You need an Enterprise, Education Standard, or Education Plus Google Workspace account to monitor and restrict the data access that users grant to Apps Script.
Пользователи Google Workspace предоставляют доступ к определенным уровням данных, известным как области действия (scopes), при запуске скриптов или использовании таких приложений, как дополнения или веб-приложения. На этой странице описано, как отслеживать или отзывать области действия, к которым пользователи предоставляют доступ в своей учетной записи Google Workspace.
Отслеживайте события предоставления прав OAuth по области действия.
To view events where users grant access to a specific scope or scopes, follow these steps:
In the Google Admin console, go to Menu > Security > Security center > Investigation tool .
Нажмите «Источник данных» и выберите «События журнала OAuth» .
Click Add condition > Attribute and select Event .
Нажмите «Событие» и выберите «Предоставить» .
Click Add condition > Attribute and select Scope .
For Scope , enter the scope you want to monitor. For a list of scopes, refer to OAuth 2.0 Scopes for Google APIs .
Click Search . A list of grant events displays for the scopes you specified.
Отозвать разрешения OAuth
Важно : После отзыва доступа к области действия пользователи могут повторно предоставить доступ. Настройте оповещения для областей действия, к которым вы не хотите предоставлять доступ пользователям, чтобы при необходимости отзывать доступ. См. раздел «Создание оповещения для предоставления доступа OAuth» .
To revoke access to a scope, follow the steps for Monitor OAuth grant events by scope , then select the events you want to revoke and click Revoke access tokens for users .
Создать оповещение о предоставлении OAuth-прав
To receive an alert when someone grants access to a specific scope, follow the steps for Monitor OAuth grant events by scope , then follow these steps:
- At the top of the search, click Create activity rule .
- В поле «Имя правила» введите имя для оповещения.
- Click Next: View Conditions . The conditions automatically populate from the search parameters. Edit them if needed, then click Next: Add Actions .
- In Threshold 1 , select a time frame and threshold for the rule and check the Send to alert center box.
- Click Add email recipients and enter the email addresses that should receive alerts. Click Done .
- Нажмите «Далее: Обзор» .
- Просмотрите подробности и нажмите «Создать правило» .
For more information, refer to Create and manage activity rules .
Ограничьте доступ к областям действия OAuth с высоким риском.
Вы можете ограничить доступ к большинству сервисов Google Workspace. Для Gmail и Google Drive ограничьте доступ к областям OAuth с высоким риском, разрешив при этом пользователям предоставлять доступ к областям OAuth, которые не классифицируются как высокорискованные. Если приложение запрашивает доступ к ограниченной области OAuth с высоким риском, и вы не подтвердили доверие к этому приложению, пользователи не смогут его авторизовать.
To restrict access to high-risk OAuth scopes, refer to Restrict or unrestrict Google services .