Kiểm soát những ứng dụng nội bộ và ứng dụng bên thứ ba nào truy cập vào dữ liệu trong Google Workspace

Để quản lý ứng dụng di động cho tổ chức của bạn, hãy truy cập vào đây.

Bạn có thể kiểm soát cách các ứng dụng truy cập vào dữ liệu của tổ chức bạn trên Google. Bạn sử dụng các chế độ cài đặt trong Bảng điều khiển dành cho quản trị viên của Google để kiểm soát quyền truy cập vào các dịch vụ của Google Workspace thông qua OAuth 2.0. Một số ứng dụng sử dụng phạm vi OAuth 2.0 – một cơ chế để hạn chế quyền truy cập vào tài khoản của người dùng.

Bạn cũng có thể tuỳ chỉnh thông báo lỗi mà người dùng nhìn thấy khi họ cố gắng cài đặt một ứng dụng không được phép.

Lưu ý: Đối với Google Workspace for Education, các quy định hạn chế bổ sung có thể ngăn người dùng ở các tổ chức giáo dục bậc tiểu học và trung học truy cập vào một số ứng dụng bên thứ ba.

Kiểm soát quyền truy cập của ứng dụng vào dữ liệu trên Google

Trước khi bắt đầu: Xem xét các ứng dụng bên thứ ba được uỷ quyền

Trước khi triển khai các chế độ kiểm soát, hãy xem danh sách những ứng dụng đã được uỷ quyền truy cập vào dữ liệu trên Google. Thông tin chi tiết về các ứng dụng bên thứ ba thường xuất hiện sau 24 đến 48 giờ kể từ khi bạn uỷ quyền.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mậtsau đóQuyền truy cập và kiểm soát dữ liệusau đóChế độ kiểm soát API.

    Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt dịch vụ.

    Bạn có thể xem số lượng ứng dụng đã định cấu hình và đã truy cập.

    • Ứng dụng đã thiết lập là ứng dụng có chính sách truy cập (đáng tin cậy, bị giới hạn hoặc bị chặn). Nếu chưa tin cậy hoặc chặn ứng dụng nào, bạn sẽ thấy 0 ứng dụng được định cấu hình.
    • Ứng dụng được truy cập là ứng dụng bên thứ ba mà người dùng đã sử dụng để truy cập vào dữ liệu trên Google.
  2. Nhấp vào Quản lý quyền truy cập của ứng dụng bên thứ ba.
    Theo mặc định, các ứng dụng đã định cấu hình sẽ xuất hiện. Bạn có thể xem:
    • Tên ứng dụng
    • Loại
    • Mã nhận dạng
    • Trạng thái đã xác minh – Các ứng dụng đã xác minh là những ứng dụng đã được Google xem xét để đảm bảo tuân thủ một số chính sách. Nhiều ứng dụng phổ biến có thể chưa được xác minh theo cách này. Để biết thêm thông tin chi tiết, hãy xem bài viết Ứng dụng bên thứ ba được xác minh là gì?
    • Quyền truy cập – Chỉ định trạng thái Đáng tin cậy, Bị giới hạn hoặc Bị chặn.
  3. (Không bắt buộc) Để xem các ứng dụng đã truy cập, trong mục Các ứng dụng đã truy cập, hãy nhấp vào Xem danh sách.

    Đối với Các ứng dụng đã truy cập, bạn cũng có thể xem:

