Wichtig: Sie benötigen ein Google Workspace-Konto für Enterprise, Education Standard oder Education Plus, um den Datenzugriff zu überwachen und einzuschränken, den Nutzer Apps Script gewähren.
Google Workspace-Nutzer gewähren Zugriff auf Datenebenen, die als Bereiche bezeichnet werden, wenn sie Skripts ausführen oder Anwendungen wie Add-ons oder Webanwendungen verwenden. Auf dieser Seite wird erläutert, wie Sie die Bereiche überwachen oder widerrufen können, auf die Nutzer in ihrem Google Workspace-Konto Zugriff gewähren.
OAuth-Zustimmungen nach Bereich überwachen
So rufen Sie Ereignisse auf, bei denen Nutzer Zugriff auf einen oder mehrere bestimmte Bereiche gewähren:
Gehen Sie in der Admin-Konsole zu „Menü“ > Sicherheit > Sicherheitscenter > Prüftool.
Klicken Sie auf Datenquelle und wählen Sie OAuth-Protokollereignisse aus.
Klicken Sie auf Bedingung hinzufügen > Attribut und wählen Sie Ereignis aus.
Klicken Sie auf Ereignis und wählen Sie Erteilen aus.
Klicken Sie auf Bedingung hinzufügen > Attribut und wählen Sie Umfang aus.
Geben Sie unter Bereich den Bereich ein, den Sie überwachen möchten. Eine Liste der Bereiche finden Sie unter OAuth 2.0-Bereiche für Google APIs.
Klicken Sie auf Suchen. Für die angegebenen Bereiche wird eine Liste der Berechtigungsereignisse angezeigt.
OAuth-Berechtigungen widerrufen
Wichtig: Nachdem Sie den Zugriff auf einen Bereich widerrufen haben, können Nutzer den Zugriff wieder gewähren. Wir empfehlen, Benachrichtigungen für Bereiche einzurichten, auf die Nutzer keinen Zugriff gewähren sollen, damit Sie den Zugriff nach Bedarf widerrufen können. Weitere Informationen finden Sie unter Benachrichtigung für OAuth-Zustimmungen erstellen.
Wenn Sie den Zugriff auf einen Bereich widerrufen möchten, führen Sie die Schritte unter OAuth-Zustimmungen nach Bereich überwachen aus, wählen Sie die Ereignisse aus, die Sie widerrufen möchten, und klicken Sie auf Zugriffstokens für Nutzer widerrufen.
Benachrichtigung für OAuth-Zustimmungen erstellen
Wenn Sie eine Benachrichtigung erhalten möchten, wenn jemand Zugriff auf einen bestimmten Bereich gewährt, führen Sie die Schritte unter OAuth-Zustimmungen nach Bereich überwachen aus und führen Sie dann die folgenden Schritte aus:
- Klicken Sie oben in der Suche auf Aktivitätsregel erstellen.
- Geben Sie unter Regelname einen Namen für die Benachrichtigung ein.
- Klicken Sie auf Weiter: Bedingungen anzeigen. Die Bedingungen werden automatisch aus den Suchparametern ausgefüllt. Sie können sie bei Bedarf bearbeiten. Klicken Sie dann auf Weiter: Aktionen hinzufügen.
- Wählen Sie unter Schwellenwert 1 einen Zeitraum und einen Schwellenwert für die Regel aus und klicken Sie auf das Kästchen An die Benachrichtigungszentrale senden.
- Klicken Sie auf E-Mail-Empfänger hinzufügen und geben Sie die E-Mail-Adressen ein, an die Benachrichtigungen gesendet werden sollen. Klicken Sie auf Fertig.
- Klicken Sie auf Next: Review.
- Prüfen Sie die Details und klicken Sie auf Regel erstellen.
Weitere Informationen finden Sie im Hilfeartikel Aktivitätsregeln erstellen und verwalten.
Zugriff auf OAuth-Bereiche mit hohem Risiko beschränken
Sie können den Zugriff auf die meisten Google Workspace-Dienste einschränken. Für Gmail und Google Drive können Sie den Zugriff auf OAuth-Bereiche mit hohem Risiko einschränken und Nutzern gleichzeitig Zugriff auf OAuth-Bereiche gewähren, die nicht als risikoreich eingestuft werden. Wenn eine Anwendung Zugriff auf einen eingeschränkten OAuth-Bereich mit hohem Risiko anfordert und Sie die Anwendung nicht als vertrauenswürdig eingestuft haben, können Nutzer sie nicht autorisieren.
Informationen zum Einschränken des Zugriffs auf OAuth-Bereiche mit hohem Risiko finden Sie unter Google-Dienste einschränken oder aufheben.