Google Workspace ユーザーは、スクリプトを実行したり、アドオンやウェブアプリなどのアプリを使用したりすると、スコープと呼ばれるデータレベルへのアクセス権を付与します。このページでは、ユーザーが Google Workspace アカウント内でアクセス権を付与するスコープをモニタリングまたは取り消す方法について説明します。
OAuth 権限付与イベントをスコープ別にモニタリングする
ユーザーが特定のスコープへのアクセス権を付与するイベントを表示するには、次の操作を行います。
Google 管理コンソールで、メニュー アイコン > [セキュリティ] > [セキュリティ センター] > [調査ツール] に移動します。
[データソース] をクリックし、[OAuth のログイベント] を選択します。
[条件を追加] > [属性] の順にクリックし、[イベント] を選択します。
[イベント] をクリックし、[付与] を選択します。
[条件を追加] > [属性] をクリックし、[スコープ] を選択します。
[スコープ] に、モニタリングするスコープを入力します。スコープのリストについては、Google API の OAuth 2.0 スコープをご覧ください。
[検索] をクリックします。指定したスコープの付与イベントのリストが表示されます。
OAuth 権限付与を取り消す
重要: スコープへのアクセス権を取り消した後、ユーザーはアクセス権を再付与できます。ユーザーにアクセス権を付与したくないスコープにアラートを設定し、必要に応じてアクセス権を取り消すことをおすすめします。OAuth 権限付与のアラートを作成するをご覧ください。
スコープへのアクセス権を取り消すには、スコープごとの OAuth 付与イベントのモニタリングの手順に沿って、取り消すイベントを選択し、[ユーザーのアクセス トークンを取り消す] をクリックします。
OAuth 権限付与のアラートを作成する
特定のスコープへのアクセス権が付与されたときにアラートを受信するには、スコープごとに OAuth 付与イベントをモニタリングするの手順に沿って、次の操作を行います。
- 検索結果の上部にある [アクティビティ ルールを作成] をクリックします。
- [Rule name] に、アラートの名前を入力します。
- [次へ: 条件を表示] をクリックします。条件は検索パラメータから自動的に入力されます。必要に応じて編集し、[次へ: 操作を追加] をクリックします。
- [しきい値 1] で、ルールの期間としきい値を選択し、[アラート センターに送信する] チェックボックスをオンにします。
- [メールの受信者を追加] をクリックし、アラートを受け取るメールアドレスを入力します。[完了] をクリックします。
- [次へ: 確認] をクリックします。
- 詳細を確認し、[ルールを作成] をクリックします。
詳細については、アクティビティ ルールの作成と管理をご覧ください。
リスクの高い OAuth スコープへのアクセスを制限する
ほとんどの Google Workspace サービスへのアクセスを制限できます。Gmail と Google ドライブでは、高リスクに分類されていない OAuth スコープへのアクセスをユーザーが許可できるようにしながら、高リスクの OAuth スコープへのアクセスを制限できます。制限された高リスクの OAuth スコープへのアクセスをアプリがリクエストする場合、そのアプリを特に信頼していない場合、ユーザーは承認できません。
リスクの高い OAuth スコープへのアクセスを制限するには、Google サービスを制限または制限解除するをご覧ください。