重要提示:您必须拥有企业、教育标准版或教育 Plus 版 Google Workspace 帐号,才能监控和限制用户向 Apps 脚本授予的数据访问权限。
Google Workspace 用户在运行脚本或使用插件或 Web 应用等应用时,会授予对数据级别(称为范围)的访问权限。本页面介绍了如何监控或撤消用户在其 Google Workspace 帐号中授予访问权限的范围。
按范围监控 OAuth 授权事件
如需查看用户授予对特定范围的访问权限的事件,请按以下步骤操作:
在 Google 管理控制台中,依次点击“菜单”图标 > 安全性 > 安全中心 > 调查工具。
点击数据源,然后选择 OAuth 日志事件。
依次点击添加条件 > 属性,然后选择事件。
点击事件,然后选择授权。
依次点击添加条件 > 属性,然后选择范围。
对于范围,请输入您要监控的范围。如需查看范围列表,请参阅 Google API 的 OAuth 2.0 范围。
点击搜索。系统会显示您指定的范围的授权事件列表。
撤消 OAuth 授权
重要提示:撤消对某个范围的访问权限后,用户可以重新授予访问权限。我们建议您为不想让用户授予访问权限的范围设置提醒,以便您可以根据需要撤消访问权限。请参阅为 OAuth 授权创建提醒。
如需撤消对某个范围的访问权限,请按照按范围监控 OAuth 授权事件中的步骤操作,然后选择要撤消的事件,并点击撤消用户的访问令牌。
为 OAuth 授权创建提醒
如需在有人授予对特定范围的访问权限时收到提醒,请按照按范围监控 OAuth 授权事件中的步骤操作,然后执行以下步骤:
- 在搜索栏顶部,点击创建活动规则。
- 在规则名称部分,为提醒输入一个名称。
- 点击下一步:查看条件。系统会通过搜索参数自动填充条件。您可以根据需要对其进行修改,然后点击 Next: Add Actions。
- 在阈值 1 中,选择规则的时间范围和阈值,然后选中发送到提醒中心复选框。
- 点击添加电子邮件收件人,然后输入应接收提醒的电子邮件地址。点击完成。
- 点击下一步:检查。
- 查看详细信息,然后点击创建规则
如需了解详情,请参阅创建和管理活动规则。
限制对高风险 OAuth 范围的访问权限
您可以限制对大多数 Google Workspace 服务的访问权限。对于 Gmail 和 Google 云端硬盘,您可以限制对高风险 OAuth 范围的访问权限,同时允许用户授予对未归类为高风险的 OAuth 范围的访问权限。如果某个应用请求访问受限的高风险 OAuth 范围,而您没有明确信任该应用,则用户无法向其授权。
如需限制对高风险 OAuth 范围的访问权限,请参阅限制或取消限制 Google 服务。