหยุดทำงานและโทเค็นจะถูกเพิกถอน เมื่อผู้ใช้พยายามติดตั้งแอปที่มีขอบเขตจำกัด ผู้ใช้จะได้รับแจ้งว่าแอปนั้นถูกบล็อกอยู่ การจํากัดการเข้าถึงบริการไดรฟ์จะจํากัดการเข้าถึง Google Forms API ด้วย
    หมายเหตุ: ระบบจะอัปเดตรายการแอปที่มีสิทธิ์เข้าถึง 48 ชั่วโมงหลังจากได้รับหรือเพิกถอนโทเค็น
  6. (ไม่บังคับ) หากเลือกจำกัดไว้ หากต้องการอนุญาตให้เข้าถึงขอบเขต OAuth ซึ่งไม่ได้รับการจัดประเภทเป็นความเสี่ยงสูง (เช่น ขอบเขตที่อนุญาตให้แอปเข้าถึงไฟล์ที่ผู้ใช้เลือกไว้ในไดรฟ์) ให้เลือกช่องสำหรับแอปซึ่งไม่อยู่ในรายการที่เชื่อถือได้ โปรดอนุญาตให้ผู้ใช้ให้สิทธิ์เข้าถึงแก่ขอบเขต OAuth ซึ่งไม่ได้รับการจัดประเภทเป็นความเสี่ยงสูง (ช่องทําเครื่องหมายนี้จะปรากฏสําหรับบางแอปเช่น Gmail และไดรฟ์ ไม่ใช่สำหรับทุกแอป)
  7. คลิกเปลี่ยน และยืนยัน หากจำเป็น
  8. (ไม่บังคับ) วิธีตรวจสอบว่าแอปใดมีสิทธิ์เข้าถึงบริการได้
    1. คลิกดูรายการที่ด้านบนสําหรับส่วนแอปที่มีสิทธิ์เข้าถึง
    2. คลิกเพิ่มตัวกรองจากนั้นบริการที่ขอ
    3. เลือกบริการที่คุณจะตรวจสอบ แล้วคลิกใช้

จำกัดสิทธิ์เข้าถึงขอบเขต OAuth ที่มีความเสี่ยงสูง

Gmail และไดรฟ์ยังจำกัดสิทธิ์เข้าถึงรายการขอบเขต OAuth ที่มีความเสี่ยงสูงซึ่งกำหนดไว้ล่วงหน้าได้ด้วย

ขอบเขต OAuth ที่มีความเสี่ยงสูงสำหรับ Gmail มีดังนี้

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    โปรดดูรายละเอียดขอบเขตของ Gmail ที่หัวข้อเลือกขอบเขตการตรวจสอบสิทธิ์

ขอบเขต OAuth ที่มีความเสี่ยงสูงสำหรับไดรฟ์มีดังนี้

ขั้นตอนที่ 3: จัดการสิทธิ์เข้าถึงของแอปของบุคคลที่สามในบริการของ Google และเพิ่มแอปต่างๆ

คุณสามารถจัดการสิทธิ์ของแอปที่ต้องการได้โดยบล็อกแอปดังกล่าว กำหนดสถานะให้เป็นเชื่อถือได้ หรือให้เข้าถึงเฉพาะบริการของ Google ที่ไม่จำกัดก็ได้ แอปที่เชื่อถือได้จะมีสิทธิ์เข้าถึงบริการ Google Workspace ทั้งหมด (ขอบเขต OAuth) รวมถึงบริการที่ถูกจํากัด แอปที่คุณไม่เชื่อถือจะเข้าถึงได้เฉพาะบริการที่ไม่มีการจํากัดเท่านั้น

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการเข้าถึงและการควบคุมข้อมูลจากนั้นการควบคุม API

