Vous avez besoin d'un compte Google Workspace Enterprise, Education Standard ou Education Plus pour surveiller et limiter l'accès aux données que les utilisateurs accordent à Apps Script.
Les utilisateurs Google Workspace accordent l'accès à des niveaux de données, appelés "scopes", lorsqu'ils exécutent des scripts ou utilisent des applications telles que des modules complémentaires ou des applications Web. Cette page explique comment surveiller ou révoquer les autorisations d'accès que les utilisateurs accordent dans leur compte Google Workspace.
Surveiller les événements d'authentification OAuth par champ d'application
Pour afficher les événements dans lesquels les utilisateurs accordent l'accès à un ou plusieurs niveaux d'accès spécifiques, procédez comme suit :
Dans la console d'administration Google, accédez à Menu > Sécurité > Centre de sécurité > Outil d'investigation.
Cliquez sur Source de données, puis sélectionnez Événements de journaux OAuth.
Cliquez sur Ajouter une condition > Attribut, puis sélectionnez Événement.
Cliquez sur Événement, puis sélectionnez Accorder.
Cliquez sur Ajouter une condition > Attribut, puis sélectionnez Champ d'application.
Dans le champ Champ d'application, saisissez le champ d'application que vous souhaitez surveiller. Pour obtenir la liste des champs d'application, consultez Champs d'application OAuth 2.0 pour les API Google.
Cliquez sur Rechercher. Une liste des événements d'autorisation s'affiche pour les niveaux d'accès que vous avez spécifiés.
Révoquer les autorisations OAuth
Important : Une fois que vous avez révoqué l'accès à un champ d'application, les utilisateurs peuvent l'accorder à nouveau. Configurez des alertes pour les niveaux d'accès auxquels vous ne souhaitez pas que les utilisateurs accordent l'accès. Vous pourrez ainsi révoquer l'accès si nécessaire. Consultez Créer une alerte pour les autorisations OAuth.
Pour révoquer l'accès à un champ d'application, suivez la procédure Surveiller les événements d'authentification OAuth par champ d'application, puis sélectionnez les événements que vous souhaitez révoquer et cliquez sur Révoquer les jetons d'accès pour les utilisateurs.
Créer une alerte pour les autorisations OAuth
Pour recevoir une alerte lorsqu'une personne accorde l'accès à un champ d'application spécifique, suivez la procédure décrite dans Surveiller les événements d'autorisation OAuth par champ d'application, puis procédez comme suit :
- En haut des résultats de recherche, cliquez sur Créer une règle d'activité.
- Dans le champ Nom de la règle, saisissez le nom de l'alerte.
- Cliquez sur Suivant : Afficher les conditions. Les conditions sont automatiquement renseignées à partir des paramètres de recherche. Modifiez-les si nécessaire, puis cliquez sur Suivant : Ajouter des actions.
- Dans Seuil 1, sélectionnez un intervalle de temps et un seuil pour la règle, puis cochez la case Envoyer au centre d'alerte.
- Cliquez sur Ajouter des destinataires d'e-mails et saisissez les adresses e-mail qui doivent recevoir les alertes. Cliquez sur OK.
- Cliquez sur Suivant : Relire.
- Vérifiez les détails, puis cliquez sur Créer une règle.
Pour en savoir plus, consultez Créer et gérer des règles d'activité.
Restreindre l'accès aux habilitations OAuth à haut risque
Vous pouvez restreindre l'accès à la plupart des services Google Workspace. Pour Gmail et Google Drive, restreignez l'accès aux habilitations OAuth à haut risque tout en autorisant les utilisateurs à accorder l'accès aux habilitations OAuth qui ne sont pas classées comme à haut risque. Si une application demande l'accès à un champ d'application OAuth à risque élevé et limité, et que vous ne l'avez pas spécifiquement approuvée, les utilisateurs ne peuvent pas l'autoriser.
Pour limiter l'accès aux habilitations OAuth à haut risque, consultez Limiter ou autoriser l'accès aux services Google.