Admin G Suite : Ajouter des applications connectées à des listes blanches

16 0

Gérer l’accès OAuth aux applications connectées

Afin d’éviter que le contenu Google Drive ou Gmail sensible ne soit partagé avec des personnes externes au domaine de votre organisation par le biais d’applications OAuth tierces, vous pouvez, en tant que super-administrateur, révoquer les jetons d’accès OAuth.

Désormais, vous pouvez désactiver plusieurs champs d’application des API au sein de différents services G Suite, tels que Gmail, Drive et Agenda, et de certains services Google Cloud Platform, tels que le machine learning (apprentissage automatique). Vous pouvez ajouter à la liste blanche les applications tierces pouvant accéder à ces champs d’application. Si vous disposez de l’édition Drive Enterprise, les paramètres d’accès à l’API ne s’appliquent pas à Gmail et à Agenda.

Si vous désactivez le champ d’application d’une API ou autorisez une application tierce à accéder à un service G Suite, tel qu’Agenda, l’action s’appliquera à tous les champs d’application fournis par ce service, y compris les champs d’application OAuth. Certaines applications, telles que Gmail, offrent un meilleur niveau de contrôle d’accès pour les champs d’application à haut risque prédéfinis. 

Avant d’ajouter des applications à la liste blanche, définissez d’abord les champs d’application des API G Suite auxquels les applications tierces peuvent accéder. Ensuite, configurez les paramètres Autorisations des API dans Sécurité afin de créer des listes blanches répertoriant les applications qui sont autorisées à accéder aux champs d’application bloqués.

Procédures à suivre pour ajouter des applications à la liste blanche

Étape 1 : Vérifiez l’accès des applications tierces aux champs d’application des API

  1. Connectez-vous à votre Console d’administration Google.
  2. Sur la page d’accueil de la console d’administration, accédez à Sécurité.Pour afficher l’option “Sécurité” sur la page d’accueil, vous devrez peut-être cliquer sur Autres commandes au bas de la page.
  3. Cliquez sur Autorisations des API.
  4. Vérifiez l’accès aux API pour ces services principaux :
    • G Suite :
      • Gmail
      • Drive
        • Ce service offre la possibilité de restreindre l’accès à l’application Google Drive pour Android sur les appareils uniquement aux applications Android figurant sur la liste blanche.
      • Agenda
      • Contacts
      • Administration
      • Vault
      • Apps Script Runtime : ce paramètre permet de contrôler les actions que les projets Apps Script peuvent exécuter, et les applications, modules complémentaires et scripts App Maker à l’intérieur comme à l’extérieur de votre domaine.
      • API Apps Script : ce paramètre permet de définir si des clients peuvent gérer des projets à l’aide de l’API Apps Script
    • Google Cloud Platform :
      • Cloud Platform : comprend tous les services de Google Cloud Platform, à l’exception du machine learning (apprentissage automatique) et de Cloud Billing
      • Machine learning (apprentissage automatique) : comprend Cloud Video Intelligence, l’API Cloud Speech, l’API Cloud Natural Language, l’API Cloud Translation et l’API Cloud Vision
      • Cloud Billing
  5. (Facultatif) Vous pouvez filtrer les applications installées par autorisation d’API, nom ou nombre d’utilisateurs.
  6. Cliquez sur le lien Applications pour confirmer les applications actuellement autorisées à accéder au service principal.
  7. Parcourez ces applications avant de passer à l’étape suivante et de créer une liste blanche.

Étape 2 : Créez une liste blanche d’applications de confiance

  1. Dans le tableau de bord de la console d’administration, accédez à Sécurité  Autorisations des API.
  2. Au bas de la liste des applications, cliquez sur le lien Applications de confiance.
  3. Cliquez sur “Ajouter une application à la liste blanche” . 
    La fenêtre Ajouter l’application à la liste des applications de confiance s’ouvre.
  4. Dans la liste Sélectionner le type d’application, choisissez une option :
    • Android
    • iOS
    • Applications Web : vous devez renseigner l’ID client OAuth2
  5. Sous Android ou iOS®, saisissez le nom d’une application, puis cliquez sur Rechercher pour afficher la liste des applications disponibles.
  6. Faites défiler la page pour afficher plus d’applications.
  7. Lorsque toutes les applications sont affichées, recherchez le nom complet ou partiel d’une application à l’aide des raccourcis clavier Ctrl+F ou ⌘+F (Mac).
  8. Cochez l’application que vous voulez ajouter, puis cliquez sur Ajouter.
  9. (Facultatif) Pour permettre aux applications internes d’utiliser les API G Suite dont l’accès est limité :
    1. Revenez sur la page “Sécurité”.
    2. En bas de la page, à côté de Paramètres des applications internes, cochez l’option Approuver les applications appartenant au domaine, puis cliquez sur Enregistrer.

