如要管理貴機構的行動應用程式,請按這裡。
您可以控管應用程式存取貴機構 Google 資料的方式,您可以使用 Google 管理控制台中的設定,控管透過 OAuth 2.0 存取 Google Workspace 服務的權限。部分應用程式採用 OAuth 2.0 範圍,這項機制可限制使用者帳戶的存取權。
此外,您也可以針對使用者嘗試安裝未經授權應用程式的情況,自訂要向他們顯示的錯誤訊息。
注意:針對 Google Workspace for Education,您可以設定額外限制,禁止初等和中等教育機構的使用者存取特定第三方應用程式。
控管應用程式存取 Google 資料的權限
事前準備:查看授權的第三方應用程式
執行控制項之前,請先查看您已授權哪些應用程式存取 Google 資料。一般來說,第三方應用程式的詳細資料會在授權後的 24 到 48 小時內顯示。
-
您可以查看已設定和已存取資料的應用程式數量。
- 已設定的應用程式是指已套用存取權政策 (可信任、受限或已封鎖) 的應用程式。如果您並未信任或封鎖任何應用程式,系統會顯示 0 個已設定的應用程式。
- 已存取資料的應用程式是指使用者所使用,且已存取 Google 資料的第三方應用程式。
- 按一下「管理第三方應用程式存取權」。
根據預設,系統會顯示已設定的應用程式。您可以查看:- 應用程式名稱
- 類型
- ID
- 驗證狀態:如果應用程式狀態為「已驗證」,表示該應用程式確實遵守特定政策,已通過 Google 審查。不過,許多知名的應用程式可能並未通過這項驗證。詳情請參閱「什麼是通過驗證的第三方應用程式?」
- 存取權:指定「可信任」、「受限」或「已封鎖」。
- (選用) 如要查看已存取資料的應用程式,請在「已存取資料的應用程式」部分中點選「查看清單」。
已存取資料的應用程式部分還會顯示下列資料:
- 使用者人數:存取該應用程式的使用者人數。
- 要求的服務:各應用程式使用的 Google 服務 API (OAuth2 範圍),例如 Gmail、日曆或 Google 雲端硬碟。系統會將非 Google 要求的服務列為「其他」。
- 在「已設定的應用程式」或「已存取資料的應用程式」清單中,按一下要查看的應用程式:
- 管理您的應用程式可否存取 Google 服務:查看應用程式是標示為「可信任」、「受限」或「已封鎖」。如果您變更了存取權設定,請按一下「儲存」。
- 查看應用程式相關資訊:查看應用程式的完整 OAuth2 用戶端 ID、使用者人數、隱私權政策以及支援資訊。
- 查看應用程式要求的 Google 服務 API (OAuth 範圍):查看各個應用程式要求的 OAuth 範圍清單。如要查看個別 OAuth 範圍,請展開表格列,或按一下「全部展開」。
- (選用) 如要將應用程式資訊下載為 CSV 檔案,請在「已設定的應用程式」或「已存取資料的應用程式」清單頂端按一下「下載清單」。
- 下載的檔案會有表格中所有資料,包括您未顯示的資料。
- 如果您匯出「已設定的應用程式」清單,CSV 檔案會包含未顯示在表格中的額外欄:使用者人數、要求的服務、與各服務相關聯的 API 範圍。如果沒有人存取過某個已設定的應用程式,該應用程式的使用者人數會顯示為 0,其他兩欄則會留空。
「安全性」應用程式驗證是 Google 的一項計畫,旨在確保存取客戶機密資料的第三方應用程式皆能通過安全性與隱私權檢查。系統可能會禁止使用者啟用您不信任的未驗證應用程式 (詳情請參閱本頁下方,進一步瞭解如何信任應用程式)。如要進一步瞭解應用程式驗證,請參閱「授權未經驗證的第三方應用程式」。
步驟 2:限制或解除限制 Google 服務
