Aby monitorować i ograniczać dostęp do danych, który użytkownicy przyznają Apps Script, musisz mieć konto Google Workspace w wersji Enterprise, Education Standard lub Education Plus.
Użytkownicy Google Workspace przyznają dostęp do poziomów danych, zwanych zakresami, gdy uruchamiają skrypty lub używają aplikacji, takich jak dodatki czy aplikacje internetowe. Na tej stronie opisujemy, jak monitorować lub cofać zakresy, do których użytkownicy przyznają dostęp na swoim koncie Google Workspace.
Monitorowanie zdarzeń związanych z uprawnieniami do korzystania z uwierzytelniania przez OAuth według zakresu
Aby wyświetlić zdarzenia, w których użytkownicy przyznają dostęp do określonego zakresu lub zakresów, wykonaj te czynności:
W konsoli administracyjnej Google otwórz Menu > Zabezpieczenia > Centrum bezpieczeństwa > Narzędzie do analizy zagrożeń.
Kliknij Źródło danych i wybierz Zdarzenia z dziennika OAuth.
Kliknij Dodaj warunek > Atrybut i wybierz Zdarzenie.
Kliknij Zdarzenie i wybierz Przyznaj.
Kliknij Dodaj warunek > Atrybut i wybierz Zakres.
W polu Zakres wpisz zakres, który chcesz monitorować. Listę zakresów znajdziesz w sekcji Zakresy OAuth 2.0 dla interfejsów API Google.
Kliknij Szukaj. Wyświetli się lista zdarzeń przyznania dostępu w przypadku określonych przez Ciebie zakresów.
Cofanie przyznania OAuth
Ważne: po cofnięciu dostępu do zakresu użytkownicy mogą ponownie przyznać dostęp. Skonfiguruj alerty dotyczące zakresów, do których nie chcesz przyznawać użytkownikom dostępu, aby w razie potrzeby móc cofnąć dostęp. Zapoznaj się z artykułem Tworzenie alertu dotyczącego przyznanych uprawnień OAuth.
Aby cofnąć dostęp do zakresu, wykonaj czynności opisane w sekcji Monitorowanie zdarzeń uwierzytelniania przez OAuth według zakresu, a następnie wybierz zdarzenia, które chcesz cofnąć, i kliknij Cofnij tokeny dostępu użytkowników.
Tworzenie alertu dotyczącego przyznawania uprawnień OAuth
Aby otrzymywać alerty, gdy ktoś przyzna dostęp do określonego zakresu, wykonaj czynności opisane w sekcji Monitorowanie zdarzeń uwierzytelniania przez OAuth według zakresu, a następnie wykonaj te czynności:
- U góry wyników wyszukiwania kliknij Utwórz regułę związaną z aktywnością.
- W polu Nazwa reguły wpisz nazwę alertu.
- Kliknij Dalej – wyświetl warunki. Warunki są wypełniane automatycznie na podstawie parametrów wyszukiwania. W razie potrzeby je zmień, a następnie kliknij Dalej – dodaj czynności.
- W sekcji Próg 1 wybierz przedział czasu i próg reguły, a następnie zaznacz pole Wyślij do Centrum alertów.
- Kliknij Dodaj odbiorców e-maila i wpisz adresy e-mail, na które mają być wysyłane alerty. Kliknij Gotowe.
- Kliknij Dalej – sprawdź.
- Sprawdź szczegóły i kliknij Utwórz regułę.
Więcej informacji znajdziesz w artykule Tworzenie reguł związanych z aktywnością i zarządzanie nimi.
Ograniczanie dostępu do zakresów OAuth wysokiego ryzyka
Możesz ograniczyć dostęp do większości usług Google Workspace. W przypadku Gmaila i Dysku Google ogranicz dostęp do zakresów OAuth wysokiego ryzyka, zezwalając użytkownikom na przyznawanie dostępu do zakresów OAuth, które nie są sklasyfikowane jako zakresy o wysokim ryzyku. Jeśli aplikacja prosi o dostęp do zakresu OAuth o wysokim ryzyku, do którego dostęp został ograniczony, a nie została określona przez Ciebie jako zaufana, użytkownicy nie mogą jej autoryzować.
Aby ograniczyć dostęp do zakresów OAuth wysokiego ryzyka, zapoznaj się z artykułem Ograniczanie lub usuwanie ograniczeń dostępu do usług Google.