Google Workspace 用户在运行脚本或使用插件或 Web 应用等应用时,会授予对不同数据级别(称为“作用域”)的访问权限。本页介绍了如何监控或撤消用户在其 Google Workspace 账号中授予访问权限的范围。
按范围监控 OAuth 授权事件
如需查看用户授予对特定范围或范围的访问权限的事件,请按以下步骤操作:
在 Google 管理控制台中,依次点击“菜单”图标 > 安全性 > 安全中心 > 调查工具。
点击数据源,然后选择 OAuth 日志事件。
依次点击添加条件 > 属性,然后选择事件。
点击事件,然后选择授予。
依次点击添加条件 > 属性,然后选择范围。
在范围中,输入要监控的范围。如需查看范围列表,请参阅 Google API 适用的 OAuth 2.0 范围。
点击搜索。系统会显示您指定的范围的授予事件列表。
撤消 OAuth 授权
重要提示:您撤消对某个范围的访问权限后,用户可以重新授予访问权限。我们建议您为不希望用户授予访问权限的镜重范围设置提醒,以便您根据需要撤消访问权限。请参阅为 OAuth 授权创建提醒。
如需撤消对某个镜面的访问权限,请按照按镜面对 OAuth 授予事件进行监控中的步骤操作,然后选择要撤消的事件,然后点击撤消用户的访问令牌。
为 OAuth 授予创建提醒
如需在有人授予对特定范围的访问权限时收到提醒,请按照按范围监控 OAuth 授权事件中的步骤操作,然后执行以下步骤:
- 在搜索顶部,点击创建活动规则。
- 在规则名称中,输入提醒的名称。
- 点击下一步:查看条件。系统会根据搜索参数自动填充条件。您可以根据需要修改它们,然后点击下一步:添加操作。
- 在阈值 1 中,为规则选择时间范围和阈值,然后勾选发送至提醒中心对应的复选框。
- 点击添加电子邮件收件人,然后输入应接收提醒的电子邮件地址。点击完成。
- 点击下一步:检查。
- 查看详细信息,然后点击创建规则
如需了解详情,请参阅创建和管理活动规则。
限制对高风险 OAuth 范围的访问权限
您可以限制对大多数 Google Workspace 服务的访问。对于 Gmail 和 Google 云端硬盘,您可以限制对高风险 OAuth 范围的访问权限,同时允许用户授予对未归类为高风险的 OAuth 范围的访问权限。如果应用请求访问受限的高风险 OAuth 范围,而您未明确信任该应用,则用户无法向其授权。
如需限制对高风险 OAuth 范围的访问权限,请参阅限制或取消限制 Google 服务。