监控和限制数据访问权限

Google Workspace 用户在运行脚本或使用插件或 Web 应用等应用时,会授予对数据级别(称为“作用域”)的访问权限。本页介绍了如何监控或撤消用户在其 Google Workspace 账号中授予访问权限的范围。

按范围监控 OAuth 授权事件

如需查看用户授予对特定范围或范围的访问权限的事件,请按以下步骤操作:

  1. 在 Google 管理控制台中,依次点击“菜单”图标 > 安全性 > 安全中心 > 调查工具

    前往调查工具

  2. 点击数据源,然后选择 OAuth 日志事件

  3. 依次点击添加条件 > 属性,然后选择事件

  4. 点击事件,然后选择授予

  5. 依次点击添加条件 > 属性,然后选择范围

  6. 范围中,输入要监控的范围。如需查看范围列表,请参阅 适用于 Google API 的 OAuth 2.0 范围

  7. 点击搜索。系统会显示您指定的范围的授予事件列表。

撤消 OAuth 授权

重要提示:您撤消对某个范围的访问权限后,用户可以重新授予访问权限。我们建议您为不希望用户授予访问权限的镜重范围设置提醒,以便您根据需要撤消访问权限。请参阅为 OAuth 授权创建提醒

如需撤消对某个镜面的访问权限,请按照按镜面对 OAuth 授予事件进行监控中的步骤操作,然后选择要撤消的事件,然后点击撤消用户的访问令牌

为 OAuth 授予创建提醒

如需在用户授予对特定范围的访问权限时收到提醒,请按照按范围监控 OAuth 授权事件中的步骤操作,然后执行以下步骤:

  1. 在搜索结果顶部,点击创建活动规则
  2. 规则名称中,输入提醒的名称。
  3. 点击下一步:查看条件。系统会根据搜索参数自动填充条件。您可以根据需要修改这些信息,然后点击下一步:添加操作
  4. 阈值 1 中,为规则选择时间范围和阈值,然后勾选发送至提醒中心对应的复选框。
  5. 点击添加电子邮件收件人,然后输入应接收提醒的电子邮件地址。点击完成
  6. 点击下一步:检查
  7. 查看详细信息,然后点击创建规则

如需了解详情,请参阅创建和管理活动规则

限制对高风险 OAuth 范围的访问权限

您可以限制对大多数 Google Workspace 服务的访问。对于 Gmail 和 Google 云端硬盘,您可以限制对高风险 OAuth 范围的访问权限,同时允许用户授予对未被归类为高风险的 OAuth 范围的访问权限。如果应用请求访问受限的高风险 OAuth 范围,而您未明确信任该应用,那么用户将无法授权该应用。

如需限制对高风险 OAuth 范围的访问权限,请参阅限制或取消限制 Google 服务