您可以限制 (或不限制) 大多數 Google Workspace 服務的存取權,包括機器學習等 Google Cloud 服務。對於 Gmail 和 Google 雲端硬碟,您可以明確限制高風險服務 (例如傳送 Gmail 郵件或刪除雲碟硬碟檔案) 的存取權。即使系統提示使用者同意授權特定應用程式,如果應用程式要求存取受限制的服務,且您並未明確信任該應用程式,那麼使用者將無法新增應用程式。
- 按一下「管理 Google 服務」。
- 在服務清單中找到您要管理的服務,然後勾選對應的方塊。
勾選「服務」方塊即可勾選所有方塊。 - (選用) 如要篩選這份清單,請按一下「新增篩選器」,然後選取下列條件:
- Google 服務:選取清單中的服務,例如雲端硬碟或 Gmail,然後按一下「套用」。
- Google 服務存取權:選取「未限制」或「受限制」,然後按一下「套用」。
- 允許的應用程式:指定允許的應用程式數量範圍,然後按一下「套用」。
- 使用者人數:指定使用者人數範圍,然後按一下「套用」。
- 按一下頂端的「變更存取權」,然後選擇「未限制」或「受限制」。
如果您將存取權變更為「受限制」,先前安裝的應用程式如未獲得信任,會全數停止運作,憑證也會遭到撤銷。如果使用者嘗試安裝的應用程式設有受限制的範圍,系統會通知使用者,說明該應用程式已封鎖。如果限制雲端硬碟服務的存取權,Google Forms API 的存取權也會受到限制。
注意:系統會在授予或撤銷權杖的 48 小時後,更新存取的應用程式清單。 - (選用) 如果您選擇「受限制」,如要允許存取不屬於高風險的 OAuth 範圍 (例如,允許應用程式存取使用者在雲端硬碟中選取的檔案),請勾選「對於不信任的應用程式,允許使用者授予不屬於高風險 OAuth 範圍的存取權」方塊。(這個核取方塊只會在部分應用程式上顯示,例如 Gmail 和雲端硬碟)。
- 按一下「變更」,然後視需要確認變更。
- (選用) 如要查看哪些應用程式有權存取服務,請按照以下步驟操作:
- 在「已存取資料的應用程式」部分的頂端,按一下「查看清單」。
- 依序點選「新增篩選器」
「要求的服務」。 - 選取要查看的服務,然後按一下「套用」。
限制高風險 OAuth 範圍的存取權
Gmail 和雲端硬碟也可以限制預先定義的高風險 OAuth 範圍清單的存取權。
Gmail 的高風險 OAuth 範圍如下:
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
如要進一步瞭解 Gmail 範圍,請參閱「選擇驗證範圍」。
雲端硬碟的高風險 OAuth 範圍如下:
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/documents
如要進一步瞭解雲端硬碟範圍,請參閱「特定 API 授權和驗證資訊」。
步驟 3:管理第三方應用程式對 Google 服務及新增應用程式的存取權
您可以封鎖應用程式、將應用程式標示為「可信任」,或只將存取權授予未受限制的 Google 服務,藉此管理特定應用程式的存取權。可信任的應用程式可以存取所有 Google Workspace 服務 (OAuth 範圍),包括受限制的服務,未獲您信任的應用程式只能存取未受限制的服務。
- 在「應用程式存取權控制項」中,按一下「管理第三方應用程式存取權」。
- 在「已設定的應用程式」部分,按一下「查看清單」。
- (選用) 如要篩選清單,請按一下「新增篩選器」,然後選取所需選項:
- 應用程式名稱:輸入應用程式名稱,然後按一下「套用」。
- 類型:選取「網頁應用程式」、「iOS」或「Android」,然後按一下「套用」。
- ID:輸入應用程式 ID,然後按一下「套用」。
- 驗證狀態:選取「通過 Google 驗證」,然後按一下「套用」,即可查看通過 Google 審查且遵守特定政策的應用程式。詳情請參閱「什麼是通過驗證的第三方應用程式?」。
- 存取權:勾選「可信任」或「已封鎖」方塊,然後按一下「套用」。