    • Người dùng – Số lượng người dùng truy cập vào ứng dụng.
    • Các dịch vụ được yêu cầu – Các API dịch vụ của Google (các phạm vi OAuth2) mà từng ứng dụng đang dùng (ví dụ: Gmail, Lịch Google hoặc Google Drive). Các dịch vụ được yêu cầu không phải của Google sẽ được liệt kê là Khác.
  4. Trong danh sách Ứng dụng đã thiết lập hoặc Ứng dụng đã truy cập, hãy nhấp vào một ứng dụng để xem xét:
    • Quản lý quyền truy cập của ứng dụng đối với các dịch vụ của Google – Xem xét xem ứng dụng có được đánh dấu là Đáng tin cậy, Bị hạn chế hay Bị chặn hay không. Nếu bạn thay đổi cấu hình quyền truy cập, hãy nhấp vào Lưu.
    • Xem thông tin về ứng dụng – Xem mã ứng dụng khách OAuth2 đầy đủ của ứng dụng, số lượng người dùng, chính sách quyền riêng tư và thông tin hỗ trợ.
    • Xem các API dịch vụ của Google (các phạm vi OAuth) mà ứng dụng đang yêu cầu – Xem danh sách các phạm vi OAuth mà từng ứng dụng đang yêu cầu. Để xem từng phạm vi OAuth, hãy mở rộng hàng trong bảng hoặc nhấp vào Mở rộng tất cả.
  5. (Không bắt buộc) Để tải thông tin ứng dụng xuống tệp CSV, ở đầu danh sách Ứng dụng đã định cấu hình hoặc Ứng dụng đã truy cập, hãy nhấp vào Tải danh sách xuống.
    • Tất cả dữ liệu trong bảng đều được tải xuống (kể cả dữ liệu bạn không hiển thị).
    • Đối với Ứng dụng đã định cấu hình, tệp CSV chứa các cột bổ sung không xuất hiện trong bảng: Số lượng người dùng, Dịch vụ được yêu cầu và Phạm vi API được liên kết với từng dịch vụ. Nếu người dùng chưa truy cập vào một ứng dụng đã định cấu hình, thì số người dùng cho ứng dụng đó sẽ là 0 và 2 cột còn lại sẽ trống.

Xác minh ứng dụng là chương trình của Google nhằm đảm bảo rằng các ứng dụng bên thứ ba truy cập vào dữ liệu nhạy cảm của khách hàng đều vượt qua các bước kiểm tra bảo mật và quyền riêng tư. Người dùng có thể không kích hoạt được các ứng dụng chưa được xác minh mà bạn không tin tưởng (xem thông tin chi tiết về việc tin tưởng ứng dụng bên dưới trên trang này). Để biết thêm thông tin về quy trình xác minh ứng dụng, hãy xem bài viết Uỷ quyền cho ứng dụng bên thứ ba chưa được xác minh.

Bước 2: Hạn chế hoặc không hạn chế các dịch vụ của Google

Bạn có thể hạn chế hoặc không hạn chế quyền truy cập vào hầu hết các dịch vụ của Google Workspace, bao gồm cả các dịch vụ của Google Cloud, chẳng hạn như Học máy. Đối với Gmail và Google Drive, bạn có thể hạn chế quyền truy cập vào các dịch vụ có rủi ro cao, chẳng hạn như gửi thư hoặc xoá tệp trong Drive. Mặc dù người dùng được nhắc đồng ý cho các ứng dụng, nhưng nếu một ứng dụng yêu cầu quyền truy cập vào một dịch vụ bị hạn chế và bạn chưa tin tưởng ứng dụng đó một cách cụ thể, thì người dùng sẽ không thể thêm ứng dụng đó.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mậtsau đóQuyền truy cập và kiểm soát dữ liệusau đóChế độ kiểm soát API.

    Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt dịch vụ.

