用例:不阻止受信任的第三方应用

以下示例展示了如何豁免已列入许可名单的应用,使其无论分配了何种访问权限级别,都可以始终访问特定 Google 服务的应用编程接口 (API)。

用例 1:通过公开的 API 阻止受信任的应用

在此示例中,我们不豁免任何第三方受信任的应用。对于 Google Keep,我们为 Temp Worker 组织部门设置了禁止公司网络外访问的访问权限级别。这会导致任何通过 API 从您组织的网络外部访问 Google Keep 的应用被阻止。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性然后访问权限和数据控件然后情境感知访问权限

    需要数据安全访问权限级别管理和规则管理权限以及 Admin API 群组和用户读取权限

  2. 点击分配访问权限级别
  3. 选择临时员工组织部门。
  4. 在应用列表中,选择 Google Keep,然后点击分配
  5. 选择禁止在公司网络外进行访问,然后点击继续
  6. 勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框。
  7. 勾选阻止其他应用通过 API 访问所选应用(如果不符合访问权限级别)复选框。
  8. 点击继续
  9. 检查并点击完成

用例 2:豁免第三方应用

在此示例中,我们豁免了第三方应用 Box。对于 Google 云端硬盘,我们为 Temp Worker 组织部门设置了禁止在公司网络外进行访问这一访问权限级别。因此,即使 API 请求来自贵组织的网络外部,第三方应用 Box 也能够访问 Google 云端硬盘

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性然后访问权限和数据控件然后情境感知访问权限

    需要数据安全访问权限级别管理和规则管理权限以及 Admin API 群组和用户读取权限

  2. 点击分配访问权限级别
  3. 选择临时员工组织部门。
  4. 从应用列表中选择 Google 云端硬盘,然后点击分配
  5. 选择禁止在公司网络外进行访问,然后点击继续
  6. 勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框。
  7. 勾选阻止其他应用通过 API 访问所选应用(如果不符合访问权限级别)复选框。
  8. 勾选豁免已列入许可名单的应用,以便这些应用始终可以访问特定 Google 服务的 API(无论访问权限级别如何)复选框。
    您在“应用访问权限控制”页面上标记为受信任的任何第三方应用都会列在已列入许可名单的应用表格中。
    注意:每个新的 Google Apps 脚本都必须明确添加到豁免名单中。
  9. 选择 Box,然后点击继续
  10. 检查并点击完成

用例 3:豁免同一组织部门中的其他第三方应用

在此示例中,我们将第三方应用 Salesforce 添加到前面用例的配置中。

应用豁免列表是一个组织部门专用列表,适用于在之前的情境感知访问权限级别分配和任何新的情境感知访问权限级别分配中豁免的所有第三方应用。应用豁免列表对于定义它们的组织部门而言是独一无二的。因此,组织部门有自己的应用豁免列表。

于是,在此示例中,BoxSalesforce 都将能够访问云端硬盘Gmail,无论分配的访问权限级别如何。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性然后访问权限和数据控件然后情境感知访问权限

    需要数据安全访问权限级别管理和规则管理权限以及 Admin API 群组和用户读取权限

  2. 点击分配访问权限级别
  3. 选择临时员工组织部门。
  4. 在应用列表中,选择 Gmail,然后点击分配
  5. 选择禁止在美国境外访问这一访问权限级别,然后点击继续
  6. 勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框。
  7. 勾选阻止其他应用通过 API 访问所选应用(如果不符合访问权限级别)复选框。
  8. 勾选豁免已列入许可名单的应用,以便这些应用始终可以访问特定 Google 服务的 API(无论访问权限级别如何)复选框。
    您在“应用访问权限控制”页面上标记为受信任的任何第三方应用都会列在已列入许可名单的应用表格中。
  9. 选择第三方应用 Salesforce,然后点击继续
  10. 检查并点击完成

群组和组织部门的豁免行为

即使群组政策取代组织部门政策,您在群组级别分配情境感知访问权限级别时,仍然可以通过公开的 API 豁免受信任的第三方应用。不过,您无法像组织部门一样定义群组级豁免列表。

  • 如果您在分配群组级情境感知访问权限级别时选中豁免已列入许可名单的应用,以便这些应用始终可以访问特定 Google 服务的 API(无论访问权限级别如何),则群组中的个人将受到其所属组织部门级豁免名单的约束。如果个人属于不同的组织部门,则将受这些组织部门的相应豁免列表的约束。
  • 如果您在分配群组级情境感知访问权限级别时取消选中豁免已列入许可名单的应用,以便这些应用始终可以访问特定 Google 服务的 API(无论访问权限级别如何),则群组中的个人将不会受到任何豁免的约束。群组政策将取代组织部门政策,因此之前创建的情境感知访问权限级别的任何豁免将不会应用于此群组中的个人。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。