應用實例:讓信任的第三方應用程式不會遭到封鎖

這些範例說明如何豁免已加入許可清單的應用程式,這樣一來,無論指派的存取層級為何,這些應用程式都能隨時存取特定 Google 服務的應用程式設計介面 (API)。

應用實例 1:透過公開的 API 封鎖可信任的應用程式

在本範例中,我們不會排除任何可信任的第三方應用程式。針對 Google Keep,您必須為臨時員工組織單位設定「禁止存取公司網路」存取層級。這會使任何應用程式都無法透過貴機構網路之外的 API 存取 Google Keep。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來 「安全性」 接下來「存取權與資料控管」 接下來「情境感知存取權」

    須具備資料安全性存取層級和規則管理權限,以及 Admin API 的群組和使用者「讀取」權限

  2. 按一下「指派存取層級」
  3. 選取「臨時員工」組織單位。
  4. 在應用程式清單中選取「Google Keep」,然後按一下「指派」
  5. 選取「禁止存取公司網路」,然後按一下「繼續」
  6. 勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊。
  7. 勾選「如果存取層級不符合,禁止其他應用程式透過 API 存取所選應用程式」方塊。
  8. 按一下「繼續」
  9. 查看並點選「完成」

應用實例 2:豁免第三方應用程式

在本範例中,我們會豁免第三方應用程式 Box。針對 Google 雲端硬碟,您必須為臨時員工組織單位設定「禁止存取公司網路」存取層級。這樣一來,第三方應用程式 Box 就能存取 Google 雲端硬碟,即使 API 要求並非來自貴機構網路也一樣。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來 「安全性」 接下來「存取權與資料控管」 接下來「情境感知存取權」

    須具備資料安全性存取層級和規則管理權限,以及 Admin API 的群組和使用者「讀取」權限

  2. 按一下「指派存取層級」
  3. 選取「臨時員工」組織單位。
  4. 在應用程式清單中選取「Google 雲端硬碟」,然後按一下「指派」
  5. 選取「禁止存取公司網路」,然後按一下「繼續」
  6. 勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊。
  7. 勾選「如果存取層級不符合,禁止其他應用程式透過 API 存取所選應用程式」方塊。

  8. 勾選「豁免已加入許可清單的應用程式,讓它們無論存取層級為何,都可以隨時存取特定 Google 服務的 API」方塊。

    任何您在「應用程式存取權控制項」頁面上標示為「可信任」的第三方應用程式,都會列在已加入許可清單的應用程式表格中。

    注意:您必須明確將新增的 Google Apps Script 逐一加入豁免清單。

  9. 選取「Box」,然後按一下「繼續」

  10. 查看並點選「完成」

應用實例 3:豁免同一個組織單位中的其他第三方應用程式

在本範例中,我們要將 Salesforce 第三方應用程式新增至先前應用實例的設定中。

應用程式豁免清單是組織單位專屬的清單,適用於在任何原有及全新的情境感知存取權層級指派作業中,豁免的所有第三方應用程式。應用程式豁免清單僅適用於該清單中定義的組織單位。因此,組織單位會有各自的應用程式豁免清單。

所以在這個範例中,不論指派的存取層級為何,BoxSalesforce 都能存取 雲端硬碟Gmail

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來 「安全性」 接下來「存取權與資料控管」 接下來「情境感知存取權」

    須具備資料安全性存取層級和規則管理權限,以及 Admin API 的群組和使用者「讀取」權限

  2. 按一下「指派存取層級」
  3. 選取「臨時員工」組織單位。
  4. 在應用程式清單中選取「Gmail」,然後點選「指派」
  5. 選取存取層級「禁止在美國以外地區存取」,然後按一下「繼續」
  6. 勾選「如果存取層級不符合,禁止使用者存取 Google 電腦版和行動版應用程式」方塊。
  7. 勾選「如果存取層級不符合,禁止其他應用程式透過 API 存取所選應用程式」方塊。

  8. 勾選「豁免已加入許可清單的應用程式,讓它們無論存取層級為何,都可以隨時存取特定 Google 服務的 API」方塊。

    任何您在「應用程式存取權控制項」頁面上標示為「可信任」的第三方應用程式,都會列在已加入許可清單的應用程式表格中。

  9. 選取第三方應用程式「Salesforce」,然後按一下「繼續」

  10. 查看並點選「完成」

群組和組織單位的豁免行為

即使群組政策取代了組織單位政策,當您在群組層級指派情境感知存取權層級時,還是能透過公開 API 避免可信任的第三方應用程式遭到封鎖。不過,您無法像對機構單位進行的操作一樣,定義群組層級的豁免清單。

  • 如果您在指派群組層級的情境感知存取權層級時,勾選「豁免已加入許可清單的應用程式,讓它們無論存取層級為何,都可以隨時存取特定 Google 服務的 API」,則系統會將群組中個別使用者所屬的組織單位層級豁免清單套用至這些使用者。如果使用者個人隸屬於多個機構單位,則會套用這些機構單位相對應的豁免清單。
  • 如果您在指派群組層級的情境感知存取權層級時,取消勾選「豁免已加入許可清單的應用程式,讓它們無論存取層級為何,都可以隨時存取特定 Google 服務的 API」,則系統不會將任何豁免項目套用至群組中的個別使用者。群組政策會取代組織單位政策,因此任何來自先前建立的情境感知存取權層級豁免項目,都不會套用至這個群組中的個別使用者。


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。