Remarque : Si vous désactivez l’option Approuver les applications appartenant au domaine, les applications internes ne pourront pas utiliser les API G Suite dont l’accès est limité. Les applications appartenant au domaine incluent :

  • les éventuels projets Google Apps Script créés par les utilisateurs du domaine ;
  • les applications associées à l’organisation dans la console Google Cloud Platform appartenant au domaine. 

Étape 3 : Bloquez des champs d’application d’API spécifiques

  1. Dans le tableau de bord de la console d’administration, accédez à Sécurité  Autorisations des API.
  2. Cliquez sur le lien Applications pour désigner les applications concernées par le blocage de l’accès aux API.
    Si vous révoquez l’accès d’une application, celle-ci disparaît de la liste sous 24 heures.
  3. Si vous cliquez sur l’option Désactiver, vous pouvez bloquer l’accès aux API pour ces services principaux :
    • G Suite :
      • Gmail
      • Drive
        • (Facultatif pour Drive) Pour restreindre l’accès des applications Android à Google Drive pour Android, choisissez Désactiver, puis cochez l’option Bloquer lors de l’accès à l’appareil (Drive). Cela bloque l’accès à Drive, sauf si l’application Android figure sur la liste blanche ou qu’il s’agit une application appartenant à Google, telle que Gmail.
      • Agenda
      • Contacts
      • Administration
      • Vault
    • Google Cloud Platform :
      • Cloud Platform : comprend tous les services de Google Cloud Platform, à l’exception du machine learning (apprentissage automatique) et de Cloud Billing
      • Machine learning (apprentissage automatique) : comprend Cloud Video Intelligence, l’API Cloud Speech, l’API Cloud Natural Language, l’API Cloud Translation et l’API Cloud Vision
      • Cloud Billing
  4. Si vous désactivez l’accès aux API dans Gmail, choisissez l’une des options suivantes :
    • Tous les accès : bloque toutes les applications tierces, à l’exception de celles que vous avez ajoutées à la liste blanche.
    • Accès à haut risque : bloque les applications tierces avec des champs d’application OAuth à haut risque :
      • https://mail.google.com/
      • https://www.googleapis.com/auth/gmail.compose
      • https://www.googleapis.com/auth/gmail.insert
      • https://www.googleapis.com/auth/gmail.metadata
      • https://www.googleapis.com/auth/gmail.modify
      • https://www.googleapis.com/auth/gmail.readonly
      • https://www.googleapis.com/auth/gmail.send
      • https://www.googleapis.com/auth/gmail.settings.basic
      • https://www.googleapis.com/auth/gmail.settings.sharing
        Pour en savoir plus sur les champs d’application Gmail, consultez le guide Choisir les champs d’application Auth.
  5. Si vous désactivez l’accès aux API dans Drive, choisissez l’une des options suivantes :
    • Tous les accès : bloque toutes les applications tierces, à l’exception de celles que vous avez ajoutées à la liste blanche.
    • Accès à haut risque : bloque les applications tierces avec des champs d’application OAuth à haut risque :
      • https://www.googleapis.com/auth/drive
      • https://www.googleapis.com/auth/drive.apps.readonly
      • https://www.googleapis.com/auth/drive.metadata
      • https://www.googleapis.com/auth/drive.metadata.readonly
      • https://www.googleapis.com/auth/drive.readonly
      • https://www.googleapis.com/auth/drive.scripts
        Pour en savoir plus sur les champs d’application Drive, consultez le guide À propos des autorisations.
  6. Cliquez sur Enregistrer.

Si vous désactivez l’accès aux API :

  • Toute application déjà installée cessera de fonctionner une fois que vous aurez bloqué les champs d’application, et les jetons seront révoqués.
  • Lorsqu’un utilisateur tentera d’installer une application dont le champ d’application figure dans la liste noire, le message d’erreur suivant s’affichera :L’accès aux données de votre compte est limité par les règles de votre organisation. Veuillez contacter l’administrateur pour de plus amples informations. 

Étape 4 : Supprimez des applications d’une liste blanche

  1. Dans le tableau de bord de la console d’administration, accédez à Sécurité  Autorisations des API.
  2. Au bas de la liste des applications, cliquez sur le lien Applications de confiance.
  3. Cliquez sur l’icône  située à côté de l’application à supprimer de la liste blanche, puis sélectionnez Supprimer.

Si vous avez trouvé une faute d’orthographe, veuillez nous en informer en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée .

Notez cette information
[Total: 0 Average: 0]
Thierry

Thierry

Thierry VANOFFE, consultant, formateur, coach G Suite. Passionné et fasciné par Google, ce blog me permet de partager cette passion et distiller tutos, trucs, astuces, guides sur les outils Google. N'hésitez pas à me solliciter pour vos formations en ligne ou en présentiel.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Share This

Share This

Share this post with your friends!

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :