一般ユーザー向けアカウントからのサービス利用を防ぐ

管理者は、組織内のユーザーが Google サービスへのログインに使用するアカウントを、自身が提供したものに限定できます。たとえば、企業ネットワーク内のユーザーが個人用の Gmail アカウントや別ドメインで管理対象の Google アカウントを使用することを禁止できます。

注: 一般ユーザー向けアカウントの使用をブロックすると、ユーザーには [このネットワーク内では、このアカウントではログインできません] というエラー メッセージが表示されることがあります。

特定のドメインからのアクセスのみを許可する

Google サービスへのアクセスに使用するアカウントを、指定した Google Workspace ドメインのリストに登録されているものに限定するには:

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[デバイス] にアクセスします。
  3. 左側で、[Chrome] 次に [設定] 次に [ユーザーとブラウザ] をクリックします。
  4. 全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
  5. [ユーザー エクスペリエンス] 次に [予備のアカウントにログインする] に移動します。
  6. [ユーザーに以下の Google Workspace ドメインへのログインのみを許可する] を選択します。
  7. 組織のドメインを入力します。
    (入力しない場合、ユーザーが Google サービスを利用できない可能性があります)
    注: gserviceaccounts.com は、認証されたサービス アカウント用の必須のドメインとして含まれています。
  8. (省略可)一般ユーザー向け Google アカウント(末尾が @gmail.com や @googlemail.com など)を含めるには、リストに「consumer_accounts」と入力します。
  9. [保存] をクリックします。

通常、設定は数分ほどで有効になりますが、全員に適用されるまでには 1 時間ほどかかる場合があります。

次のステップ

  • [ユーザーとブラウザ] の設定で、ユーザーがシークレット モードでブラウジングできないようにすることもできます。[シークレット モード] 次に [シークレット モードを無効にする] に移動し、[保存] をクリックします。詳しくは、シークレット モードをご覧ください。
  • 組織内のユーザーのみが Chrome OS デバイスにログインできるように、ログイン制限を設定します。詳しくは、ログインの制限をご覧ください。
  • デバイスでゲスト ブラウジングを無効にします。詳しくは、ゲストモードをご覧ください。

ウェブ プロキシ サーバーを使用してアカウントをブロックする

ステップ 1: ウェブ プロキシ サーバーを選択する

ネットワーク上のユーザーが組織のドメインの特定の Google アカウントを使用している場合にだけ Google サービスの利用を許可するには、以下のことができるウェブ プロキシ サーバーが必要です。
  • google.com に送られるすべてのトラフィックにヘッダーを追加 - このヘッダーにより、Google サービスの利用を許可するユーザーのドメインを特定できます。
  • SSL インターセプト機能が備わっている - Google サービスのトラフィックは大部分が暗号化されているため、プロキシ サーバーには SSL インターセプト機能も備わっている必要があります。

以下のプロキシ サービス プロバイダで Google サービスをブロックする具体的な手順について説明していますので、ニーズに応じたサーバーをお選びください。

ステップ 2: 特定のアカウントをブロックするようにネットワークを設定する
管理者が明示的に指定した Google アカウントだけに Google サービスへのログインを許可するには:
  1. google.com 宛てのすべての送信トラフィックがウェブ プロキシ サーバーを経由するようにします。
  2. プロキシ サーバーで SSL インターセプトを有効にします。
  3. SSL プロキシを信頼するよう、すべてのクライアント デバイスを設定します。
    1. プロキシで使用される内部ルート認証局を導入します。
    2. 信頼できる認証局として設定します。
  4. google.com の各リクエストに対して次の処理を行います。
    1. リクエストをインターセプトします。
    2. X-GoogApps-Allowed-Domains:」という HTTP ヘッダーを追加し、許可されるドメイン名のカンマ区切りのリストを続けて指定します。
      Google Workspace に登録したドメインと追加したセカンダリ ドメインを必ずリストに含めるようにしてください。
      例: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. ユーザーが特定のアカウントにログインできるように、ヘッダーに次の値を追加します。
    • 特定のドメインのアカウントの場合(例: @altostrat.com の「altostrat.com」、@tenorstrat.com の「tenorstrat.com」)は「domain_name
    • 一般ユーザー向け Google アカウント(例: @gmail.com、@googlemail.com)の場合は「consumer_accounts
    • 認証されたサービス アカウントの場合は「gserviceaccounts.com
  6. (省略可)ユーザーが独自のヘッダーを挿入しないようにプロキシ ポリシーを作成します。

注:

  • この設定により Google 検索を除く Google の一般ユーザー向けサービスへのログインを防ぐことができますが、必ずしも匿名アクセスを禁止するものではありません。
  • X-GoogApps-Allowed-Domains HTTP ヘッダーを追加すると、委任されたメールボックスにヘッダーに含まれないドメインからアクセスするユーザーに対してエラーが表示されます。

よくある質問

許可されていないアカウントからサービスを利用しようとすると、どうなりますか?

許可されていないアカウントから Google サービスを利用しようとすると、次の内容がウェブページに表示されます。
  • サービスを利用できないことについての説明
  • ユーザーが現在使用している、許可されていないアカウント名
  • サービスを利用できるドメインのリスト
  • ネットワーク管理者に詳細を問い合わせ、許可されていないアカウントからログアウトし、許可されているアカウントでログインし直す旨のアドバイス

認証を必要としないサービスを使おうとした場合はどうなりますか?

ブロックされたサービスのリストを Google で保持してはいないため、ログインが必要なサービスでは利用がブロックされる一方で、認証を必要としないサービス(Google 検索、YouTube など)のご利用は制限されません。

トラフィックを除外してサービスをブロックできないのはなぜですか?

ウェブサービスの利用をブロックする一般的な方法は、特定の URL に送信されるトラフィックをウェブ プロキシ サーバーを使ってフィルタすることですが、上記のケースではこの方法が使えません。管理対象の Google アカウントからの正当なトラフィックが、ブロックしたいトラフィックと同じ URL に送られるためです。

 


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

 

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
ヘルプセンターを検索
false
false
true
73010
false
false