Blokowanie dostępu do kont dla użytkowników indywidualnych

Jako administrator możesz chcieć uniemożliwić użytkownikom logowanie się w usługach Google przy użyciu kont innych niż te, które zostały im przypisane przez Ciebie. Na przykład możesz nie chcieć, aby użytkownicy w Twojej sieci firmowej używali swoich osobistych kont Gmail lub zarządzanych kont Google z innej domeny.

Uwaga: jeśli zablokujesz dostęp do kont indywidualnych, użytkownicy mogą zobaczyć taki komunikat o błędzie: „W tej sieci nie można zalogować się na to konto”.

Zezwalanie na dostęp tylko z określonych domen

Funkcja dostępna na urządzeniach z ChromeOS.

Aby zezwolić użytkownikom na dostęp do usług Google tylko za pomocą kont z określonych domen Google Workspace:

Zanim zaczniesz: jeśli musisz skonfigurować dział lub zespół dla tego ustawienia, przeczytaj artykuł Dodawanie jednostki organizacyjnej.

  1. Zaloguj się na konto administratora w Konsola administracyjna Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Kliknij  Menu  a potem  Urządzenia > Chrome > Ustawienia. Domyślnie otworzy się strona Ustawienia użytkownika i przeglądarki.

    Wymaga uprawnień administratora Zarządzanie urządzeniami mobilnymi.

    Jeśli korzystasz z zarządzania przeglądarką Chrome w chmurze, kliknij Menu  a potem  Przeglądarka Chrome > Ustawienia.

  3. (Opcjonalnie) Aby zastosować ustawienie do działu lub zespołu, z boku wybierz jednostkę organizacyjną. Pokaż mi, jak to zrobić
  4. Kliknij Interfejs użytkownika a potem Logowanie się na kontach pomocniczych.
  5. Wybierz Zezwalaj użytkownikom na logowanie się tylko w domenach Google Workspace określonych poniżej.
  6. Wpisz domeny organizacji.
    (Jeśli tego nie zrobisz, użytkownicy mogą nie mieć dostępu do usług Google).
    Uwaga: strona gserviceaccounts.com jest uwzględniona i ma kluczowe znaczenie w przypadku uwierzytelnionych kont usługi.
  7. (Opcjonalnie) Aby dołączyć konta Google dla użytkowników indywidualnych, na przykład zakończone na @gmail.com i @googlemail.com, wpisz na liście consumer_accounts.
    1. (Opcjonalnie) Aby dołączyć konta Google dla użytkowników zewnętrznych bez uwzględniania kont Google dla użytkowników indywidualnych, wpisz na liście visitor_accounts i nie wpisuj consumer_accounts.
  8. Kliknij Zapisz.

Zazwyczaj ustawienia są stosowane po kilku minutach. Może jednak minąć nawet godzina, zanim zaczną działać u wszystkich.

Dalsze kroki

  • W ustawieniach dla opcji Użytkownicy i przeglądarki możesz też uniemożliwić użytkownikom przeglądanie w trybie incognito. Wybierz Tryb incognito a potem Zabroń korzystania z trybu incognito i kliknij Zapisz. Więcej informacji znajdziesz na temat trybu incognito znajdziesz tutaj.
  • Ustaw ograniczenie logowania, aby na urządzeniach z ChromeOS mogli logować się tylko użytkownicy z Twojej organizacji. Więcej informacji znajdziesz w sekcji Ograniczenie logowania się.
  • Wyłącz przeglądanie jako gość na urządzeniach. Więcej informacji na temat trybu gościa znajdziesz tutaj.

Blokowanie kont za pomocą internetowego serwera proxy

Krok 1. Wybierz internetowy serwer proxy

Aby zezwolić użytkownikom w Twojej sieci na uzyskiwanie dostępu do usług Google tylko przy użyciu określonych kont Google z Twojej domeny, potrzebujesz internetowego serwera proxy, który:
  • Będzie dodawał nagłówek do całego ruchu kierowanego na adres *.google.com – nagłówek identyfikuje domeny, z których użytkownicy mogą uzyskiwać dostęp do usług Google.
  • Obsługuje przechwytywanie transmisji SSL – w związku z tym, że większość ruchu przesyłanego do i z usługi Google jest szyfrowana, serwer proxy musi też obsługiwać przechwytywanie transmisji SSL.

