Bloquear el acceso de cuentas de consumidor

Como administrador, quizá te interese impedir que tus usuarios inicien sesión en los servicios de Google con cuentas que no les has facilitado. Por ejemplo, puede que no quieras que los utilicen con sus cuentas de Gmail personales o una cuenta de Google gestionada de otro dominio.

Bloquear cuentas mediante políticas de Chrome

Para permitir que solo los usuarios de dominios concretos puedan acceder a los servicios de Google desde Chromebooks y otros navegadores Chrome gestionados, sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Dispositivos y luego Administración de Chrome.

    Para ver la sección Dispositivos en la página principal, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior.

  3. Haz clic en Configuración de usuario.
  4. En la parte izquierda, selecciona el nivel organizativo que contiene los usuarios a los que quieres aplicar la configuración. Importante: Si quieres aplicar políticas a los usuarios del navegador Chrome que acceden desde ordenadores Windows, Mac o Linux, asegúrate de que el servicio Administración de Chrome esté activado en el nivel organizativo correspondiente.
  5. Ve a Experiencia de usuario y luego Iniciar sesión en cuentas secundarias.
  6. Selecciona Permitir que los usuarios inicien sesión únicamente en los dominios de G Suite siguientes.
  7. (Opcional) Para ver la lista de tus dominios, haz clic en dominios de tu organización, debajo del cuadro de la lista de dominios.
  8. Introduce la lista de todos los dominios de tu organización.
    Si no lo haces, es posible que tus usuarios no tengan acceso a los servicios de Google.
  9. (Opcional) Para incluir otros tipos de cuentas, introduce en la lista los fragmentos que se indican a continuación:
    • Para incluir cuentas de consumidor de Google, como las que terminan en @gmail.com o @googlemail.com, añade consumer_accounts.
    • Para incluir cuentas de servicio autenticadas, añade gserviceaccounts.com.
  10. (Opcional) Para evitar que los usuarios naveguen en modo de incógnito, ve a Modo de incógnito y luego No permitir el modo de incógnito.
    Para obtener más información, consulta el apartado Modo de incógnito.
  11. En la parte inferior, haz clic en Guardar.
    Los ajustes generalmente se aplican al cabo de unos minutos, pero pueden tardar hasta una hora en aplicarse para todos los usuarios.
  12. (Opcional) Te recomendamos que definas las siguientes políticas de dispositivos:
    • Configura una restricción de inicio de sesión para que solo puedan iniciar sesión en dispositivos con Chrome OS los usuarios de tu organización. Para obtener más información, consulta el apartado Restricción de inicio de sesión.
    • Desactiva la navegación como invitado en los dispositivos. Para obtener más información, consulta el apartado Modo invitados.

Bloquear cuentas mediante un servidor proxy web

Paso 1: Elegir un servidor proxy web

Para que los usuarios de tu red solo puedan acceder a los servicios de Google con determinadas cuentas de Google de tu dominio, necesitas un servidor proxy web que pueda hacer lo siguiente:
  • Añadir un encabezado a todo el tráfico dirigido a google.com: en este encabezado se identifican los dominios desde los que los usuarios pueden acceder a los servicios de Google.
  • Permitir la interceptación del tráfico SSL: la mayoría del tráfico de los servicios de Google está cifrado, por lo que el servidor proxy también debe permitir que se intercepte el tráfico SSL.

Consulta las instrucciones específicas sobre cómo bloquear servicios de Google de los proveedores de servicios de proxy que se indican a continuación y selecciona un servidor que se adapte a tus necesidades.

Paso 2: Configurar la red para bloquear determinadas cuentas

Para impedir que los usuarios inicien sesión en los servicios de Google con cuentas que no les has indicado explícitamente, sigue estos pasos:
  1. Dirige todo el tráfico de salida a google.com a través de tus servidores proxy web.
  2. Habilita la interceptación del tráfico SSL en el servidor proxy.
  3. Configura todos los dispositivos cliente para que confíen en tu proxy SSL:
    1. Implementa la autoridad de certificación raíz interna que usa el proxy.
    2. Indica que es de confianza.
  4. En cada solicitud de google.com:
    1. Intercepta la solicitud.
    2. Añade la cabecera HTTP X-GoogApps-Allowed-Domains: seguida de una lista de los nombres de dominio permitidos, separados por comas.
      Asegúrate de que en esta lista se incluyan el dominio que has registrado en G Suite y los dominios secundarios que hayas añadido.
      Ejemplo: X-GoogApps-Allowed-Domains: midominio1.com, midominio2.com
  5. Para permitir que los usuarios inicien sesión en cuentas concretas, añade los siguientes valores al encabezado:
    • Indica el nombre de dominio de las cuentas de dominios concretos; por ejemplo, altostrat.com y tenorstrat.com si se trata de cuentas acabadas en @altostrat.com y tenorstrat.com.
    • Añade consumer_accounts si son cuentas de consumidor de Google, como @gmail.com y @googlemail.com.
    • Incluye gserviceaccounts.com si se trata de cuentas de servicio autenticadas.
  6. (Opcional) Crea una política de proxy para impedir que los usuarios inserten sus propios encabezados.

Nota: Con este procedimiento se bloquea el acceso de usuarios particulares a los servicios de Google, excepto la Búsqueda de Google; sin embargo, no se impide que se acceda a estos servicios de forma anónima.

Preguntas frecuentes

¿Qué ocurre si una cuenta no autorizada intenta acceder a los servicios?

Si un usuario intenta acceder a los servicios de Google desde una cuenta no autorizada, verá una página web con lo siguiente:
  • Una descripción del servicio no disponible
  • La cuenta no autorizada que está utilizando
  • Los dominios en los que el servicio no está disponible
  • Un mensaje en el que se le sugiere que contacte con un administrador de red para obtener más información y en el que también se le aconseja que cierre sesión en su cuenta no autorizada e inicie sesión con una cuenta autorizada

¿Qué ocurre con los servicios que no necesitan autenticación?

Google no mantiene ninguna lista de los servicios bloqueados. Se bloquea el acceso a los servicios en los que se necesite iniciar sesión para utilizarlos. El resto de los servicios, como la Búsqueda de Google y YouTube, no se bloquean.

¿Por qué no puedo sencillamente filtrar el tráfico?

La forma más habitual de bloquear el acceso a servicios web consiste en filtrar el tráfico que se dirige a determinadas URL mediante un servidor proxy web. No obstante, este método no funciona en este caso porque el tráfico legítimo de las cuentas de Google gestionadas de los usuarios se dirige a la misma URL que el tráfico que te interesa bloquear.
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?