  2. Nhấp vào Quản lý các dịch vụ của Google.
  3. Trong danh sách dịch vụ, hãy đánh dấu vào ô bên cạnh những dịch vụ mà bạn muốn quản lý.
    Đánh dấu vào ô Dịch vụ để đánh dấu vào tất cả các ô.
  4. (Không bắt buộc) Để lọc danh sách này, hãy nhấp vào Thêm bộ lọc rồi chọn trong số các tiêu chí sau:
    • Các dịch vụ của Google – Chọn trong danh sách các dịch vụ, chẳng hạn như Drive hoặc Gmail, rồi nhấp vào Áp dụng.
    • Quyền truy cập vào các dịch vụ của Google – Chọn Không hạn chế hoặc Bị hạn chế rồi nhấp vào Áp dụng.
    • Ứng dụng được phép – Chỉ định một phạm vi cho số lượng ứng dụng được phép rồi nhấp vào Áp dụng.
    • Người dùng – Chỉ định một phạm vi cho số lượng người dùng rồi nhấp vào Áp dụng.
  5. Ở trên cùng, hãy nhấp vào Thay đổi quyền truy cập rồi chọn Không hạn chế hoặc Hạn chế.
    Nếu bạn thay đổi quyền truy cập thành Bị hạn chế, mọi ứng dụng đã cài đặt trước đó mà bạn chưa tin cậy sẽ ngừng hoạt động và mã thông báo sẽ bị thu hồi. Khi người dùng cố gắng cài đặt một ứng dụng có phạm vi bị hạn chế, họ sẽ nhận được thông báo cho biết ứng dụng đó đã bị chặn. Việc hạn chế quyền truy cập vào dịch vụ Drive cũng hạn chế quyền truy cập vào Google Biểu mẫu API.
    Lưu ý: Danh sách ứng dụng đã truy cập sẽ được cập nhật sau 48 giờ kể từ khi mã thông báo được cấp hoặc thu hồi.
  6. (Không bắt buộc) Nếu bạn chọn Hạn chế, để cho phép truy cập vào các phạm vi OAuth không bị phân loại là rủi ro cao (ví dụ: các phạm vi cho phép ứng dụng truy cập vào tệp do người dùng chọn trên Drive), hãy đánh dấu vào hộp Đối với ứng dụng không được tin cậy, cho phép người dùng cấp quyền truy cập cho các phạm vi OAuth không bị phân loại là rủi ro cao. (Hộp đánh dấu này sẽ xuất hiện cho các ứng dụng như Gmail và Drive, nhưng không phải cho tất cả các ứng dụng.)
  7. Nhấp vào Thay đổi rồi xác nhận nếu cần.
  8. (Không bắt buộc) Cách xem những ứng dụng có quyền truy cập vào một dịch vụ:
    1. Ở trên cùng, trong phần Ứng dụng đã truy cập, hãy nhấp vào Xem danh sách.
    2. Nhấp vào Thêm bộ lọcsau đóDịch vụ được yêu cầu.
    3. Chọn các dịch vụ mà bạn đang kiểm tra rồi nhấp vào Áp dụng.

Hạn chế quyền truy cập vào các phạm vi OAuth rủi ro cao

Gmail và Drive cũng có thể hạn chế quyền truy cập vào danh sách các phạm vi OAuth rủi ro cao đã định sẵn.

Đối với Gmail, các phạm vi OAuth có mức rủi ro cao là:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    Để biết thông tin chi tiết về các phạm vi của Gmail, hãy truy cập vào phần Chọn phạm vi uỷ quyền.

Đối với Drive, các phạm vi OAuth có mức rủi ro cao là:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Để biết thông tin chi tiết về các phạm vi của Drive, hãy xem Thông tin uỷ quyền và xác thực dành riêng cho API .

Bước 3: Quản lý quyền truy cập của ứng dụng bên thứ ba vào các dịch vụ của Google và thêm ứng dụng

Bạn có thể quản lý quyền truy cập vào một số ứng dụng bằng cách chặn các ứng dụng đó, đánh dấu chúng là đáng tin cậy hoặc chỉ cấp quyền truy cập vào các dịch vụ không bị hạn chế của Google. Ứng dụng tin cậy có quyền truy cập vào tất cả các dịch vụ của Google Workspace (phạm vi OAuth), bao gồm cả các dịch vụ bị hạn chế. Những ứng dụng mà bạn không tin tưởng chỉ có thể truy cập vào các dịch vụ không bị hạn chế.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mậtsau đóQuyền truy cập và kiểm soát dữ liệusau đóChế độ kiểm soát API.

    Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt dịch vụ.

  2. Trong phần Kiểm soát quyền truy cập của ứng dụng, hãy nhấp vào Quản lý quyền truy cập của ứng dụng bên thứ ba.
  3. Đối với Các ứng dụng đã định cấu hình, hãy nhấp vào Xem danh sách.
  4. (Không bắt buộc) Để lọc danh sách, hãy nhấp vào Thêm bộ lọc rồi chọn một lựa chọn:
    • Tên ứng dụng – Nhập tên ứng dụng rồi nhấp vào Áp dụng.
    • Loại – Chọn Ứng dụng web, iOS hoặc Android rồi nhấp vào Áp dụng.
    • Mã nhận dạng – Nhập mã nhận dạng ứng dụng rồi nhấp vào Áp dụng.
    • Trạng thái đã xác minh – Chọn Google đã xác minh rồi nhấp vào Áp dụng để xem xét những ứng dụng được Google xem xét và tuân thủ một số chính sách. Để biết thêm thông tin chi tiết, hãy xem bài viết Ứng dụng bên thứ ba được xác minh là gì?
    • Quyền truy cập – Đánh dấu vào hộp Đáng tin cậy hoặc Bị chặn rồi nhấp vào Áp dụng.
  5. Trỏ vào một ứng dụng rồi nhấp vào Thay đổi quyền truy cập. Hoặc đánh dấu vào các hộp bên cạnh nhiều ứng dụng và ở trên cùng, rồi nhấp vào Thay đổi quyền truy cập. Bạn có thể quyết định tin tưởng tất cả ứng dụng thuộc sở hữu của miền hoặc chặn các ứng dụng để chúng không thể truy cập vào bất kỳ dịch vụ nào của Google Workspace.
  6. Chọn một mục:
    • Đáng tin cậy – Việc tin tưởng một ứng dụng sẽ ghi đè chế độ hạn chế đối với dịch vụ. Các ứng dụng thuộc sở hữu của Google (chẳng hạn như trình duyệt Chrome) sẽ tự động được tin cậy và không thể được định cấu hình làm ứng dụng tin cậy.
    • Bị giới hạn – Chỉ có thể truy cập vào các dịch vụ không bị hạn chế của Google.
    • Bị chặn – Không thể truy cập vào bất kỳ dịch vụ nào của Google.
      Nếu bạn thêm một ứng dụng cho thiết bị vào danh sách cho phép và cũng chặn ứng dụng đó bằng chế độ kiểm soát API, thì ứng dụng đó sẽ bị chặn. Việc chặn ứng dụng bằng các chế độ kiểm soát API sẽ ghi đè vị trí trong danh sách cho phép.
  7. Nhấp vào Thay đổi.

Thêm ứng dụng mới

  1. Trong phần Kiểm soát quyền truy cập của ứng dụng, hãy nhấp vào Quản lý quyền truy cập của ứng dụng bên thứ ba.
  2. Đối với Ứng dụng đã định cấu hình, hãy nhấp vào Thêm ứng dụng.
  3. Chọn Tên ứng dụng hoặc mã ứng dụng OAuth, Android hoặc iOS.
  4. Nhập tên hoặc mã ứng dụng rồi nhấp vào Tìm kiếm.
  5. Trỏ vào ứng dụng rồi nhấp vào Chọn.
  6. Đánh dấu vào các hộp tương ứng với mã ứng dụng mà bạn muốn định cấu hình rồi nhấp vào Chọn.
  7. Chọn Đáng tin cậy hoặc Bị chặn rồi nhấp vào Định cấu hình.

