Bloquear el acceso de cuentas de consumidor

Como administrador, puedes impedir que tus usuarios inicien sesión en los servicios de Google con cuentas que no les has facilitado. Por ejemplo, puede que no quieras que los usuarios de la red de tu empresa los utilicen con sus cuentas de Gmail personales o con una cuenta de Google gestionada de otro dominio.

Nota: Al bloquear el acceso de cuentas de consumidor, es posible que se les muestre a los usuarios el siguiente mensaje de error: "Esta cuenta no puede iniciar sesión en esta red".

Permitir el acceso solo de dominios concretos

Para permitir que los usuarios accedan a los servicios de Google únicamente con una de las cuentas de una lista de dominios de Google Workspace especificados:

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Dispositivosy luegoChromey luegoConfiguración. La página Configuración de usuarios y navegadores se abre de forma predeterminada.

    Si te has registrado en Gestión en la nube del navegador Chrome, ve a Menú y luego Navegador Chromey luegoConfiguración.

  3. (Opcional) Para aplicar el ajuste a un departamento o un equipo, selecciona en el lateral una unidad organizativa. Ver cómo
  4. Ve a Experiencia de usuario y luego Iniciar sesión en cuentas secundarias.
  5. Selecciona Permitir que los usuarios solo inicien sesión en los dominios especificados abajo.
  6. Escribe los dominios de tu organización.
    Si no lo haces, es posible que tus usuarios no tengan acceso a los servicios de Google.
    Nota: gserviceaccounts.com ya está incluido porque es esencial para permitir cuentas de servicio autenticadas.
  7. (Opcional) Si quieres incluir cuentas de consumidor de Google, como las que terminan en @gmail.com o @googlemail.com, añade consumer_accounts a la lista.
  8. Haz clic en Guardar.

Aunque los ajustes generalmente surten efecto al cabo de unos minutos, pueden tardar hasta una hora en aplicarse a todos los usuarios.

Pasos siguientes

  • En la opción Usuarios y navegadores, también puedes impedir que los usuarios naveguen en modo de incógnito. Ve a Modo de incógnitoy luegoNo permitir el modo de incógnito y haz clic en Guardar. Para obtener más información, consulta la sección Modo de incógnito.
  • Aplica una restricción de inicio de sesión para que solo los usuarios de tu organización puedan iniciar sesión en dispositivos que utilizan Chrome OS. Para obtener más información, consulta la sección Restricción de inicio de sesión.
  • Desactiva la navegación como invitado en los dispositivos. Para ver más información, consulta la sección Modo invitados.

Bloquear cuentas mediante un servidor proxy web

Paso 1: Elige un servidor proxy web

Para que los usuarios de tu red solo puedan acceder a los servicios de Google con determinadas cuentas de Google de tu dominio, necesitas un servidor proxy web que pueda hacer lo siguiente:
  • Añadir un encabezado a todo el tráfico dirigido a google.com: en este encabezado se identifican los dominios desde los que los usuarios pueden acceder a los servicios de Google.
  • Permitir la interceptación del tráfico SSL: la mayoría del tráfico de los servicios de Google está cifrado, por lo que el servidor proxy también debe permitir que se intercepte el tráfico SSL.

Consulta instrucciones específicas sobre cómo bloquear servicios de Google a los proveedores de servicios de proxy que se indican a continuación, y selecciona un servidor que se adapte a tus necesidades.

Paso 2: Configura la red para bloquear determinadas cuentas
Para impedir que los usuarios inicien sesión en los servicios de Google con cuentas que no les has indicado explícitamente, sigue estos pasos:
  1. Dirige todo el tráfico de salida a google.com a través de tus servidores proxy web.
  2. Habilita la interceptación del tráfico SSL en el servidor proxy.
  3. Configura todos los dispositivos cliente para que confíen en tu proxy SSL:
    1. Implementa la autoridad de certificación raíz interna que usa el proxy.
    2. Indica que es de confianza.
  4. En cada solicitud de google.com:
    1. Intercepta la solicitud.
    2. Añade el encabezado HTTP X-GoogApps-Allowed-Domains: seguido de una lista de los nombres de dominio permitidos, separados por comas.
      Asegúrate de que en esta lista se incluyan el dominio que has registrado en Google Workspace y los dominios secundarios que hayas añadido.
      Ejemplo: X-GoogApps-Allowed-Domains: midominio1.com, midominio2.com
  5. Para permitir que los usuarios inicien sesión en cuentas concretas, añade los siguientes valores al encabezado:
    • domain_name para permitir cuentas de dominios concretos; por ejemplo, altostrat.com y tenorstrat.com si las cuentas acabaran en @altostrat.com y tenorstrat.com.
    • consumer_accounts para permitir cuentas de consumidor de Google, como @gmail.com y @googlemail.com.
    • Incluye gserviceaccounts.com para permitir cuentas de servicio autenticadas.
  6. (Opcional) Crea una política de proxy para impedir que los usuarios inserten sus propios encabezados.

Nota:

  • Con este procedimiento se bloquea el acceso de usuarios particulares a los servicios de Google, excepto a la Búsqueda de Google; sin embargo, no se impide que se acceda a estos servicios de forma anónima.
  • Si añades el encabezado HTTP X-GoogApps-Allowed-Domains, los usuarios recibirán mensajes de error al acceder a buzones de correo delegados desde un dominio que no esté incluido en el encabezado.

Preguntas frecuentes

¿Qué ocurre si una cuenta no autorizada intenta acceder a los servicios?

Si un usuario intenta acceder a los servicios de Google desde una cuenta no autorizada, verá una página web en la que se facilita esta información:
  • Una descripción del servicio no disponible
  • La cuenta no autorizada que está utilizando
  • Los dominios en los que está disponible el servicio
  • Un mensaje en el que se le sugiere que contacte con un administrador de red para obtener más información y en el que también se le aconseja que cierre sesión en la cuenta no autorizada e inicie sesión con una cuenta autorizada

¿Qué ocurre con los servicios que no necesitan autenticación?

Google no mantiene ninguna lista de los servicios bloqueados. Se bloquea el acceso a los servicios en los que se necesite iniciar sesión para utilizarlos. El resto de los servicios, como la Búsqueda de Google y YouTube, no se bloquean.

¿Por qué no puedo sencillamente filtrar el tráfico?

La forma más habitual de bloquear el acceso a servicios web consiste en filtrar el tráfico que se dirige a determinadas URLs mediante un servidor proxy web. No obstante, este método no funciona en este caso porque el tráfico legítimo de las cuentas de Google gestionadas de los usuarios se dirige a la misma URL que el tráfico que te interesa bloquear.

 


Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

 

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
10936958479097743858
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false