Datenzugriff überwachen und einschränken

Sie benötigen ein Google Workspace-Konto vom Typ „Enterprise“, „Education Standard“ oder „Education Plus“, um den Datenzugriff, den Nutzer Apps Script gewähren, zu überwachen und einzuschränken.

Google Workspace-Nutzer gewähren Zugriff auf Datenbereiche, sogenannte Bereiche, wenn sie Skripts ausführen oder Apps wie Add‑ons oder Web-Apps verwenden. Auf dieser Seite wird beschrieben, wie Sie die Bereiche überwachen oder widerrufen können, auf die Nutzer in ihrem Google Workspace-Konto Zugriff gewähren.

OAuth-Zustimmungsereignisse nach Umfang beobachten

So rufen Sie Ereignisse auf, bei denen Nutzer Zugriff auf einen oder mehrere bestimmte Bereiche gewähren:

  1. Gehen Sie in der Admin-Konsole zu „Menü“  > Sicherheit > Sicherheitscenter > Prüftool.

    Zum Prüftool

  2. Klicken Sie auf Datenquelle und wählen Sie OAuth-Protokollereignisse aus.

  3. Klicken Sie auf Bedingung hinzufügen > Attribut und wählen Sie Ereignis aus.

  4. Klicken Sie auf Ereignis und wählen Sie Gewähren aus.

  5. Klicken Sie auf Bedingung hinzufügen > Attribut und wählen Sie Bereich aus.

  6. Geben Sie bei Umfang den Umfang ein, den Sie überwachen möchten. Eine Liste der Bereiche finden Sie unter OAuth 2.0-Bereiche für Google APIs.

  7. Klicken Sie auf Suchen. Für die von Ihnen angegebenen Bereiche wird eine Liste der Erteilungsereignisse angezeigt.

OAuth-Erteilungen widerrufen

Wichtig: Nachdem Sie den Zugriff auf einen Bereich widerrufen haben, können Nutzer den Zugriff wieder gewähren. Richten Sie Benachrichtigungen für Bereiche ein, auf die Nutzer keinen Zugriff gewähren sollen, damit Sie den Zugriff bei Bedarf widerrufen können. Weitere Informationen finden Sie unter Warnung für OAuth-Zustimmungen erstellen.

Wenn Sie den Zugriff auf einen Bereich widerrufen möchten, folgen Sie der Anleitung unter OAuth-Zustimmungsereignisse nach Bereich überwachen. Wählen Sie dann die Ereignisse aus, die Sie widerrufen möchten, und klicken Sie auf Zugriffstokens für Nutzer widerrufen.

Benachrichtigung für OAuth-Gewährungen erstellen

Wenn Sie eine Benachrichtigung erhalten möchten, wenn jemand Zugriff auf einen bestimmten Bereich gewährt, folgen Sie der Anleitung unter OAuth-Gewährungsereignisse nach Bereich überwachen und dann dieser Anleitung:

  1. Klicken Sie oben in den Suchergebnissen auf Aktivitätsregel erstellen.
  2. Geben Sie unter Regelname einen Namen für die Benachrichtigung ein.
  3. Klicken Sie auf Weiter: Bedingungen anzeigen. Die Bedingungen werden automatisch anhand der Suchparameter ausgefüllt. Bearbeiten Sie sie bei Bedarf und klicken Sie dann auf Weiter: Aktionen hinzufügen.
  4. Wählen Sie unter Grenzwert 1 einen Zeitraum und einen Grenzwert für die Regel aus und klicken Sie auf das Kästchen An die Benachrichtigungszentrale senden.
  5. Klicken Sie auf E‑Mail-Empfänger hinzufügen und geben Sie die E‑Mail-Adressen ein, an die Benachrichtigungen gesendet werden sollen. Klicken Sie auf Fertig.
  6. Klicken Sie auf Weiter: Überprüfen.
  7. Prüfen Sie die Details und klicken Sie auf Regel erstellen.

Weitere Informationen finden Sie unter Aktivitätsregeln erstellen und verwalten.

Zugriff auf OAuth-Bereiche mit hohem Risiko einschränken

Sie können den Zugriff auf die meisten Google Workspace-Dienste einschränken. Für Gmail und Google Drive den Zugriff auf OAuth-Bereiche mit hohem Risiko einschränken, während Nutzer Zugriff auf OAuth-Bereiche gewähren können, die nicht als risikoreich eingestuft sind. Wenn eine App Zugriff auf einen eingeschränkten risikoreichen OAuth-Bereich anfordert und Sie die App nicht als vertrauenswürdig eingestuft haben, können Nutzer sie nicht autorisieren.

Informationen zum Einschränken des Zugriffs auf OAuth-Bereiche mit hohem Risiko finden Sie unter Google-Dienste einschränken oder Einschränkung aufheben.