Как заблокировать доступ обычных аккаунтов к сервисам

Как администратор, вы можете запретить доступ к сервисам Google пользователям в вашей корпоративной сети, если они пытаются войти в эти сервисы с помощью личных аккаунтов Gmail или управляемых аккаунтов Google другого домена.

Примечание. Если вы заблокируете доступ для обычных пользователей, они могут получать следующее сообщение об ошибке: "В этот аккаунт нельзя входить в сети, к которой вы подключены".

Как разрешить доступ только из определенных доменов

Доступно для устройств с ChromeOS.

Чтобы пользователи могли работать с сервисами Google только в аккаунтах, относящихся к указанным вами доменам Google Workspace, выполните следующие действия:

Подготовка. Если вам нужно подготовить отдел или группу для этого параметра, ознакомьтесь со статьей Как добавить организационное подразделение.

  1. Войдите в Консоль администратора Google как администратор.

    Войти в консоль администратора можно, только если вы используете аккаунт администратора.

  2. Нажмите на значок меню а затем Устройства > Chrome > Настройки. По умолчанию откроется страница Настройки пользователей и браузеров.

    У вас должны быть права администратора на управление мобильными устройствами.

    Если вы зарегистрировались в системе облачного управления браузером Chrome, нажмите на значок меню а затем Браузер Chrome > Настройки.

  3. Чтобы применить параметр к отделу или команде, выберите сбоку организационное подразделение. Инструкции
  4. Выберите Взаимодействие пользователей с системойа затемВход в дополнительные аккаунты.
  5. Выберите Разрешить пользователям входить только в перечисленные ниже домены Google Workspace.
  6. Введите домены вашей организации.
    В противном случае сервисы Google могут быть недоступны для пользователей.
    Примечание. В список уже включен gserviceaccounts.com – важный домен для аутентифицированных сервисных аккаунтов.
  7. Если вы хотите включить обычные аккаунты Google, такие как @gmail.com и @googlemail.com, введите в списке следующий текст: consumer_accounts.
    1. Если нужно включить аккаунты Google посетителей, не включая обычные аккаунты Google, введите visitor_accounts в списке и не вводите consumer_accounts.
  8. Нажмите Сохранить.

Обычно настройки вступают в силу через несколько минут, но иногда этот процесс может занимать до часа.

Дальнейшие действия

  • В разделе "Пользователи и браузеры" можно отключить режим инкогнито. Для этого выберите Режим инкогнитоа затемЗапретить режим инкогнито и нажмите Сохранить. Подробнее о режиме инкогнито
  • Чтобы в аккаунт на устройстве с ChromeOS могли войти только пользователи организации, задайте правило "Ограничение доступа". Подробнее об ограничении входа
  • Отключите гостевой режим на устройствах. Подробнее о гостевом режиме

Как ограничить доступ к сервисам с помощью прокси-сервера

Шаг 1. Выберите прокси-сервер

Чтобы разрешить доступ к сервисам Google только определенным аккаунтам из вашего домена, требуется прокси-сервер, который:
  • Добавляет заголовки во все запросы, поступающие на адрес *.google.com. В заголовках указываются домены, из которых доступ к сервисам Google разрешен.
  • Поддерживает функции перехвата SSL-трафика. Это необходимо, поскольку основная часть трафика сервисов Google шифруется.

Выберите подходящий прокси-сервер и ознакомьтесь с инструкциями о том, как с помощью него заблокировать сервисы Google.

Шаг 2. Настройте параметры сети для блокировки определенных аккаунтов
Чтобы запретить пользователям доступ к сервисам Google из любых аккаунтов, кроме предоставленных вами, настройте параметры описанным ниже образом.
  1. Направьте весь трафик на адрес *.google.com через ваши прокси-серверы.
  2. Включите SSL-перехват на прокси-сервере.
  3. Настройте клиентские устройства как доверенные для прокси-сервера SSL.
    1. Разверните внутренний корневой сертификат, используемый прокси-сервером.
    2. Сделайте этот сертификат доверенным.
  4. Убедитесь, что при отправке запроса на адрес *.google.com выполняются перечисленные ниже действия.
    1. Запрос перехватывается.
    2. К нему добавляется HTTP-заголовок X-GoogApps-Allowed-Domains:, за которым следует список разрешенных доменных имен, разделенных запятой.
      Включите в этот список свой домен, зарегистрированный в Google Workspace, а также все добавленные вами дополнительные домены.
      Пример: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Чтобы разрешить пользователям входить в определенные аккаунты, добавьте к заголовку следующие значения:
    • domain_name: для аккаунтов определенных доменов, например altostrat.com и tenorstrat.com для аккаунтов, оканчивающихся на @altostrat.com и @tenorstrat.com.
    • consumer_accounts – для обычных аккаунтов Google, таких как @gmail.com и @googlemail.com.
    • visitor_accounts – для аккаунтов Google посетителей.
      Чтобы разрешить пользователям входить в аккаунты посетителей, но не в обычные аккаунты, добавьте в заголовок visitor_accounts и исключите consumer_accounts.
    • gserviceaccounts.com – для аутентифицированных сервисных аккаунтов.
  6. Чтобы запретить пользователям вставлять собственные заголовки, создайте соответствующее правило для прокси-сервера.

Примечания

  • Этот способ позволяет блокировать вход в аккаунты всех пользовательских сервисов Google, кроме Поиска, но не предотвращает анонимный доступ к ним.
  • Если добавить HTTP-заголовок X-GoogApps-Allowed-Domains, пользователи не смогут получить доступ к делегированным почтовым ящикам из доменов, которые не указаны в заголовке.

Часто задаваемые вопросы

Что произойдет, если неавторизованные аккаунты попытаются получить доступ к сервисам?

При попытке доступа к сервисам Google с неавторизованным аккаунтом пользователь увидит веб-страницу со следующей информацией:
  • описанием недоступного сервиса;
  • именем используемого неавторизованного аккаунта;
  • списком доменов, для которых сервис доступен;
  • предложением обратиться к администратору за дополнительной информацией, выйти из неавторизованного аккаунта и снова войти с помощью авторизованного.

Что произойдет с сервисами, которые не требуют аутентификации?

Google не хранит список заблокированных сервисов. Если для входа в определенный сервис требуется ввод учетных данных, в доступе будет отказано. Сервисы, которые не требуют аутентификации, например Google Поиск и YouTube, блокироваться не будут.

Почему я не могу фильтровать трафик?

Для блокировки доступа к веб-сервисам обычно используется прокси-сервер, который фильтрует трафик, поступающий на определенные URL. В данном случае такой подход не сработает, поскольку полезный трафик из управляемого аккаунта Google поступает на тот же URL, что и трафик, который требуется отсечь.


Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
8062585740560494454
true
Поиск по Справочному центру
false
true
true
true
true
true
73010
false
false
false
false