Google Workspace ユーザーは、スクリプトを実行したり、アドオンやウェブアプリなどのアプリを使用したりする際に、スコープと呼ばれるデータレベルへのアクセス権を付与します。このページでは、ユーザーが Google Workspace アカウント内でアクセス権を付与したスコープをモニタリングまたは取り消す方法について説明します。
スコープ別に OAuth 権限付与イベントをモニタリングする
ユーザーが特定のスコープにアクセス権を付与したイベントを表示する手順は次のとおりです。
Google 管理コンソールで、メニュー アイコン > [セキュリティ] > [セキュリティ センター] > [調査ツール] に移動します。
[データソース] をクリックし、[OAuth ログのイベント] を選択します。
[条件を追加] > [属性] をクリックし、[イベント] を選択します。
[イベント] をクリックし、[付与] を選択します。
[条件を追加] > [属性] をクリックし、[スコープ] を選択します。
[スコープ] に、モニタリングするスコープを入力します。スコープのリストについては、Google API の OAuth 2.0 スコープをご覧ください。
[検索] をクリックします。指定したスコープの権限付与イベントのリストが表示されます。
OAuth 権限付与を取り消す
重要: スコープへのアクセスを取り消した後、ユーザーはアクセス権を再度付与できます。ユーザーにアクセスを許可してほしくないスコープに対してアラートを設定し、必要に応じてアクセスを取り消すことをおすすめします。OAuth 権限付与のアラートを作成するをご覧ください。
スコープへのアクセスを取り消すには、スコープ別に OAuth 権限付与イベントをモニタリングするの手順に沿って操作し、取り消すイベントを選択して [ユーザーのアクセス トークンを取り消す] をクリックします。
OAuth 権限付与に対するアラートを作成する
特定のスコープへのアクセス権が付与されたときにアラートを受け取るには、スコープ別に OAuth 権限付与イベントをモニタリングするの手順に沿って操作し、次の手順を行います。
- 検索結果の上部にある [アクティビティ ルールを作成] をクリックします。
- [ルール名] に、アラートの名前を入力します。
- [次へ: 条件を表示] をクリックします。条件は検索パラメータから自動的に入力されます。必要に応じて編集し、[次へ: アクションを追加] をクリックします。
- [しきい値 1] で、ルールの期間としきい値を選択し、[アラート センターに送信する] チェックボックスをオンにします。
- [メールの受信者を追加] をクリックし、アラートを受信するメールアドレスを入力します。[完了] をクリックします。
- [次へ: 確認] をクリックします。
- 詳細を確認して [ルールを作成] をクリックします。
詳細については、アクティビティ ルールの作成と管理をご覧ください。
リスクの高い OAuth スコープへのアクセスを制限する
ほとんどの Google Workspace サービスへのアクセスを制限できます。Gmail と Google ドライブでは、高リスクの OAuth スコープへのアクセスを制限しながら、高リスクに分類されていない OAuth スコープへのアクセスをユーザーが許可できるようにすることができます。アプリが制限付きの高リスク OAuth スコープへのアクセスをリクエストしていて、管理者がアプリを信頼していない場合は、ユーザーはアプリを承認できません。
リスクの高い OAuth スコープへのアクセスを制限するには、Google サービスを制限または制限解除するをご覧ください。