บล็อกการเข้าถึงบัญชีผู้ใช้ทั่วไป

ในฐานะผู้ดูแลระบบ คุณอาจต้องการป้องกันไม่ให้ผู้ใช้ลงชื่อเข้าใช้บริการของ Google โดยใช้บัญชีอื่นนอกเหนือจากที่คุณให้ไว้ เช่น คุณอาจไม่ต้องการให้ผู้ใช้ในเครือข่ายบริษัทใช้บัญชี Gmail ส่วนตัวหรือบัญชี Google ที่มีการจัดการจากโดเมนอื่น

หมายเหตุ: เมื่อคุณบล็อกไม่ให้เข้าถึงบัญชีผู้ใช้ทั่วไป ผู้ใช้อาจเห็นข้อความแสดงข้อผิดพลาดระบุว่า "ระบบไม่อนุญาตให้บัญชีนี้ลงชื่อเข้าใช้ภายในเครือข่ายนี้"

อนุญาตสิทธิ์เข้าถึงจากโดเมนที่ระบุเท่านั้น

ใช้ได้ในอุปกรณ์ ChromeOS

หากต้องการอนุญาตให้ผู้ใช้เข้าถึงบริการของ Google ได้โดยใช้บัญชีในรายการโดเมน Google Workspace ที่ระบุเท่านั้น ให้ทำดังนี้

ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบ
หากไม่ได้ใช้บัญชีผู้ดูแลระบบ คุณจะเข้าถึงคอนโซลผู้ดูแลระบบไม่ได้
ไปที่ เมนู อุปกรณ์ > Chrome > การตั้งค่า > ผู้ใช้และเบราว์เซอร์
ต้องมีสิทธิ์ของผู้ดูแลระบบการจัดการอุปกรณ์เคลื่อนที่
(ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กร แสดงวิธีการ ที่ด้านข้าง
ไปที่ประสบการณ์ของผู้ใช้ลงชื่อเข้าใช้บัญชีสำรอง
เลือกอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ชุดโดเมน Google Workspace ที่ระบุไว้ด้านล่างเท่านั้น
ป้อนโดเมนขององค์กร
(ไม่เช่นนั้นผู้ใช้อาจเข้าถึงบริการของ Google ไม่ได้)
หมายเหตุ: ระบบรวม gserviceaccounts.com ไว้ด้วย ซึ่งเป็นโดเมนที่สำคัญสำหรับบัญชีบริการที่ตรวจสอบสิทธิ์แล้ว
(ไม่บังคับ) หากต้องการรวมบัญชี Google สำหรับผู้ใช้ทั่วไปไว้ในรายการด้วย เช่น บัญชีที่ลงท้ายด้วย @gmail.com และ @googlemail.com ให้ป้อน consumer_accounts ไว้ในรายการ
1. (ไม่บังคับ) หากต้องการรวมบัญชี Google ของผู้เข้าชมโดยไม่รวมบัญชี Google สำหรับผู้ใช้ทั่วไป ให้ป้อน visitor_accounts ในรายการและไม่ต้องป้อน consumer_accounts
คลิกบันทึก

โดยทั่วไปการตั้งค่าจะมีผลภายในไม่กี่นาที แต่อาจใช้เวลาถึง 1 ชั่วโมงจึงจะมีผลกับทุกคน

ขั้นตอนถัดไป

คุณยังสามารถป้องกันไม่ให้ผู้ใช้ท่องเว็บในโหมดไม่ระบุตัวตนได้อีกด้วย โดยใช้การตั้งค่าผู้ใช้และเบราว์เซอร์ ไปที่โหมดไม่ระบุตัวตนไม่อนุญาตให้ใช้โหมดไม่ระบุตัวตน แล้วคลิกบันทึก โปรดดูรายละเอียดที่หัวข้อโหมดไม่ระบุตัวตน
กำหนดข้อจำกัดในการลงชื่อเข้าใช้เพื่อจำกัดให้มีแต่เฉพาะผู้ใช้ในองค์กรเท่านั้นที่ลงชื่อเข้าใช้อุปกรณ์ที่ใช้ ChromeOS ได้ โปรดดูรายละเอียดที่หัวข้อข้อจำกัดในการลงชื่อเข้าใช้
ปิดการท่องเว็บในโหมดผู้มาเยือนในอุปกรณ์ โปรดดูรายละเอียดที่หัวข้อโหมดผู้มาเยือน

ใช้เว็บพร็อกซีเซิร์ฟเวอร์เพื่อบล็อกบัญชี

ขั้นที่ 1: เลือกเว็บพร็อกซีเซิร์ฟเวอร์

หากต้องการอนุญาตให้ผู้ใช้ในเครือข่ายเข้าถึงบริการของ Google โดยใช้บัญชี Google ที่ต้องการจากโดเมนเท่านั้น คุณต้องใช้เว็บพร็อกซีเซิร์ฟเวอร์เพื่อสิ่งต่อไปนี้

เพิ่มส่วนหัวในการรับส่งทั้งหมดกับ *.google.com ส่วนหัวจะระบุโดเมนผู้ใช้ที่เข้าถึงบริการของ Google ได้
การรองรับการสกัดกั้น SSL เนื่องจากการรับส่งของบริการ Google ส่วนใหญ่มีการเข้ารหัส พร็อกซีเซิร์ฟเวอร์ของคุณจะต้องรองรับการสกัดกั้น SSL ด้วย