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าบริการ

  2. คลิกจัดการการเข้าถึงแอปของบุคคลที่สามในส่วนการควบคุมการเข้าถึงของแอป
  3. สำหรับแอปที่กำหนดค่าไว้ ให้คลิกดูรายการ
  4. (ไม่บังคับ) หากต้องการกรองรายการ ให้คลิกเพิ่มตัวกรองแล้วเลือกตัวเลือกต่อไปนี้
    • ชื่อแอป - ป้อนชื่อแอป แล้วคลิกใช้
    • ประเภท - เลือกเว็บแอปพลิเคชัน, iOS หรือ Android แล้วคลิกใช้
    • รหัส - ป้อนรหัสแอป แล้วคลิกใช้
    • สถานะที่ยืนยันแล้ว - เลือกยืนยันโดย Google แล้วคลิกใช้เพื่อตรวจสอบแอปที่ผ่านการตรวจสอบจาก Google และเป็นไปตามนโยบายเฉพาะ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อแอปของบุคคลที่สามที่ยืนยันแล้วคืออะไร
    • สิทธิ์เข้าถึง - เลือกช่องเชื่อถือได้หรือถูกบล็อก แล้วคลิกใช้
  5. ชี้ไปที่แอป แล้วคลิกเปลี่ยนสิทธิ์เข้าถึง หรือเลือกช่องข้างแอปมากกว่า 1 รายการ แล้วคลิกเปลี่ยนสิทธิ์เข้าถึงที่ด้านบน คุณสามารถเลือกที่จะเชื่อถือแอปของโดเมนทั้งหมดหรือบล็อกแอปเพื่อไม่ให้แอปเหล่านั้นมีสิทธิ์เข้าถึงบริการ Google Workspace ได้อีกด้วย
  6. เลือกตัวเลือกต่อไปนี้
    • เชื่อถือได้ - การเชื่อถือแอปจะลบล้างข้อจำกัดของบริการ ระบบจะเชื่อถือแอปที่ Google เป็นเจ้าของ เช่น เบราว์เซอร์ Chrome โดยอัตโนมัติและกำหนดค่าเป็นแอปที่เชื่อถือไม่ได้
    • จำกัด - เข้าถึงได้เฉพาะบริการที่ไม่จำกัดของ Google
    • ถูกบล็อก - เข้าถึงบริการต่างๆ ของ Google ไม่ได้
      หากคุณเพิ่มแอปสำหรับอุปกรณ์ในรายการที่อนุญาต และบล็อกแอปดังกล่าวโดยใช้การควบคุม API แอปนั้นจะถูกบล็อก เนื่องจากการบล็อกแอปโดยใช้การควบคุม API จะลบล้างรายการที่อนุญาต
  7. คลิกเปลี่ยน

เพิ่มแอปใหม่

  1. คลิกจัดการการเข้าถึงแอปของบุคคลที่สามในส่วนการควบคุมการเข้าถึงของแอป
  2. สําหรับแอปที่กําหนดค่าไว้ ให้คลิกเพิ่มแอป
  3. เลือกชื่อแอป OAuth หรือรหัสไคลเอ็นต์, Android หรือ iOS
  4. ป้อนชื่อหรือรหัสไคลเอ็นต์ของแอป แล้วคลิกค้นหา
  5. ชี้ไปที่แอป แล้วคลิกเลือก
  6. เลือกช่องสำหรับรหัสไคลเอ็นต์ที่ต้องการกำหนดค่า แล้วคลิกเลือก
  7. เลือกเชื่อถือได้หรือถูกบล็อก แล้วคลิกกําหนดค่า

ผู้ใช้จะได้รับแจ้งให้มอบความยินยอมในการเพิ่มเว็บแอป แต่คุณจะข้ามหน้าจอขอความยินยอมใน Google Workspace Marketplace สำหรับแอปที่ได้รับอนุญาตเท่านั้นได้ด้วยการติดตั้งในโดเมน

ปรับแต่งข้อความสำหรับแอปที่ไม่ได้รับอนุญาต

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการเข้าถึงและการควบคุมข้อมูลจากนั้นการควบคุม API

