Les utilisateurs Google Workspace accordent l'accès à des niveaux de données, appelés champs d'application, lorsqu'ils exécutent des scripts ou utilisent des applications telles que des modules complémentaires ou des applications Web. Cette page explique comment surveiller ou révoquer les portées auxquelles les utilisateurs accordent l'accès dans leur compte Google Workspace.
Surveiller les événements d'autorisation OAuth par champ d'application
Pour afficher les événements au cours desquels les utilisateurs accordent l'accès à une ou plusieurs portées spécifiques, procédez comme suit:
Dans la console d'administration Google, accédez à Menu > Sécurité > Centre de sécurité > Outil d'investigation.
Cliquez sur Source de données, puis sélectionnez Événements de journaux OAuth.
Cliquez sur Ajouter une condition > Attribut, puis sélectionnez Événement.
Cliquez sur Événement et sélectionnez Attribuer.
Cliquez sur Ajouter une condition > Attribut, puis sélectionnez Champ d'application.
Dans Champ d'application, saisissez le champ d'application que vous souhaitez surveiller. Pour obtenir la liste des champs d'application, consultez la section Champs d'application OAuth 2.0 pour les API Google.
Cliquez sur Rechercher. Une liste d'événements d'octroi s'affiche pour les champs d'application que vous avez spécifiés.
Révoquer les authentifications OAuth
Important: Une fois que vous avez révoqué l'accès à un champ d'application, les utilisateurs peuvent l'accorder à nouveau. Nous vous recommandons de configurer des alertes pour les niveaux d'accès auxquels vous ne souhaitez pas que les utilisateurs accordent l'accès, afin de pouvoir révoquer cet accès si nécessaire. Consultez Créer une alerte pour les autorisations OAuth.
Pour révoquer l'accès à un niveau d'accès, suivez la procédure Surveiller les événements d'authentification OAuth par champ d'application, sélectionnez les événements que vous souhaitez révoquer, puis cliquez sur Révoquer les jetons d'accès des utilisateurs.
Créer une alerte pour les autorisations OAuth
Pour recevoir une alerte lorsqu'un utilisateur accorde l'accès à un champ d'application spécifique, suivez les étapes de la section Surveiller les événements d'authentification OAuth par champ d'application, puis procédez comme suit:
- En haut de la recherche, cliquez sur Créer une règle d'activité.
- Dans Nom de la règle, saisissez un nom pour l'alerte.
- Cliquez sur Suivant: Afficher les conditions. Les conditions sont renseignées automatiquement à partir des paramètres de recherche. Vous pouvez les modifier si nécessaire, puis cliquer sur Next: Add Actions (Suivant : Ajouter des actions).
- Dans Seuil 1, sélectionnez une période et un seuil pour la règle, puis cochez la case Envoyer au centre d'alerte.
- Cliquez sur Ajouter des destinataires d'e-mails, puis saisissez les adresses e-mail qui doivent recevoir les alertes. Cliquez sur OK.
- Cliquez sur Suivant : Relire.
- Vérifiez les détails, puis cliquez sur Créer une règle.
Pour en savoir plus, consultez Créer et gérer des règles d'activité.
Limiter l'accès aux habilitations OAuth à haut risque
Vous pouvez limiter l'accès à la plupart des services Google Workspace. Pour Gmail et Google Drive, vous pouvez restreindre l'accès aux habilitations OAuth à haut risque tout en autorisant les utilisateurs à accorder un accès aux habilitations OAuth ne présentant pas un risque élevé. Si une application demande l'accès à un champ d'application OAuth à haut risque limité et que vous ne l'avez pas spécifiquement approuvée, les utilisateurs ne peuvent pas l'autoriser.
Pour limiter l'accès aux habilitations OAuth à haut risque, consultez Limiter l'accès à des services Google.