Bloquear el acceso de cuentas de consumidor

Como administrador, puedes impedir que tus usuarios inicien sesión en los servicios de Google con cuentas que no les has facilitado. Por ejemplo, puede que no quieras que los utilicen con sus cuentas de Gmail personales o con una cuenta de Google gestionada de otro dominio.

Nota: Al bloquear el acceso a cuentas de consumidor, es posible que los usuarios vean el mensaje de error indicando "Esta cuenta no puede iniciar sesión en esta red".

Bloquear cuentas mediante políticas de Chrome

Para permitir que solo los usuarios de ciertos dominios accedan a los servicios de Google, sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Dispositivos y luego Administración de Chrome.
  3. Haz clic en Configuración de usuario y de navegador.
  4. Si quieres aplicar la configuración a todos los usuarios, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
  5. Ve a Experiencia de usuario y luego Iniciar sesión en cuentas secundarias.
  6. Selecciona Permitir que los usuarios solo inicien sesión en los dominios de Google Workspace especificados abajo.
  7. (Opcional) Para ver la lista de tus dominios, haz clic en dominios de tu organización, debajo del cuadro de la lista de dominios.
  8. Introduce la lista de todos los dominios de tu organización.
    Si no lo haces, es posible que tus usuarios no tengan acceso a los servicios de Google.
    Nota: gserviceaccounts.com es un dominio esencial para permitir cuentas de servicio autenticadas.
  9. (Opcional) Si quieres incluir cuentas de consumidor de Google, como las que terminan en @gmail.com o en @googlemail.com, añade el siguiente texto a la lista: consumer_accounts
  10. Haz clic en Guardar.
  11. (Opcional) Para impedir que los usuarios naveguen en modo de incógnito:
    1. En la página principal de la consola de administración, ve a Dispositivos y luego Administración de Chrome.
    2. Haz clic en Configuración de usuario y de navegador.
    3. Ve a Modo de incógnito y luego No permitir el modo de incógnito.
      Para obtener más información, consulta el apartado Modo de navegación de incógnito.
    4. Haz clic en Guardar.
  12. (Opcional) Te recomendamos que definas estas políticas de dispositivos adicionales:
    • Aplica una restricción de inicio de sesión para que solo los usuarios de tu organización puedan iniciar sesión en dispositivos que utilizan Chrome OS. Para obtener más información, consulta el apartado Restricción de inicio de sesión.
    • Desactiva la navegación como invitado en los dispositivos. Para ver más información, consulta el apartado Modo invitados.

Aunque los ajustes suelen hacerse efectivos en minutos, pueden tardar hasta una hora en propagarse a todos los usuarios.

Bloquear cuentas mediante un servidor proxy web

Paso 1: Elegir un servidor proxy web

Para que los usuarios de tu red solo puedan acceder a los servicios de Google con determinadas cuentas de Google de tu dominio, necesitas un servidor proxy web que pueda hacer lo siguiente:
  • Añadir un encabezado a todo el tráfico dirigido a google.com: en este encabezado se identifican los dominios desde los que los usuarios pueden acceder a los servicios de Google.
  • Permitir la interceptación del tráfico SSL: la mayoría del tráfico de los servicios de Google está cifrado, por lo que el servidor proxy también debe permitir que se intercepte el tráfico SSL.

Consulta instrucciones específicas sobre cómo bloquear servicios de Google a los proveedores de servicios de proxy que se indican a continuación, y selecciona un servidor que se adapte a tus necesidades.

Paso 2: Configurar la red para bloquear determinadas cuentas

Para impedir que los usuarios inicien sesión en los servicios de Google con cuentas que no les has indicado explícitamente, sigue estos pasos:
  1. Dirige todo el tráfico de salida a google.com a través de tus servidores proxy web.
  2. Habilita la interceptación del tráfico SSL en el servidor proxy.
  3. Configura todos los dispositivos cliente para que confíen en tu proxy SSL:
    1. Implementa la autoridad de certificación raíz interna que usa el proxy.
    2. Indica que es de confianza.
  4. En cada solicitud de google.com:
    1. Intercepta la solicitud.
    2. Añade la cabecera HTTP X-GoogApps-Allowed-Domains: seguida de una lista de los nombres de dominio permitidos, separados por comas.
      Asegúrate de que en esta lista se incluyan el dominio que has registrado en Google Workspace y los dominios secundarios que hayas añadido.
      Ejemplo: X-GoogApps-Allowed-Domains: midominio1.com, midominio2.com
  5. Para permitir que los usuarios inicien sesión en cuentas concretas, añade los siguientes valores al encabezado:
    • domain_name para permitir cuentas de dominios concretos; por ejemplo, altostrat.com y tenorstrat.com si las cuentas acabaran en @altostrat.com y tenorstrat.com.
    • consumer_accounts para permitir cuentas de consumidor de Google, como @gmail.com y @googlemail.com.
    • Incluye gserviceaccounts.com para permitir cuentas de servicio autenticadas.
  6. (Opcional) Crea una política de proxy para impedir que los usuarios inserten sus propios encabezados.

Nota: Con este procedimiento se bloquea el acceso de usuarios particulares a los servicios de Google, excepto a la Búsqueda de Google; sin embargo, no se impide que se acceda a estos servicios de forma anónima.

Preguntas frecuentes

¿Qué ocurre si una cuenta no autorizada intenta acceder a los servicios?

Si un usuario intenta acceder a los servicios de Google desde una cuenta no autorizada, verá una página web en la que se facilita esta información:
  • Una descripción del servicio no disponible
  • La cuenta no autorizada que está utilizando
  • Los dominios en los que está disponible el servicio
  • Un mensaje en el que se le sugiere que contacte con un administrador de red para obtener más información y en el que también se le aconseja que cierre sesión en la cuenta no autorizada e inicie sesión con una cuenta autorizada

¿Qué ocurre con los servicios que no necesitan autenticación?

Google no mantiene ninguna lista de los servicios bloqueados. Se bloquea el acceso a los servicios en los que se necesite iniciar sesión para utilizarlos. El resto de los servicios, como la Búsqueda de Google y YouTube, no se bloquean.

¿Por qué no puedo sencillamente filtrar el tráfico?

La forma más habitual de bloquear el acceso a servicios web consiste en filtrar el tráfico que se dirige a determinadas URL mediante un servidor proxy web. No obstante, este método no funciona en este caso porque el tráfico legítimo de las cuentas de Google gestionadas de los usuarios se dirige a la misma URL que el tráfico que te interesa bloquear.



Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.