Como administrador, você pode impedir que os usuários façam login nos Serviços do Google com outras contas. Por exemplo, não deixar que usuários na sua rede corporativa utilizem uma conta pessoal do Gmail ou uma Conta do Google gerenciada em outro domínio.
Observação: quando você bloqueia o acesso a contas pessoais, os usuários podem ver a mensagem de erro "Esta conta não tem permissão para fazer login nesta rede".
Permitir acesso apenas de domínios específicos
Para permitir que os usuários acessem os Serviços do Google com apenas uma conta em uma lista de domínios especificados do Google Workspace, faça o seguinte:
-
-
No Admin Console, acesse Menu DispositivosChromeConfigurações. A página Configurações do navegador e usuário é aberta por padrão.
Se você se inscreveu no Gerenciamento de nuvem do navegador Chrome, acesse Menu Navegador ChromeConfigurações.
- (Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral. Mostrar como
- Acesse Experiência do usuário Fazer login em contas secundárias.
- Selecione Permitir que os usuários façam login apenas nos domínios do Google Workspace definidos abaixo.
- Digite os domínios da sua organização.
Se você não fizer isso, talvez os usuários não tenham acesso aos Serviços do Google.
Observação: o gserviceaccounts.com está incluído e é essencial para contas de serviço autenticadas. - (Opcional) Para incluir Contas do Google pessoais, como as que terminam em @gmail.com e @googlemail.com, digite consumer_accounts na lista.
- Clique em Salvar.
As configurações geralmente entram em vigor em minutos, mas podem levar até uma hora para serem aplicadas a todos.
Próximas etapas
- Nas configurações de "Usuários e navegadores", também é possível impedir que os usuários usem o modo de navegação anônima. Acesse o Modo de navegação anônimaNão permitir modo de navegação anônima e clique em Salvar. Veja mais detalhes no artigo Modo de navegação anônima.
- Defina uma restrição de login para que apenas os usuários da organização possam acessar os dispositivos com Chrome OS. Veja mais detalhes em Restrição de login.
- Desative a navegação como visitante nos dispositivos. Veja mais detalhes em Modo convidado.
Usar um servidor proxy da Web para bloquear contas
Etapa 1: escolher um servidor proxy da Web
- Adicionar um cabeçalho a todo o tráfego direcionado para google.com: o cabeçalho identifica os domínios dos usuários que podem acessar os serviços do Google.
- Interceptar SSL: como a maior parte do tráfego do serviço do Google é criptografada, seu servidor proxy também precisa ser compatível com a interceptação de SSL.
Leia instruções específicas sobre como bloquear os serviços do Google nos provedores de serviços de proxy a seguir, escolhendo um servidor que atenda às suas necessidades.
- Encaminhe todo o tráfego direcionado ao google.com pelos servidores proxy.
- Ative a interceptação de SSL no servidor proxy.
- Configure cada dispositivo de cliente para confiar no seu proxy SSL:
- Implante a autoridade de certificação raiz interna usada pelo proxy.
- Marque-a como confiável.
- Para cada solicitação do google.com, faça o seguinte:
- Intercepte a solicitação.
- Adicione o cabeçalho HTTP X-GoogApps-Allowed-Domains: seguido por uma lista separada por vírgulas com os nomes de domínio permitidos.
Confirme se a lista inclui o domínio registrado no Google Workspace e os domínios secundários que você adicionou.
Exemplo:X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
- Para permitir que os usuários façam login em contas específicas, adicione os seguintes valores ao cabeçalho:
- domain_name para contas em domínios específicos, como altostrat.com e tenorstrat.com para contas com o final @altostrat.com e tenorstrat.com;
- consumer_accounts para Contas do Google pessoais, como @gmail.com e @googlemail.com;
- gserviceaccounts.com para contas de serviço autenticadas
- (Opcional) Crie uma política de proxy para impedir que os usuários adicionem os próprios cabeçalhos.
Observação:
- Essa abordagem bloqueia o acesso dos clientes aos Serviços do Google, com exceção da Pesquisa Google, mas não proíbe necessariamente o acesso anônimo.
- Quando você adicionar o cabeçalho HTTP X-GoogApps-Allowed-Domains, os usuários verão mensagens de erro quando acessarem caixas de e-mails delegadas em um domínio que não esteja no cabeçalho.
Perguntas comuns
O que acontece quando contas não autorizadas tentam acessar os serviços?
- descreve o serviço indisponível;
- mostra a conta não autorizada que ele utilizou;
- lista os domínios em que o serviço está disponível;
- sugere que ele entre em contato com um administrador de rede para saber mais informações, saia da conta não autorizada e faça login com uma conta autorizada.
O que acontece com os serviços que não precisam de autenticação?
Por que não posso apenas filtrar o tráfego?
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.