Anwendungsfälle: Verhindern, dass vertrauenswürdige Drittanbieter-Apps blockiert werden

Diese Beispiele zeigen, wie Sie Apps von der Zulassungsliste ausschließen können, damit sie unabhängig von den zugewiesenen Zugriffsebenen immer auf APIs (Application Programming Interfaces) für bestimmte Google-Dienste zugreifen können.

Anwendungsfall 1: Vertrauenswürdige Apps werden über bereitgestellte APIs blockiert

In diesem Beispiel werden keine vertrauenswürdigen Apps von Drittanbietern ausgeschlossen. Bei Google Notizen haben wir für die Organisationseinheit Temp Worker die Zugriffsebene Zugriff von außerhalb des Unternehmensnetzwerks verhindern festgelegt. Dies führt dazu, dass alle Apps, die über APIs außerhalb des Netzwerks Ihrer Organisation auf Google Notizen zugreifen, blockiert werden.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Kontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

  2. Klicken Sie auf Zugriffsebenen zuweisen.
  3. Wählen Sie die Organisationseinheit Temp Worker aus.
  4. Wählen Sie in der Liste der Apps Google Notizen aus und klicken Sie auf Zuweisen.
  5. Wählen Sie Zugriff von außerhalb des Unternehmensnetzwerks verhindern aus und klicken Sie auf Weiter.
  6. Klicken Sie auf das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen, wenn die Zugriffsebenen nicht erfüllt sind.
  7. Klicken Sie auf das Kästchen Andere Apps ohne entsprechende Zugriffsebene blockieren, sodass sie nicht über APIs auf die ausgewählten Apps zugreifen können
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die Änderungen und klicken Sie auf Fertigstellen.

Anwendungsfall 2: Ausnahme für eine Drittanbieter-App festlegen

In diesem Beispiel wird die Drittanbieter-App Box ausgeschlossen. Bei Google Drive haben wir für die Organisationseinheit Temp Worker die Zugriffsebene Zugriff von außerhalb des Unternehmensnetzwerks verhindern festgelegt. Dadurch kann die Drittanbieter-App Box auf Google Drive auch dann zugreifen, wenn die API-Anfrage aus dem Netzwerk Ihrer Organisation stammt.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Kontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

  2. Klicken Sie auf Zugriffsebenen zuweisen.
  3. Wählen Sie die Organisationseinheit Temp Worker aus.
  4. Wählen Sie in der Liste der Apps Google Drive aus und klicken Sie auf Zuweisen.
  5. Wählen Sie Zugriff von außerhalb des Unternehmensnetzwerks verhindern aus und klicken Sie auf Weiter.
  6. Klicken Sie auf das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen, wenn die Zugriffsebenen nicht erfüllt sind.
  7. Klicken Sie auf das Kästchen Andere Apps ohne entsprechende Zugriffsebene blockieren, sodass sie nicht über APIs auf die ausgewählten Apps zugreifen können

  8. Klicken Sie auf das Kästchen Apps von der Zulassungsliste ausgenommen, damit sie unabhängig von Zugriffsebenen immer für bestimmte Google-Dienste auf APIs zugreifen können.

    Alle Drittanbieter-Apps, die Sie auf der Seite „App-Zugriffssteuerung“ als Vertrauenswürdig markieren, werden in der Tabelle zugelassener Apps aufgeführt.

    Hinweis: Jedes neue Google Apps Script muss explizit der Ausnahmeliste hinzugefügt werden.

  9. Wählen Sie Box aus und klicken Sie auf Weiter.

  10. Prüfen Sie die Änderungen und klicken Sie auf Fertigstellen.

Anwendungsfall 3: Ausnahme für eine weitere Drittanbieter-App in derselben Organisationseinheit festlegen

In diesem Beispiel fügen wir die Drittanbieter-App Salesforce unserer Konfiguration aus dem vorherigen Anwendungsfall hinzu.

