Przypadki użycia: usuwanie zaufanych aplikacji innych firm z listy blokowanych aplikacji

Te przykłady pokazują, jak wykluczyć z ograniczeń dozwolone aplikacje, aby zawsze miały dostęp do interfejsów programowania aplikacji (API) w określonych usługach Google, niezależnie od przypisanych poziomów dostępu.

Przypadek użycia 1. Zaufane aplikacje są blokowane przez ujawnione interfejsy API

W tym przykładzie nie wykluczamy żadnych zaufanych aplikacji innych firm. W przypadku Google Keep ustawimy poziom dostępu Blokuj dostęp spoza sieci firmowej w jednostce organizacyjnej Pracownicy tymczasowi. Spowoduje to zablokowanie wszystkich aplikacji spoza sieci Twojej organizacji, które korzystają z Google Keep przy użyciu interfejsów API.

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwoa potemDostęp do danych i kontrola nad nimia potemDostęp zależny od kontekstu.

    Wymagane są uprawnienia do zarządzania poziomem dostępu i regułami związane z bezpieczeństwem danych oraz obowiązujące w interfejsie Admin API uprawnienia do odczytu dotyczące grup i użytkowników.

  2. Kliknij Przypisz poziomy dostępu.
  3. Wybierz jednostkę organizacyjną Pracownicy tymczasowi.
  4. Z listy aplikacji wybierz Google Keep i kliknij Przypisz.
  5. Wybierz Blokuj dostęp spoza sieci firmowej i kliknij Dalej.
  6. Zaznacz pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu.
  7. Zaznacz pole Blokuj innym aplikacjom dostęp do wybranych aplikacji przez interfejsy API, jeśli poziomy dostępu nie są zgodne.
  8. Kliknij Dalej.
  9. Sprawdź ustawienia i kliknij Zakończ.

Przypadek użycia 2. Wykluczanie aplikacji innej firmy z ograniczeń

W tym przykładzie wykluczymy z ograniczeń aplikację Box. W przypadku Dysku Google ustawimy poziom dostępu Blokuj dostęp spoza sieci firmowej w jednostce organizacyjnej Pracownicy tymczasowi. W takiej sytuacji aplikacja Box będzie miała dostęp do Dysku Google, nawet jeśli żądanie do interfejsu API pochodzi spoza sieci Twojej organizacji.

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwoa potemDostęp do danych i kontrola nad nimia potemDostęp zależny od kontekstu.

    Wymagane są uprawnienia do zarządzania poziomem dostępu i regułami związane z bezpieczeństwem danych oraz obowiązujące w interfejsie Admin API uprawnienia do odczytu dotyczące grup i użytkowników.

  2. Kliknij Przypisz poziomy dostępu.
  3. Wybierz jednostkę organizacyjną Pracownicy tymczasowi.
  4. Z listy aplikacji wybierz Dysk Google i kliknij Przypisz.
  5. Wybierz Blokuj dostęp spoza sieci firmowej i kliknij Dalej.
  6. Zaznacz pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu.
  7. Zaznacz pole Blokuj innym aplikacjom dostęp do wybranych aplikacji przez interfejsy API, jeśli poziomy dostępu nie są zgodne.
  8. Zaznacz pole Wyklucz z ograniczeń dozwolone aplikacje, aby zawsze miały dostęp do interfejsów API określonych usług Google niezależnie od poziomu dostępu.
    Wszystkie aplikacje innych firm oznaczone jako zaufane na stronie kontroli dostępu do aplikacji są wymienione w tabeli dozwolonych aplikacji.
    Uwaga: każdy nowy skrypt Google Apps Script musi zostać wyraźnie dodany do listy wykluczeń.
  9. Wybierz Box i kliknij Dalej.
  10. Sprawdź ustawienia i kliknij Zakończ.

Przypadek użycia 3. Wykluczenie z ograniczeń innej aplikacji innej firmy w tej samej jednostce organizacyjnej

W tym przykładzie dodamy do konfiguracji z poprzedniego przypadku użycia aplikację innej firmy Salesforce.