Przeczytaj szczegółowe instrukcje dostawców usług proxy dotyczące blokowania usług Google i wybierz serwer spełniający Twoje wymagania.

Krok 2. Skonfiguruj sieć, aby blokować określone konta
Aby uniemożliwić użytkownikom logowanie się w usługach Google przy użyciu innych kont niż te, które wyraźnie określisz:
  1. Kieruj cały ruch wychodzący do google.com przez swoje internetowe serwery proxy.
  2. Włącz przechwytywanie transmisji SSL na serwerze proxy.
  3. Skonfiguruj każde urządzenie klienckie w taki sposób, by ufało Twojemu serwerowi proxy SSL:
    1. Wdróż wewnętrzny główny urząd certyfikacji używany przez serwer proxy.
    2. Oznacz go jako zaufany.
  4. Dla każdego żądania związanego z domeną *.google.com:
    1. Przechwyć żądanie.
    2. Dodaj nagłówek HTTP X-GoogApps-Allowed-Domains: zawierający listę dozwolonych nazw domen rozdzielonych przecinkami.
      Dodaj do listy domenę, która posłużyła do rejestracji konta Google Workspace, i wszelkie domeny dodatkowe.
      Przykład: X-GoogApps-Allowed-Domains: mojadomena1.com, mojadomena2.com
  5. Aby umożliwić użytkownikom logowanie się na określonych kontach, dodaj do nagłówka te wartości:
    • nazwa_domeny w przypadku kont w określonych domenach – na przykład altostrat.com i tenorstrat.com dla kont, których nazwa kończy się na @altostrat.com i tenorstrat.com
    • consumer_accounts w przypadku kont Google, na przykład w domenach @gmail.com i @googlemail.com
    • visitor_accounts w przypadku kont Google dla użytkowników zewnętrznych
      Aby zezwolić użytkownikom na logowanie się na konta dla użytkowników zewnętrznych, ale zablokować konta dla użytkowników indywidualnych, dodaj do nagłówka wpis visitor_accounts i wyklucz consumer_accounts.
    • gserviceaccounts.com w przypadku uwierzytelnionych kont usługi
  6. (Opcjonalnie) Utwórz zasady proxy, aby użytkownicy nie mogli wstawiać własnych nagłówków.

Uwaga:

  • Ta metoda blokuje logowanie się w usługach Google innych niż wyszukiwarka Google, ale nie musi blokować dostępu anonimowego.
  • Jeśli dodasz nagłówek HTTP X-GoogApps-Allowed-Domains, użytkownikom uzyskującym dostęp do skrzynek pocztowych z przekazanym dostępem z domeny, która nie znajduje się w nagłówku, będą wyświetlać się komunikaty o błędach.

Najczęstsze pytania

Co się dzieje, gdy nieautoryzowane konta próbują uzyskać dostęp do usług?

Jeśli użytkownik spróbuje uzyskać dostęp do usług Google z nieautoryzowanego konta, zobaczy stronę internetową, która:
  • Opisuje niedostępną usługę.
  • Wyświetla nieautoryzowane konto, z którego korzysta użytkownik.
  • Wyświetla domeny, w których usługa jest dostępna.
  • Zawiera sugestię skontaktowania się z administratorem sieci w celu uzyskania dodatkowych informacji oraz prośbę o wylogowanie się z nieautoryzowanego konta i zalogowanie się na konto autoryzowane.

Co się dzieje z usługami, które nie wymagają uwierzytelniania?

Google nie prowadzi listy zablokowanych usług. Jeśli dana usługa wymaga zalogowania się na konto, dostęp do niej zostanie zablokowany. Usługi, z których można korzystać bez uwierzytelniania, takie jak wyszukiwarka Google i YouTube, nie zostaną zablokowane.

Dlaczego nie mogę po prostu filtrować ruchu?

Typowym środkiem umożliwiającym zablokowanie dostępu do usług internetowych jest użycie internetowego serwera proxy do filtrowania ruchu skierowanego pod określone adresy URL. Takie rozwiązanie w tym przypadku nie zadziała, bo uprawniony ruch z zarządzanego konta Google użytkownika jest kierowany pod ten sam adres URL co ruch, który chcesz zablokować.


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
104973953975298542
true
Wyszukaj w Centrum pomocy
false
true
true
true
true
true
73010
false
false
false
false