Die Liste der App-Ausnahmen ist eine spezifische Liste für Organisationseinheiten, die für alle Drittanbieter-Apps gilt, die von den vorherigen Zuweisungen der kontextsensitiven Zugriffsebene und von jeder neuen Zuweisung der kontextsensitiven Zugriffsebene ausgenommen sind. Listen mit App-Ausnahmen sind für die Organisationseinheit, in der sie definiert sind, eindeutig. Daher haben Organisationseinheiten eigene Listen mit App-Ausnahmen.

Deshalb können in diesem Beispiel sowohl Box als auch Salesforce auf Drive und Gmail zugreifen, unabhängig von den zugewiesenen Zugriffsebenen.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Kontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

  2. Klicken Sie auf Zugriffsebenen zuweisen.
  3. Wählen Sie die Organisationseinheit Temp Worker aus.
  4. Wählen Sie in der Liste der Apps Gmail aus und klicken Sie auf Zuweisen.
  5. Wählen Sie die Zugriffsebene Zugriff von außerhalb der USA verhindern aus und klicken Sie auf Weiter.
  6. Klicken Sie auf das Kästchen Ohne entsprechende Zugriffsebene dürfen Nutzer nicht auf die Desktop- und mobile Version von Google-Apps zugreifen, wenn die Zugriffsebenen nicht erfüllt sind.
  7. Klicken Sie auf das Kästchen Andere Apps ohne entsprechende Zugriffsebene blockieren, sodass sie nicht über APIs auf die ausgewählten Apps zugreifen können

  8. Klicken Sie auf das Kästchen Apps von der Zulassungsliste ausgenommen, damit sie unabhängig von Zugriffsebenen immer für bestimmte Google-Dienste auf APIs zugreifen können.

    Alle Drittanbieter-Apps, die Sie auf der Seite „App-Zugriffssteuerung“ als Vertrauenswürdig markieren, werden in der Tabelle zugelassener Apps aufgeführt.

  9. Wählen Sie die Drittanbieter-App Salesforce aus und klicken Sie auf Weiter.

  10. Prüfen Sie die Änderungen und klicken Sie auf Fertigstellen.

Verhalten bei der Ausnahme von Gruppen und Organisationseinheiten

Gruppenrichtlinien können zwar die Richtlinien für Organisationseinheiten ersetzen, Sie können jedoch weiterhin vertrauenswürdige Drittanbieter-Apps von der Blockierung über bereitgestellte APIs ausschließen, wenn Sie kontextsensitive Zugriffsgruppen auf Gruppenebene zuweisen. Sie können jedoch keine Ausnahmelisten auf Gruppenebene definieren, wie es bei Organisationseinheiten möglich ist.

  • Wenn Sie Apps von der Zulassungsliste ausschließen, damit sie unabhängig von Zugriffsebenen immer für bestimmte Google-Dienste auf APIs zugreifen können auswählen und kontextsensitiven Zugriff auf Gruppenebene zuweisen, unterliegen die Personen in der Gruppe den Ausnahmelisten auf Ebene der Organisationseinheit, zu denen sie gehören. Wenn Personen verschiedenen Organisationseinheiten angehören, gelten für sie die entsprechenden Ausnahmelisten für diese Organisationseinheiten.
  • Wenn Sie die Auswahl des Häkchens bei Apps von der Zulassungsliste ausschließen, damit sie unabhängig von Zugriffsebenen immer für bestimmte Google-Dienste auf APIs zugreifen können aufheben und kontextsensitiven Zugriff auf Gruppenebene zuweisen, gelten keine Ausnahmen für die Personen in der Gruppe. Gruppenrichtlinien haben Vorrang vor Richtlinien für Organisationseinheiten. Ausnahmen von den zuvor erstellten Zugriffsebenen für den kontextsensitiven Zugriff gelten daher nicht für Personen in dieser Gruppe.


Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.