Người dùng được nhắc đồng ý thêm ứng dụng web, nhưng trong Google Workspace Marketplace, bạn chỉ có thể bỏ qua màn hình đồng ý thông qua cài đặt trên miền đối với các ứng dụng đã được phê duyệt.

Tuỳ chỉnh thông báo cho ứng dụng không được phép

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mậtsau đóQuyền truy cập và kiểm soát dữ liệusau đóChế độ kiểm soát API.

    Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt dịch vụ.

  2. Nhấp vào thẻ Cài đặt.
  3. Nhấp vào Tin nhắn của người dùng.
  4. Bật thông báo cho người dùng .
  5. Nhập thông báo ưu tiên cho người dùng vào trường thông báo.
  6. Nhấp vào Lưu.

Bước 4: Kiểm soát quyền truy cập vào API

Chặn toàn bộ quyền truy cập của API bên thứ ba

Bạn có thể chặn toàn bộ quyền truy cập của API bên thứ ba để các yêu cầu của ứng dụng và trang web bên thứ ba bị từ chối quyền truy cập vào dữ liệu người dùng. Chế độ cài đặt này chặn tất cả phạm vi OAuth, bao gồm cả phạm vi đăng nhập. Điều này có nghĩa là người dùng sẽ không thể đăng nhập bằng Google vào các ứng dụng và trang web của bên thứ ba nữa.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mậtsau đóQuyền truy cập và kiểm soát dữ liệusau đóChế độ kiểm soát API.

    Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt dịch vụ.

  2. Nhấp vào thẻ Cài đặt.
  3. Nhấp vào Ứng dụng bên thứ ba chưa thiết lập.
  4. Tuỳ thuộc vào phiên bản Workspace của bạn, hãy chọn một trong các lựa chọn sau:
    • Phiên bản Education – Chọn Không cho phép người dùng truy cập vào ứng dụng bên thứ ba bằng tài khoản của họ.
    • Các phiên bản Workspace khác – Chọn Không cho phép người dùng truy cập vào ứng dụng bên thứ ba.
  5. Nhấp vào Lưu.

Một số chế độ cài đặt sẽ ghi đè chế độ cài đặt API. Ví dụ: người dùng vẫn có thể truy cập vào các ứng dụng được thiết lập quyền truy cập là Đáng tin cậy hoặc Bị giới hạn, ngay cả khi bạn đánh dấu vào hộp Chặn toàn bộ quyền truy cập của API bên thứ ba.

Cho phép truy cập vào những ứng dụng bên thứ ba chỉ yêu cầu đăng nhập bằng Google

Hãy sử dụng lựa chọn này nếu bạn muốn cho phép người dùng truy cập vào những ứng dụng bên thứ ba không yêu cầu bất kỳ dữ liệu nào trên Google, ngoại trừ thông tin đăng nhập bằng Google (chẳng hạn như địa chỉ email).

Lưu ý: Tuỳ chọn này không có trong các phiên bản Workspace Education.

  1. Trong phần Chế độ kiểm soát API, hãy nhấp vào thẻ Cài đặt.
  2. Nhấp vào Ứng dụng bên thứ ba chưa thiết lập.
  3. Chọn Cho phép người dùng truy cập vào những ứng dụng bên thứ ba chỉ yêu cầu thông tin đăng nhập bằng Google.
  4. Nhấp vào Lưu.

Cho phép các ứng dụng nội bộ truy cập vào các API bị hạn chế của Google Workspace

Nếu tạo các ứng dụng nội bộ (do tổ chức của bạn sở hữu), bạn có thể tin tưởng tất cả các ứng dụng để truy cập vào các API bị hạn chế của Google Workspace. Bằng cách đó, bạn không cần phải tin tưởng từng người trong số họ.

  1. Trong phần Chế độ kiểm soát API, hãy nhấp vào thẻ Cài đặt.
  2. Nhấp vào Ứng dụng nội bộ.
  3. Đánh dấu vào hộp Tin tưởng ứng dụng nội bộ.