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าบริการ

  2. คลิกการ์ดการตั้งค่า
  3. คลิกข้อความสำหรับผู้ใช้
  4. เปิดข้อความผู้ใช้
  5. ป้อนข้อความผู้ใช้ที่ต้องการในช่องข้อความ
  6. คลิกบันทึก

ขั้นตอนที่ 4: ควบคุมการเข้าถึง API

บล็อกสิทธิ์เข้าถึงของ API บุคคลที่สามทั้งหมด

คุณสามารถบล็อกการเข้าถึง API ของบุคคลที่สามทั้งหมดได้เพื่อให้คําขอจากแอปและเว็บไซต์ของบุคคลที่สามถูกปฏิเสธไม่ให้เข้าถึงข้อมูลผู้ใช้ การตั้งค่านี้จะบล็อกขอบเขต OAuth ทั้งหมด รวมถึงขอบเขตการลงชื่อเข้าใช้ หมายความว่าผู้ใช้จะไม่สามารถลงชื่อเข้าใช้แอปและเว็บไซต์ของบุคคลที่สามด้วย Google ได้อีกต่อไป

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการเข้าถึงและการควบคุมข้อมูลจากนั้นการควบคุม API

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าบริการ

  2. คลิกการ์ดการตั้งค่า
  3. คลิกแอปของบุคคลที่สามที่ไม่ได้กำหนดค่าไว้
  4. เลือกตัวเลือกใดตัวเลือกหนึ่งต่อไปนี้ ทั้งนี้ขึ้นอยู่กับรุ่น Workspace ที่ใช้
    • รุ่น Education - เลือกไม่อนุญาตให้ผู้ใช้เข้าถึงแอปใดก็ตามของบุคคลที่สามด้วยบัญชีของตนเอง
    • Workspace รุ่นอื่นๆ - เลือกไม่อนุญาตให้ผู้ใช้เข้าถึงแอปใดก็ตามของบุคคลที่สาม
  5. คลิกบันทึก

การตั้งค่าบางอย่างจะลบล้างการตั้งค่า API เช่น ผู้ใช้จะยังเข้าถึงแอปที่กำหนดค่าด้วยสิทธิ์เข้าถึงที่เชื่อถือได้หรือถูกจำกัดได้ แม้ว่าคุณจะเลือกช่องบล็อกการเข้าถึงของ API บุคคลที่สามทั้งหมด

อนุญาตให้เข้าถึงแอปของบุคคลที่สามที่กำหนดให้ลงชื่อเข้าใช้ Google เท่านั้น

ใช้ตัวเลือกนี้หากต้องการอนุญาตให้ผู้ใช้เข้าถึงแอปของบุคคลที่สามที่ไม่ขอข้อมูลใน Google ยกเว้นข้อมูลการลงชื่อเข้าใช้ Google (เช่น อีเมล)

หมายเหตุ: ตัวเลือกนี้ไม่มีให้บริการในรุ่น Workspace Education

  1. ในการควบคุม API ให้คลิกการ์ดการตั้งค่า
  2. คลิกแอปของบุคคลที่สามที่ไม่ได้กำหนดค่าไว้
  3. เลือกอนุญาตให้ผู้ใช้เข้าถึงแอปของบุคคลที่สามที่ขอเฉพาะข้อมูลการลงชื่อเข้าใช้ Google เท่านั้น
  4. คลิกบันทึก

อนุญาตให้แอปภายในเข้าถึง Google Workspace API ที่มีการจำกัด

หากมีแอปที่สร้างไว้เพื่อใช้ภายในองค์กร (องค์กรเป็นเจ้าของ) คุณสามารถกำหนดให้เชื่อถือแอปทั้งหมดเพื่อให้มีสิทธิ์เข้าถึง Google Workspace API ที่มีการจำกัดได้ ด้วยวิธีนี้ คุณจึงไม่จําเป็นต้องเชื่อถือแอปทั้งหมดทีละรายการ

  1. ในการควบคุม API ให้คลิกการ์ดการตั้งค่า
  2. คลิกแอปภายใน
  3. เลือกช่องทำเครื่องหมายเชื่อถือแอปภายใน