一般アカウントへのアクセスのブロック

概略:

管理対象の Google アカウント(G Suite や Cloud Identity など)へのアクセスは許可するものの、一部の Google のアカウントやサービスへのアクセスをブロックするには、SSL インターセプトを実行して HTTP ヘッダーを挿入できるウェブ プロキシ サーバーが必要です。

管理者は、管理者から提供されたアカウントでしかユーザーが Google サービスにログインできないようにすることができます。たとえば、ユーザー個人の Gmail アカウントや、別のドメインの管理対象の Google アカウントを使用できないようにしたい場合などです。

ウェブサービスへのアクセスをブロックする一般的な方法は、ウェブ プロキシ サーバーを使用して、特定の URL 宛てに送られるトラフィックをフィルタすることですが、上記のケースではこの方法が使えません。ユーザーの管理対象の Google アカウントからの正当なトラフィックが、ブロックしたいトラフィックと同じ URL に送られるためです。

ご利用のドメインの特定の Google アカウントを使用した場合にのみ Google サービスへのアクセスをユーザーに許可するには、ウェブ プロキシ サーバーを使用して、google.com に送られるすべてのトラフィックにヘッダーを追加する必要があります(このヘッダーで、ユーザーが Google サービスにアクセスできるドメインを特定します)。ほとんどの Google サービス トラフィックは暗号化されているため、プロキシ サーバーは SSL インターセプトもサポートしている必要があります(SSL インターセプトと HTTP ヘッダーの挿入の両方をサポートすることが確認されているプロキシ サーバーについては、以下のリストをご覧ください)。

Google サービスへのログインを、管理者が明示的に指定した Google アカウントからのみできるよう限定するには:

  1. google.com 宛てのすべての送信トラフィックがウェブ プロキシ サーバーを経由するようにします。

  2. プロキシ サーバーで SSL インターセプトを有効にします。

    SSL リクエストがインターセプトされることになるため、SSL プロキシを信頼するよう、すべてのクライアント端末を設定する必要があります。それには、内部ルート認証機関を導入し、信頼できる認証機関として設定します。

  3. google.com の各リクエストで次の処理を行います。

    a. リクエストをインターセプトします。

    b. 「X-GoogApps-Allowed-Domains」という HTTP ヘッダーを追加し、ヘッダーの値に、許可されるドメイン名のカンマ区切りのリストを指定します。G Suite に登録したドメインとセカンダリ ドメイン(追加した場合)をリストに含めます。

    たとえば、@altostrat.com と @tenorstrat.com のアカウントを使用したログインをユーザーに許可するには、「X-GoogApps-Allowed-Domains」という名前のヘッダーを作成し、次の値を指定します。
    altostrat.com, tenorstrat.com

    プロキシ ポリシーを作成して、ユーザーが独自のヘッダーを挿入できないようにすることもできます。


許可されていないアカウントから Google サービスにアクセスしようとすると、ウェブページが表示されます。このウェブページには、使用できないサービス、ユーザーが使用中の許可されていないアカウント、サービスを使用できないドメインが記載されているほか、詳細についてネットワーク管理者に問い合わせることや、許可されていないアカウントからログアウトし、許可されているアカウントでログインすること、といった指示が記載されています。

: これは Google 検索を除く Google の一般向けサービスにログインできないようにするための方法ですが、必ずしも匿名アクセスを禁止するものではありません。

Google ではブロックされるサービスのリストを保持しません。ログインが必要な特定のサービスでは、アクセスがブロックされます。一方、認証を必要としないサービス(Google 検索、YouTube など)では、アクセスはブロックされません。

プロキシ サーバー プロバイダが提供する具体的な設定手順

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。