Lista wykluczeń aplikacji to lista jednostek organizacyjnych, która obejmuje wszystkie aplikacje innych firm wykluczone z wcześniejszych i nowych przypisań poziomów dostępu zależnego od kontekstu. Listy wykluczeń aplikacji są unikalne dla jednostki organizacyjnej, w której zostały zdefiniowane. Dlatego jednostki organizacyjne mają własne listy wykluczeń aplikacji.

W związku z tym aplikacje Box i Salesforce będą miały dostęp do Dysku i Gmaila niezależnie od przypisanych poziomów dostępu.

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwoa potemDostęp do danych i kontrola nad nimia potemDostęp zależny od kontekstu.

    Wymagane są uprawnienia do zarządzania poziomem dostępu i regułami związane z bezpieczeństwem danych oraz obowiązujące w interfejsie Admin API uprawnienia do odczytu dotyczące grup i użytkowników.

  2. Kliknij Przypisz poziomy dostępu.
  3. Wybierz jednostkę organizacyjną Pracownicy tymczasowi.
  4. Z listy aplikacji wybierz Gmail i kliknij Przypisz.
  5. Wybierz poziom dostępu Zablokuj dostęp poza Stanami Zjednoczonymi i kliknij Dalej.
  6. Zaznacz pole Nie zezwalaj użytkownikom na uzyskiwanie dostępu do aplikacji komputerowych i mobilnych Google, jeśli nie zgadzają się poziomy dostępu.
  7. Zaznacz pole Blokuj innym aplikacjom dostęp do wybranych aplikacji przez interfejsy API, jeśli poziomy dostępu nie są zgodne.
  8. Zaznacz pole Wyklucz z ograniczeń dozwolone aplikacje, aby zawsze miały dostęp do interfejsów API określonych usług Google niezależnie od poziomu dostępu.
    Wszystkie aplikacje innych firm oznaczone jako zaufane na stronie kontroli dostępu do aplikacji są wymienione w tabeli dozwolonych aplikacji.
  9. Wybierz aplikację Salesforce i kliknij Dalej.
  10. Sprawdź ustawienia i kliknij Zakończ.

Działanie wykluczeń w przypadku grup i jednostek organizacyjnych

Mimo że zasady grupy zastępują zasady dotyczące jednostek organizacyjnych, nadal możesz wykluczyć blokowanie zaufanych aplikacji innych firm korzystających z ujawnionych interfejsów API, przypisując poziomy dostępu zależnego od kontekstu na poziomie grupy. W przypadku jednostek organizacyjnych nie możesz jednak tworzyć list wykluczeń na poziomie grupy.

  • Jeśli podczas przypisywania poziomu dostępu zależnego od kontekstu na poziomie grupy zaznaczysz pole Wyklucz z ograniczeń dozwolone aplikacje, aby zawsze miały dostęp do interfejsów API określonych usług Google niezależnie od poziomu dostępu, osoby w grupie będą podlegać listom wykluczeń na poziomie jednostki organizacyjnej, do których należą. Jeśli użytkownicy należą do różnych jednostek organizacyjnych, będą ich dotyczyć listy wykluczeń obowiązujące w tych jednostkach organizacyjnych.
  • Jeśli podczas przypisywania poziomu dostępu zależnego od kontekstu odznaczysz pole Wyklucz z ograniczeń dozwolone aplikacje, aby zawsze miały dostęp do interfejsów API określonych usług Google niezależnie od poziomu dostępu, do osób w grupie nie będą mieć zastosowania żadne wykluczenia. Zasady grupy zastępują zasady dotyczące jednostek organizacyjnych, więc wszelkie wykluczenia z wcześniej utworzonych poziomów dostępu zależnego od kontekstu nie będą stosowane do osób w danej grupie.


Google, Google Workspace i inne powiązane nazwy są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.