您需要拥有 Enterprise、教育标准版或教育 Plus 版 Google Workspace 账号,才能监控和限制用户授予 Apps 脚本的数据访问权限。
Google Workspace 用户在运行脚本或使用插件或 Web 应用等应用时,会授予对不同级别数据的访问权限,这些级别称为“范围”。本页介绍了如何监控或撤消用户在其 Google Workspace 账号中授予访问权限的范围。
按范围监控 OAuth 授权事件
如需查看用户授予对特定范围或多个范围的访问权限的事件,请按以下步骤操作:
在 Google 管理控制台中,依次点击“菜单”图标 > 安全性 > 安全中心 > 调查工具。
点击数据源 ,然后选择 OAuth 日志事件 。
依次点击添加条件 > 属性 ,然后选择事件。
点击事件 ,然后选择授权 。
依次点击添加条件 > 属性 ,然后选择范围。
在范围 中,输入您要监控的范围。如需查看范围列表, 请参阅 Google API 适用的 OAuth 2.0 范围。
点击搜索 。系统会显示您指定的范围的授权事件列表。
撤消 OAuth 授权
重要提示:撤消对某个范围的访问权限后,用户可以重新授予访问权限。 您可以为不希望用户授予访问权限的范围设置提醒,以便在需要时撤消访问权限。请参阅 为 OAuth 授权创建提醒。
如需撤消对某个范围的访问权限,请按照 按范围监控 OAuth 授权事件中的步骤操作, 然后选择要撤消的事件,并点击 撤消用户的访问令牌。
为 OAuth 授权创建提醒
如需在有人授予对特定范围的访问权限时收到提醒,请按照 按范围监控 OAuth 授权事件中的步骤操作, 然后按以下步骤操作:
- 点击搜索结果顶部的创建活动规则 。
- 在规则名称 中,输入提醒的名称。
- 点击下一步:查看条件 。系统会自动根据搜索参数填充条件。您可以根据需要修改这些条件,然后点击下一步:添加操作 。
- 在阈值 1 中,为规则选择时间范围和阈值,然后勾选 发送至提醒中心 复选框。
- 点击添加电子邮件收件人 ,然后输入应接收提醒的电子邮件地址。点击完成 。
- 点击下一步:检查 。
- 查看详细信息,然后点击创建规则 。
如需了解详情,请参阅 创建和管理活动规则。
限制对高风险 OAuth 范围的访问权限
您可以限制对大多数 Google Workspace 服务的访问权限。对于 Gmail 和 Google 云端硬盘,您可以限制对高风险 OAuth 范围的访问权限,同时允许用户授予对未被归类为高风险的 OAuth 范围的访问权限。如果应用请求访问受限的高风险 OAuth 范围,而您未明确信任该应用,则用户无法授权该应用。
如需限制对高风险 OAuth 范围的访问权限,请参阅限制或取消限制 Google 服务。