重要: ユーザーが Apps Script に付与するデータアクセスをモニタリングして制限するには、Enterprise、Education Standard、または Education Plus の Google Workspace アカウントが必要です。
Google Workspace のユーザーは、スクリプトを実行するとき、またはアドオンやウェブアプリなどのアプリを使用するときに、スコープと呼ばれるデータレベルへのアクセス権を付与します。このページでは、ユーザーが Google Workspace アカウント内でアクセス権を付与したスコープをモニタリングまたは取り消す方法について説明します。
スコープ別に OAuth 権限付与イベントをモニタリングする
ユーザーが特定のスコープへのアクセス権を付与するイベントを表示するには、次の手順を行います。
Google 管理コンソールで、メニュー アイコン > [セキュリティ] > [セキュリティ センター] > [調査ツール] に移動します。
[データソース] をクリックし、[OAuth のログイベント] を選択します。
[条件を追加] > [属性] をクリックして、[イベント] を選択します。
[イベント] をクリックして、[付与] を選択します。
[条件を追加] > [属性] をクリックして、[スコープ] を選択します。
[スコープ] に、モニタリングするスコープを入力します。スコープのリストについては、Google API の OAuth 2.0 スコープをご覧ください。
[検索] をクリックします。指定したスコープの権限付与イベントのリストが表示されます。
OAuth 権限を取り消す
重要: スコープへのアクセス権を取り消した後、ユーザーはアクセス権を再度付与できます。ユーザーにアクセス権を付与したくないスコープにはアラートを設定し、必要に応じてアクセス権を取り消すことをおすすめします。OAuth 権限付与のアラートを作成するをご覧ください。
スコープへのアクセス権を取り消すには、スコープごとに OAuth 権限付与イベントをモニタリングするの手順に沿って操作し、取り消すイベントを選択して [ユーザーのアクセス トークンを取り消す] をクリックします。
OAuth 権限付与のアラートを作成する
ユーザーが特定のスコープへのアクセスを許可したときにアラートを受け取るには、スコープごとに OAuth 権限付与イベントをモニタリングするの手順を行い、次の手順を行います。
- 検索の上部にある [アクティビティ ルールを作成] をクリックします。
- [ルール名] にアラートの名前を入力します。
- [次へ: 条件を表示] をクリックします。条件は検索パラメータから自動的に入力されます。必要に応じて編集し、[次へ: アクションを追加] をクリックします。
- [しきい値 1] でルールの時間枠としきい値を選択し、[アラート センターに送信する] チェックボックスをオンにします。
- [メールの受信者を追加] をクリックし、アラートを受け取るメールアドレスを入力します。[完了] をクリックします。
- [次へ: 確認] をクリックします。
- 詳細を確認して、[ルールを作成] をクリックします。
詳しくは、アクティビティ ルールの作成と管理をご覧ください。
リスクの高い OAuth スコープへのアクセスを制限する
ほとんどの Google Workspace サービスへのアクセスを制限できます。Gmail と Google ドライブでは、リスクの高い OAuth スコープへのアクセスを制限し、高リスクとして分類されていない OAuth スコープへのアクセスをユーザーが許可できます。アプリが制限された高リスクの OAuth スコープへのアクセスをリクエストしても、そのアプリを特に信頼していない場合、ユーザーはそのアプリを承認できません。
リスクの高い OAuth スコープへのアクセスを制限するには、Google サービスの制限または制限解除をご覧ください。