- 如要變更單一應用程式的存取權,請將滑鼠游標移至應用程式,然後按一下「變更存取權」。如要變更多個應用程式的存取權,請勾選所需應用程式旁邊的方塊,然後按一下清單頂端的「變更存取權」。您可以選擇信任所有網域擁有的應用程式,或者封鎖應用程式,禁止這類應用程式存取任何 Google Workspace 服務。
- 選擇下列其中一種做法:
- 可信任:信任應用程式後,系統會覆寫服務限制。Google 擁有的應用程式 (例如 Chrome 瀏覽器) 會自動視為可信任,且無法設為可信任的應用程式。
- 有限:只能存取不受限的 Google 服務。
- 已封鎖:無法存取任何 Google 服務。
如果您將裝置的應用程式加入許可清單,且同時使用 API 控制項封鎖這個應用程式,系統便會封鎖該應用程式。這表示使用 API 控制項的應用程式封鎖設定會覆寫許可清單設定。
- 按一下 [變更]。
新增應用程式
- 在「應用程式存取權控制項」中,按一下「管理第三方應用程式存取權」。
- 在「已設定的應用程式」部分,按一下「新增應用程式」。
- 選擇「OAuth 應用程式名稱或用戶端 ID」、「Android」或「iOS」。
- 輸入應用程式名稱或用戶端 ID,然後按一下「搜尋」。
- 將游標移至該應用程式,然後按一下「選取」。
- 找出您要設定的用戶端 ID 並勾選相應方塊,然後按一下「選取」。
- 選取「可信任」或「已封鎖」,然後按一下「設定」。
系統會提示使用者同意新增網頁應用程式。不過,在 Google Workspace Marketplace 中,您可以透過網域安裝程序略過同意畫面,但這項動作僅適用於已核准的應用程式。
針對未經授權的應用程式自訂訊息
- 按一下「設定」資訊卡。
- 按一下「給使用者的訊息」。
- 將使用者訊息設為「開啟」。
- 在訊息欄位中輸入偏好的使用者訊息。
- 按一下 [儲存]。
步驟 4:控管 API 存取權
禁止所有第三方 API 存取
您可以封鎖所有第三方 API 存取權,這樣一來,系統就可以拒絕第三方應用程式和網站對使用者資料的存取要求。這項設定會封鎖所有 OAuth 範圍 (包括登入範圍),這表示使用者將無法再使用 Google 帳戶登入第三方應用程式和網站。
- 按一下「設定」資訊卡。
- 按一下「未設定的第三方應用程式」。
- 根據您的 Workspace 版本,選擇下列其中一個選項:
- Education 版本:勾選「禁止使用者透過帳戶存取任何第三方應用程式」。
- 其他 Workspace 版本:選擇「禁止使用者存取任何第三方應用程式」。
- 按一下 [儲存]。
部分設定會覆寫 API 設定。舉例來說,即使勾選「禁止所有第三方 API 存取」方塊,使用者仍可存取設為「可信任」或「受限制」存取權的應用程式。
允許存取僅要求 Google 登入的第三方應用程式
如果只想允許使用者存取僅要求 Google 登入資訊 (例如電子郵件地址) 的第三方應用程式,請選取這個選項。
注意: 這個選項不適用於 Workspace 教育版。
- 在「API 控制項」中,按一下「設定」資訊卡。
- 按一下「未設定的第三方應用程式」。
- 選擇「允許使用者存取僅要求 Google 登入資訊的第三方應用程式」。
- 按一下 [儲存]。
允許內部應用程式存取受限制的 Google Workspace API
建立由貴機構擁有的內部應用程式時,您可以將所有應用程式全數設為「可信任」,允許應用程式存取受限制的 Google Workspace API。這樣一來,您就不需要逐一將應用程式設為「可信任」。
- 在「API 控制項」中,按一下「設定」資訊卡。
- 按一下「內部應用程式」。
- 勾選「信任內部應用程式」核取方塊。
相關主題
- Google API 適用的 OAuth 2.0 範圍
- 準備應用程式 OAuth 驗證的實用指南 (Google Developers 網誌)