Les utilisateurs Google Workspace accordent l'accès à des niveaux de données, appelés "scopes", lorsqu'ils exécutent des scripts ou utilisent des applications telles que des modules complémentaires ou des applications Web. Cette page explique comment surveiller ou révoquer les autorisations que les utilisateurs accordent dans leur compte Google Workspace.
Surveiller les événements d'authentification OAuth par champ d'application
Pour afficher les événements au cours desquels les utilisateurs accordent l'accès à un ou plusieurs niveaux d'accès spécifiques, procédez comme suit :
Dans la console d'administration Google, accédez à Menu > Sécurité > Centre de sécurité > Outil d'investigation.
Cliquez sur Source de données et sélectionnez Événements de journaux OAuth.
Cliquez sur Ajouter une condition > Attribut, puis sélectionnez Événement.
Cliquez sur Événement, puis sélectionnez Accorder.
Cliquez sur Ajouter une condition > Attribut, puis sélectionnez Champ d'application.
Dans le champ Champ d'application, saisissez le champ d'application que vous souhaitez surveiller. Pour obtenir la liste des champs d'application, consultez Champs d'application OAuth 2.0 pour les API Google.
Cliquez sur Rechercher. Une liste d'événements d'autorisation s'affiche pour les niveaux d'accès que vous avez spécifiés.
Révoquer les autorisations OAuth
Important : Une fois que vous avez révoqué l'accès à un champ d'application, les utilisateurs peuvent l'accorder à nouveau. Nous vous recommandons de configurer des alertes pour les niveaux d'accès auxquels vous ne souhaitez pas que les utilisateurs accordent l'accès. Vous pourrez ainsi révoquer l'accès si nécessaire. Consultez Créer une alerte pour les autorisations OAuth.
Pour révoquer l'accès à un champ d'application, suivez la procédure décrite dans Surveiller les événements d'autorisation OAuth par champ d'application, puis sélectionnez les événements que vous souhaitez révoquer et cliquez sur Révoquer les jetons d'accès pour les utilisateurs.
Créer une alerte pour les autorisations OAuth
Pour recevoir une alerte lorsqu'une personne accorde l'accès à un champ d'application spécifique, suivez les étapes de la section Surveiller les événements d'authentification OAuth par champ d'application, puis procédez comme suit :
- En haut des résultats de recherche, cliquez sur Créer une règle d'activité.
- Dans le champ Nom de la règle, saisissez le nom de l'alerte.
- Cliquez sur Suivant : Afficher les conditions. Les conditions sont automatiquement renseignées à partir des paramètres de recherche. Vous pouvez les modifier si nécessaire, puis cliquer sur Suivant : Ajouter des actions.
- Dans Seuil 1, sélectionnez un intervalle de temps et un seuil pour la règle, puis cochez la case Envoyer au centre d'alerte.
- Cliquez sur Ajouter des destinataires d'e-mails, puis saisissez les adresses e-mail auxquelles les alertes doivent être envoyées. Cliquez sur OK.
- Cliquez sur Suivant : Relire.
- Vérifiez les détails, puis cliquez sur Créer une règle.
Pour en savoir plus, consultez Créer et gérer des règles d'activité.
Limiter l'accès aux habilitations OAuth à haut risque
Vous pouvez restreindre l'accès à la plupart des services Google Workspace. Pour Gmail et Google Drive, vous pouvez restreindre l'accès aux habilitations OAuth à haut risque tout en autorisant les utilisateurs à accorder l'accès aux habilitations OAuth qui ne sont pas classées comme à haut risque. Si une application demande l'accès à une habilitation OAuth à risque élevé et restreinte, et que vous ne l'avez pas spécifiquement approuvée, les utilisateurs ne pourront pas l'autoriser.
Pour limiter l'accès aux habilitations OAuth à haut risque, consultez Limiter ou non l'accès aux services Google.