โปรดอ่านวิธีบล็อกบริการของ Google จากผู้ให้บริการพร็อกซีต่อไปนี้โดยเลือกเซิร์ฟเวอร์ที่ตรงกับความต้องการของคุณ

ขั้นตอนที่ 2: กำหนดค่าเครือข่ายเพื่อบล็อกบางบัญชี

หากต้องการป้องกันไม่ให้ผู้ใช้ลงชื่อเข้าใช้บริการของ Google โดยใช้บัญชี Google อื่นนอกเหนือจากที่คุณระบุให้โดยตรง ให้ทำดังนี้

กำหนดเส้นทางการรับส่งขาออกทั้งหมดไปที่ *.google.com ผ่านเว็บพร็อกซีเซิร์ฟเวอร์
เปิดใช้การสกัดกั้น SSL ในพร็อกซีเซิร์ฟเวอร์
กำหนดค่าอุปกรณ์ไคลเอ็นต์ทั้งหมดให้เชื่อถือพร็อกซี SSL
1. ทำให้ Internal Root Certificate Authority ที่พร็อกซีใช้ใช้งานได้
2. ทำเครื่องหมายว่าเชื่อถือได้
สำหรับคำขอ *.google.com แต่ละรายการ ให้ทำดังนี้
1. สกัดกั้นคำขอ
2. เพิ่มส่วนหัว HTTP เป็น X-GoogApps-Allowed-Domains: ตามด้วยรายการที่คั่นด้วยคอมมาซึ่งระบุชื่อโดเมนที่อนุญาต
  ตรวจสอบว่ารายการมีโดเมนที่จดทะเบียนกับ Google Workspace และโดเมนรองทั้งหมดที่คุณอาจเพิ่มไว้
  เช่น X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
หากต้องการอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้บัญชีที่ต้องการ ให้เพิ่มค่าต่อไปนี้ในส่วนหัว
- domain_name สำหรับบัญชีในโดเมนที่ระบุ เช่น altostrat.com และ tenorstrat.com สำหรับบัญชีที่ลงท้ายด้วย @altostrat.com และ tenorstrat.com
- consumer_accounts สำหรับบัญชี Google สำหรับผู้ใช้ทั่วไป เช่น @gmail.com และ @googlemail.com
- visitor_accounts สำหรับบัญชี Google ของผู้เข้าชม
  หากต้องการอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้บัญชีผู้เข้าชมขณะบล็อกบัญชีผู้ใช้ทั่วไปไว้ ให้เพิ่ม visitor_accounts ลงในส่วนหัวและยกเว้น consumer_accounts
- gserviceaccounts.com สำหรับบัญชีบริการที่ตรวจสอบสิทธิ์แล้ว
(ไม่บังคับ) สร้างนโยบายของพร็อกซีเพื่อป้องกันไม่ให้ผู้ใช้แทรกส่วนหัวด้วยตนเอง

หมายเหตุ

วิธีนี้จะบล็อกสิทธิ์ลงชื่อเข้าใช้บริการสำหรับผู้ใช้ทั่วไปของ Google ที่นอกเหนือจาก Google Search แต่ไม่ได้ป้องกันการเข้าถึงโดยไม่ระบุชื่อ
เมื่อเพิ่มส่วนหัว HTTP โดยระบุ X-GoogApps-Allowed-Domains ผู้ใช้จะพบข้อผิดพลาดในการเข้าถึงกล่องจดหมายที่ได้รับสิทธิ์จากโดเมนที่ไม่อยู่ในส่วนหัว

คำถามที่พบบ่อย

จะเกิดอะไรขึ้นหากบัญชีที่ไม่ได้รับอนุญาตพยายามเข้าถึงบริการ

หากผู้ใช้พยายามเข้าถึงบริการของ Google จากบัญชีที่ไม่ได้รับอนุญาต ผู้ใช้จะเห็นหน้าเว็บที่ทำดังนี้

อธิบายเกี่ยวกับบริการที่ใช้งานไม่ได้
แสดงให้เห็นว่าบัญชีที่ใช้งานอยู่เป็นบัญชีที่ไม่ได้รับอนุญาต
แสดงรายการโดเมนที่ใช้บริการได้
แนะนำให้ผู้ใช้ติดต่อผู้ดูแลเครือข่ายเพื่อขอข้อมูลเพิ่มเติมและออกจากระบบบัญชีที่ไม่ได้รับอนุญาต รวมถึงให้ลงชื่อเข้าใช้ด้วยบัญชีที่ได้รับอนุญาต

จะเกิดอะไรขึ้นกับบริการที่ไม่ต้องมีการตรวจสอบสิทธิ์

Google จะไม่จัดการรายการบริการที่ถูกบล็อก หากมีบริการที่ต้องลงชื่อเข้าใจ การเข้าถึงจะถูกบล็อก บริการที่ไม่ต้องตรวจสอบสิทธิ์เช่น Google Search และ YouTube จะไม่ถูกบล็อก

ทำไมถึงกรองการเข้าชมแทนไม่ได้

วิธีทั่วไปในการบล็อกการเข้าถึงบริการทางเว็บคือการใช้เว็บพร็อกซีเซิร์ฟเวอร์กรองการรับส่งข้อมูลกับ URL ที่กำหนด แต่วิธีนี้จะใช้ไม่ได้ในกรณีนี้ เนื่องจากการรับส่งข้อมูลที่ถูกต้องจากบัญชี Google ที่มีการจัดการของผู้ใช้จะไปที่ URL เดียวกับการรับส่งที่คุณต้องการบล็อก

_{Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง}

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร