Casos de uso: isentar apps confiáveis de terceiros de serem bloqueados

Estes exemplos mostram como isentar aplicativos permitidos para que sempre possam acessar interfaces de programação do aplicativo (APIs) para serviços específicos do Google, sem considerar os níveis de acesso atribuídos.

Caso de uso 1: apps confiáveis são bloqueados por APIs expostas

Neste exemplo, não isentamos apps confiáveis de terceiros. No Google Keep, definimos o nível de acesso Impedir o acesso fora da rede corporativa para a unidade organizacional Temp Worker. Isso faz com que os apps que acessam o Google Keep pelas APIs de fora da rede da sua organização sejam bloqueados.

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de dados e acessoe depoisAcesso baseado no contexto.

    Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.

  2. Clique em Atribuir níveis de acesso.
  3. Selecione a unidade organizacional Trabalhador temporário.
  4. Na lista de apps, selecione Google Keep e clique em Atribuir.
  5. Selecione Impedir o acesso fora da rede corporativa e clique em Continuar.
  6. Marque a caixa Impedir que os usuários acessem apps do Google para computador e para dispositivos móveis se os níveis de acesso não forem atendidos.
  7. Marque a caixa Impedir que outros apps acessem os apps selecionados via APIs se os níveis de acesso não forem atendidos.
  8. Clique em Continuar.
  9. Revise e clique em Concluir.

Caso de uso 2: isentar um app de terceiros

Neste exemplo, isentamos o app de terceiros Box. No Google Drive, definimos o nível de acesso Impedir o acesso fora da rede corporativa para a unidade organizacional Temp Worker. Com isso, o app de terceiros Box pode acessar o Google Drive mesmo que a solicitação da API venha de fora da rede da sua organização.

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de dados e acessoe depoisAcesso baseado no contexto.

    Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.

  2. Clique em Atribuir níveis de acesso.
  3. Selecione a unidade organizacional Trabalhador temporário.
  4. Na lista de apps, selecione Google Drive e clique em Atribuir.
  5. Selecione Impedir o acesso fora da rede corporativa e clique em Continuar.
  6. Marque a caixa Impedir que os usuários acessem apps do Google para computador e para dispositivos móveis se os níveis de acesso não forem atendidos.
  7. Marque a caixa Impedir que outros apps acessem os apps selecionados via APIs se os níveis de acesso não forem atendidos.
  8. Marque a caixa Isentar apps permitidos para que eles sempre possam acessar as APIs de serviços do Google específicos, sem considerar os níveis de acesso.
    Todos os apps de terceiros marcados como Confiáveis na página "Controle de acesso de apps" aparecem na tabela de apps permitidos.
    Observação: cada novo Google Apps Script precisa ser adicionado explicitamente à lista de isenção.
  9. Selecione Box e clique em Continuar.
  10. Revise e clique em Concluir.

Caso de uso 3: isentar outro app de terceiros na mesma unidade organizacional

Neste exemplo, adicionamos o app de terceiros do Salesforce à configuração no caso de uso anterior.

A lista de isenções de apps é uma lista específica da unidade organizacional que se aplica a todos os apps de terceiros isentos em atribuições anteriores do nível de acesso baseado no contexto e a novas atribuições de nível de acesso baseado no contexto. As listas de isenção de apps são exclusivas da unidade organizacional em que são definidas. Portanto, as unidades organizacionais têm as próprias listas de isenção de apps.

Como resultado, neste exemplo, o Box e o Salesforce poderão acessar o Drive e o Gmail, independentemente dos níveis de acesso atribuídos.

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisControle de dados e acessoe depoisAcesso baseado no contexto.

    Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.

  2. Clique em Atribuir níveis de acesso.
  3. Selecione a unidade organizacional Trabalhador temporário.
  4. Na lista de apps, selecione Gmail e clique em Atribuir.
  5. Selecione o nível de acesso, Impedir acesso fora dos EUA e clique em Continuar.
  6. Marque a caixa Impedir que os usuários acessem apps do Google para computador e para dispositivos móveis se os níveis de acesso não forem atendidos.
  7. Marque a caixa Impedir que outros apps acessem os apps selecionados via APIs se os níveis de acesso não forem atendidos.
  8. Marque a caixa Isentar apps permitidos para que eles sempre possam acessar as APIs de serviços do Google específicos, sem considerar os níveis de acesso.
    Todos os apps de terceiros marcados como Confiáveis na página "Controle de acesso de apps" aparecem na tabela de apps permitidos.
  9. Selecione o app de terceiros Salesforce e clique em Continuar.
  10. Revise e clique em Concluir.

Comportamento de isenção de grupos e unidades organizacionais

Mesmo que as políticas de grupo substituam as políticas de unidades organizacionais, ainda é possível isentar apps confiáveis de terceiros de serem bloqueados por meio de APIs expostas ao atribuir níveis de acesso baseado no contexto no nível do grupo. No entanto, não é possível definir listas de isenção no nível do grupo como para unidades organizacionais.

  • Se você marcar a opção Isentar apps permitidos para que eles sempre possam acessar as APIs de serviços do Google específicos, sem considerar os níveis de acesso ao atribuir um nível de acesso baseado no contexto no nível do grupo, os indivíduos no grupo serão sujeitos às listas de isenção no nível da unidade organizacional a que pertencem. Se os indivíduos pertencerem a unidades organizacionais diferentes, as listas de isenção correspondentes a elas serão aplicadas.
  • Se você desmarcar a opção Isentar apps permitidos para que eles sempre possam acessar as APIs de serviços do Google específicos, sem considerar os níveis de acesso ao atribuir um nível de acesso baseado no contexto no nível do grupo, não serão aplicadas isenções aos indivíduos no grupo. As políticas de grupo substituem as políticas de unidades organizacionais. Portanto, as isenções dos níveis de acesso baseado no contexto criadas anteriormente não serão aplicáveis aos indivíduos do grupo.


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.