Vous avez besoin d'un compte Google Workspace Enterprise, Education Standard ou Education Plus pour surveiller et limiter l'accès aux données que les utilisateurs accordent à Apps Script.
Les utilisateurs de Google Workspace accordent l'accès à des niveaux de données, appelés "champs d'application", lorsqu'ils exécutent des scripts ou utilisent des applications telles que des modules complémentaires ou des applications Web. Cette page explique comment surveiller ou révoquer les champs d'application auxquels les utilisateurs accordent l'accès dans leur compte Google Workspace.
Surveiller les événements d'authentification OAuth par champ d'application
Pour afficher les événements dans lesquels les utilisateurs accordent l'accès à un ou plusieurs champs d'application spécifiques, procédez comme suit :
Dans la console d'administration Google, accédez à Menu > Sécurité > Centre de sécurité > Outil d'investigation.
Cliquez sur Source de données , puis sélectionnez Événements de journaux OAuth.
Cliquez sur Ajouter une condition > Attribut et sélectionnez Événement.
Cliquez sur Événement , puis sélectionnez Authentification.
Cliquez sur Ajouter une condition > Attribut et sélectionnez Champ d'application.
Dans le champ Champ d'application, saisissez le champ d'application que vous souhaitez surveiller. Pour obtenir la liste des champs d'application, consultez la section Champs d'application OAuth 2.0 pour les API Google.
Cliquez sur Rechercher. Une liste des événements d'authentification s'affiche pour les champs d'application que vous avez spécifiés.
Révoquer les authentifications OAuth
Important : Une fois que vous avez révoqué l'accès à un champ d'application, les utilisateurs peuvent l'accorder à nouveau. Configurez des alertes pour les champs d'application auxquels vous ne souhaitez pas que les utilisateurs accordent l'accès afin de pouvoir le révoquer si nécessaire. Consultez Créer une alerte pour les authentifications OAuth.
Pour révoquer l'accès à un champ d'application, suivez les étapes décrites dans Surveiller les événements d'authentification OAuth par champ d'application, puis sélectionnez les événements que vous souhaitez révoquer et cliquez sur Révoquer les jetons d'accès pour les utilisateurs.
Créer une alerte pour les authentifications OAuth
Pour recevoir une alerte lorsqu'un utilisateur accorde l'accès à un champ d'application spécifique, suivez les étapes décrites dans Surveiller les événements d'authentification OAuth par champ d'application, puis procédez comme suit :
- En haut de la recherche, cliquez sur Créer une règle d'activité.
- Dans le champ Nom de la règle, saisissez un nom pour l'alerte.
- Cliquez sur Suivant : Afficher les conditions. Les conditions sont automatiquement renseignées à partir des paramètres de recherche. Modifiez-les si nécessaire, puis cliquez sur Suivant : Ajouter des actions.
- Dans Seuil 1, sélectionnez une période et un seuil pour la règle, puis cochez la case Envoyer au centre d'alerte.
- Cliquez sur Ajouter des destinataires d'e-mails , puis saisissez les adresses e-mail qui doivent recevoir des alertes. Cliquez sur OK.
- Cliquez sur Suivant : Relire.
- Vérifiez les informations, puis cliquez sur Créer une règle.
Pour en savoir plus, consultez Créer et gérer des règles d'activité.
Limiter l'accès aux habilitations OAuth à haut risque
Vous pouvez limiter l'accès à la plupart des services Google Workspace. Pour Gmail et Google Drive, limitez l'accès aux habilitations OAuth à haut risque tout en permettant aux utilisateurs d'accorder l'accès aux habilitations OAuth qui ne sont pas classées comme étant à haut risque. Si une application demande l'accès à une habilitation OAuth à haut risque limitée et que vous ne l'avez pas spécifiquement approuvée, les utilisateurs ne peuvent pas l'autoriser.
Pour limiter l'accès aux habilitations OAuth à haut risque, consultez Limiter ou non les services Google.