重要事項:您必須具備 Enterprise、Education Standard 或 Education Plus Google Workspace 帳戶,才能監控及限制使用者授予 Apps Script 的資料存取權。
Google Workspace 使用者在執行指令碼或使用應用程式 (例如外掛程式或網頁應用程式) 時,會授予資料層級 (稱為範圍) 的存取權。本頁面說明如何監控或撤銷使用者在 Google Workspace 帳戶中授予存取權的範圍。
依範圍監控 OAuth 授權事件
如要查看使用者授權存取特定範圍或範圍的事件,請按照下列步驟操作:
在 Google 管理控制台中,依序點選「選單」 >「安全性」 >「安全中心」 >「調查工具」。
按一下「資料來源」,選取「OAuth 記錄事件」。
按一下「新增條件」>「屬性」,然後選取「事件」。
按一下「事件」,然後選取「授權」。
按一下「新增條件」>「屬性」,然後選取「範圍」。
在「範圍」中輸入要監控的範圍。如需範圍清單,請參閱 Google API 的 OAuth 2.0 範圍。
按一下「搜尋」。系統會針對您指定的範圍顯示授權事件清單。
撤銷 OAuth 授權
重要事項:撤銷特定範圍的存取權後,使用者可以重新授予存取權。建議您針對不希望使用者授予存取權的範圍設定快訊,以便視需要撤銷存取權。請參閱「建立 OAuth 授權的快訊」。
如要撤銷特定範圍的存取權,請按照「依範圍監控 OAuth 授權事件」中的步驟操作,選取要撤銷的事件,然後按一下「Revoke access tokens for users」(撤銷使用者的存取權杖)。
建立 OAuth 授權快訊
如要在使用者授予特定範圍的存取權時收到快訊,請按照依範圍監控 OAuth 授權事件的步驟進行,然後按照下列步驟操作:
- 按一下搜尋頂端的「建立活動規則」。
- 在「規則名稱」中,輸入快訊名稱。
- 點選「下一步:查看條件」。這些條件會自動從搜尋參數中填入。您可以視需要編輯這些動作,然後點選「下一步:新增動作」。
- 在「門檻 1」中,選取規則的時間範圍和門檻,然後勾選「Send to alert center」(傳送至快訊中心) 方塊。
- 按一下「新增電子郵件收件者」,然後輸入要接收快訊的電子郵件地址。按一下「完成」。
- 點選「下一步:檢閱」。
- 詳細查看詳細資料,然後按一下「建立規則」。
詳情請參閱「建立及管理活動規則」。
限制高風險 OAuth 範圍的存取權
您可以限制大多數 Google Workspace 服務的存取權。針對 Gmail 和 Google 雲端硬碟,您可以限制高風險 OAuth 範圍的存取權,同時讓使用者允許不屬於高風險 OAuth 範圍的存取權。如果應用程式要求存取受限制的高風險 OAuth 範圍,而您尚未明確信任該應用程式,使用者就無法授權。
如要限制高風險 OAuth 範圍的存取權,請參閱限製或不限制 Google 服務。