Necesitas una cuenta de Google Workspace Enterprise, Education Standard o Education Plus para supervisar y restringir el acceso a los datos que los usuarios otorgan a Apps Script.
Los usuarios de Google Workspace otorgan acceso a niveles de datos, conocidos como alcances, cuando ejecutan secuencias de comandos o usan apps como complementos o apps web. En esta página, se describe cómo supervisar o revocar los alcances a los que los usuarios otorgan acceso en sus cuentas de Google Workspace.
Supervisa los eventos de otorgamiento de OAuth por alcance
Para ver los eventos en los que los usuarios otorgan acceso a un alcance o alcances específicos, sigue estos pasos:
En la Consola del administrador de Google, ve a Menú > Seguridad > Centro de seguridad > Herramienta de investigación.
Haz clic en Fuente de datos y selecciona Eventos de registro de OAuth.
Haz clic en Agregar condición > Atributo y selecciona Evento.
Haz clic en Evento y selecciona Otorgar.
Haz clic en Agregar condición > Atributo y selecciona Alcance.
En Alcance, ingresa el alcance que deseas supervisar. Para obtener una lista de los alcances, consulta Alcances de OAuth 2.0 para las APIs de Google.
Haz clic en Buscar. Se mostrará una lista de eventos de otorgamiento para los alcances que especificaste.
Revoca los otorgamientos de OAuth
Importante: Después de revocar el acceso a un alcance, los usuarios pueden volver a otorgarlo. Configura alertas para los alcances a los que no quieres que los usuarios otorguen acceso para que puedas revocarlo según sea necesario. Consulta Crea una alerta para los otorgamientos de OAuth.
Para revocar el acceso a un alcance, sigue los pasos para supervisar los eventos de otorgamiento de OAuth por alcance, selecciona los eventos que deseas revocar y haz clic en Revocar tokens de acceso para los usuarios.
Crea una alerta para los otorgamientos de OAuth
Para recibir una alerta cuando alguien otorgue acceso a un alcance específico, sigue los pasos para supervisar los eventos de otorgamiento de OAuth por alcance, luego, sigue estos pasos:
- En la parte superior de la búsqueda, haz clic en Crear una regla de actividad.
- En Nombre de la regla, ingresa un nombre para la alerta.
- Haz clic en Siguiente: Ver condiciones. Las condiciones se propagan automáticamente desde los parámetros de búsqueda. Si es necesario, edítalas y, luego, haz clic en Siguiente: Agregar acciones.
- En Umbral 1, selecciona un período y un umbral para la regla, y marca la casilla Enviar al Centro de alertas.
- Haz clic en Agregar destinatarios de correo electrónico y, luego, ingresa las direcciones de correo electrónico que deben recibir alertas. Haz clic en Listo.
- Haz clic en Siguiente: Revisar.
- Revisa los detalles y haz clic en Crear regla.
Para obtener más información, consulta Crea y administra reglas de actividad.
Restringe el acceso a los alcances de OAuth de alto riesgo
Puedes restringir el acceso a la mayoría de los servicios de Google Workspace. En el caso de Gmail y Google Drive, restringe el acceso a los alcances de OAuth de alto riesgo y permite que los usuarios otorguen acceso a los alcances de OAuth que no estén clasificados como de alto riesgo. Si una app solicita acceso a un alcance de OAuth de alto riesgo restringido y no la marcaste específicamente como de confianza, los usuarios no podrán autorizarla.
Para restringir el acceso a los alcances de OAuth de alto riesgo, consulta Restringe o deja de restringir los servicios de Google.