一般ユーザー向けアカウントからのサービス利用を防ぐ

組織内のユーザーが Google サービスにログインするときに利用できるアカウントは、管理者から提供されたものに限定することができます。たとえば、ユーザー個人の Gmail アカウントや、別のドメインでの管理対象の Google アカウントからのサービスの利用を防ぐことができます。

Chrome ポリシーを使ってアカウントをブロックする

Chromebooks や他の管理対象 Chrome ブラウザからの Google サービスの利用を特定のドメインのユーザーに限定するには、次のようにします。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[デバイス管理] 次に [Chrome 管理] にアクセスします。

    [デバイス管理] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックします。

  3. [ユーザー設定] をクリックします。
  4. 左側で、設定の対象となるユーザーを含む組織を選択します。
    • 全ユーザーを対象とする場合は、最上位の組織を選択します。
    • それ以外の場合は子組織を選択します。
      詳しくは、組織構造の仕組みをご覧ください。
    重要: Windows、Mac、または Linux パソコンの Chrome ブラウザ ユーザーにポリシーを適用するには、この組織で Chrome 管理を有効にする必要があります。
  5. [ユーザー エクスペリエンス] 次に [ブラウザからのログイン] に移動します。
  6. [以下で設定した G Suiteドメインにのみログインを許可する] を選択します。
  7. (省略可)ドメインのリストを表示するには、ドメインリスト ボックスにある組織のドメイン名をクリックします。
  8. 組織で使っているすべてのドメインのリストを入力します。
    (入力しない場合、ユーザーが Google サービスを利用できない可能性があります。)
  9. (省略可)他の種類のアカウントを含めるには、次のテキストをリストに入力します。
    • 一般ユーザー向け Google アカウント(@gmail.com、@googlemail.com など)の場合、「consumer_accounts」を追加します。
    • 認証されたサービス アカウントの場合、「gserviceaccounts.com」を追加します。
  10. (省略可)シークレット モードからの閲覧を禁止するには、[シークレット モード] 次に [シークレット モードを無効にする] に移動します。
    詳しくは、シークレット モードをご覧ください。
  11. 下部にある [保存] をクリックします。
    通常、設定は数分で有効になりますが、全員に適用されるまでには 1 時間ほどかかる場合があります。
  12. (省略可)次の端末ポリシーを設定することを検討します。
    • 組織内のユーザーのみが Chrome OS 搭載端末にログインできるように、ログイン制限を設定します。詳細については、ログインの制限をご覧ください。
    • 端末でゲスト ブラウジングを無効にします。詳細については、ゲストモードをご覧ください。

ウェブ プロキシ サーバーを使用してアカウントをブロックする

ステップ 1: ウェブ プロキシ サーバーを選択する

ドメインの特定の Google アカウントを使う場合にのみ、組織内のユーザーに Google サービスの利用を許可するには、以下のことができるウェブ プロキシ サーバーが必要です。
  • google.com に送られるすべてのトラフィックにヘッダーを追加する - このヘッダーにより、Google サービスの利用が許可されているドメインが特定されます。
  • SSL インターセプト機能が備わっている - Google サービスのトラフィックは大部分が暗号化されているため、プロキシ サーバーには SSL インターセプト機能も備わっている必要があります。

以下のプロキシ サービス プロバイダで Google サービスをブロックする具体的な手順について説明していますので、ニーズに応じたサーバーをお選びください。

ステップ 2: 特定のアカウントをブロックするようにネットワークを設定する

Google サービスへのログインを、管理者が明示的に指定した Google アカウントからのみに限定するには、次のようにします。
  1. google.com 宛てのすべての送信トラフィックがウェブ プロキシ サーバーを経由するようにします。
  2. プロキシ サーバーで SSL インターセプトを有効にします。
  3. SSL プロキシを信頼するよう、すべてのクライアント端末を設定します。
    1. プロキシで使用される内部ルート認証局を導入します。
    2. 信頼できる認証局として設定します。
  4. google.com の各リクエストで次の処理を行います。
    1. リクエストをインターセプトします。
    2. X-GoogApps-Allowed-Domains:」という HTTP ヘッダーを追加し、許可されるドメイン名のカンマ区切りのリストを続けて指定します。
      G Suite に登録したドメインと追加したセカンダリ ドメインを必ずリストに含めるようにしてください。
      例: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. ユーザーが特定のアカウントにログインできるように、ヘッダーに次の値を追加します。
    • 特定ドメインのアカウントの場合は具体的なドメイン名(例: 末尾が @altostrat.com のアカウントの場合は「altostrat.com」、tenorstrat.com のアカウントの場合は「tenorstrat.com」)
    • 一般ユーザー向け Google アカウント(例: @gmail.com、@googlemail.com)の場合は「consumer_accounts
    • 認証されたサービス アカウントの場合は「gserviceaccounts.com
  6. (省略可)ユーザーが独自のヘッダーを挿入しないようにプロキシ ポリシーを作成します。

: 上記の設定により Google 検索を除く Google の一般ユーザー向けサービスへのログインを防ぐことができますが、必ずしも匿名アクセスを禁止するものではありません。

よくある質問

許可されていないアカウントからサービスを利用しようとするとどうなりますか?

許可されていないアカウントから Google サービスを利用しようとすると、次の内容がウェブページに表示されます。
  • サービスが利用できないことについての説明
  • ユーザーが現在使用している、許可されていないアカウント名
  • サービスが利用できないドメインのリスト
  • ネットワーク管理者に詳細を問い合わせ、許可されていないアカウントからログアウトし、許可されているアカウントでログインし直す旨のアドバイス

認証を必要としないサービスを使おうとした場合はどうなりますか?

ブロックされたサービスのリストを Google で保持してはいないため、ログインが必要なサービスでは利用がブロックされる一方で、認証を必要としないサービス(Google 検索、YouTube など)のご利用は制限されません。

トラフィックを除外してサービスをブロックできないのはなぜですか?

ウェブサービスの利用をブロックする一般的な方法は、特定の URL 宛てに送られるトラフィックをウェブ プロキシ サーバーを使って除外することですが、上記のケースではこの方法が使えません。管理対象の Google アカウントからの正当なトラフィックが、ブロックしたいトラフィックと同じ URL に送られるためです。
この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。