一般ユーザー向けアカウントからのサービス利用を防ぐ

管理対象の Chromebook と、Chrome OS を搭載するその他の端末が対象です。

組織内のユーザーが Google サービスにログインするときに利用できるアカウントは、管理者から提供されたものに限定することができます。たとえば、ユーザー個人の Gmail アカウントや、別ドメインの Google アカウントからのサービスの利用を防ぐことができます。

Chrome ポリシーを使ってアカウントをブロックする

特定のドメインのユーザーだけが Chrome OS デバイスで Google サービスを利用できるようにするには:

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[デバイス] 次に [Chrome 管理] にアクセスします。

    [デバイス] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックします。

  3. [ユーザーとブラウザの設定] をクリックします。
  4. 全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
  5. [ユーザー エクスペリエンス] 次に [予備のアカウントにログインする] に移動します。
  6. 旧バージョンの管理コンソールに戻すには、リンクをクリックします。
  7. [ユーザー エクスペリエンス] 次に [予備のアカウントにログインする] に移動します。
  8. [以下で設定した G Suiteドメインにのみログインを許可する] を選択します。
  9. (省略可)ドメインのリストを表示するには、ドメインリスト ボックスにある組織のドメイン名をクリックします。
  10. 組織で使っているすべてのドメインのリストを入力します。
    (入力しない場合、ユーザーが Google サービスを利用できない可能性があります)
  11. (省略可)他の種類のアカウントを含めるには、次のテキストをリストに入力します。
    • 一般ユーザー向け Google アカウントの場合は アカウントの @ マーク以降の部分(例: @gmail.com、@googlemail.com)
    • 認証されたサービス アカウントの場合は [サービス アカウント].com
  12. [保存] をクリックします。
  13. (省略可)ユーザーがシークレット モードでブラウジングできないようにするには:
    1. 管理コンソールのホームページから、[デバイス] 次に [Chrome 管理] にアクセスします。

      [デバイス] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックします。

    2. [ユーザーとブラウザの設定] をクリックします。
    3. [シークレット モード] 次に [シークレット モードを無効にする] に移動します。
      詳しくは、シークレット モードをご覧ください。
    4. [保存] をクリックします。
  14. (省略可)次のデバイス ポリシーを設定することを検討します。
    • 組織内のユーザーだけが Chrome OS デバイスにログインできるように、ログイン制限を設定します。詳しくは、ログインの制限をご覧ください。
    • デバイスでゲスト ブラウジングを無効にします。詳しくは、ゲストモードをご覧ください。

通常、設定は数分で有効になりますが、全員に適用されるまでには 1 時間ほどかかる場合があります。

ウェブ プロキシ サーバーを使用してアカウントをブロックする

ステップ 1: ウェブ プロキシ サーバーを選択する

ネットワーク上のユーザーが組織のドメインの特定の Google アカウントを使用している場合にだけ Google サービスの利用を許可するには、以下のことができるウェブ プロキシ サーバーが必要です。
  • google.com に送られるすべてのトラフィックにヘッダーを追加 - このヘッダーにより、Google サービスの利用を許可するユーザーのドメインを特定できます。
  • SSL インターセプト機能のサポート - Google サービスのトラフィックは大部分が暗号化されているため、プロキシ サーバーは SSL インターセプト機能もサポートしている必要があります。

以下のプロキシ サービス プロバイダで Google サービスをブロックする具体的な手順について説明していますので、ニーズに応じたサーバーをお選びください。

ステップ 2: 特定のアカウントをブロックするようにネットワークを設定する

管理者が明示的に指定した Google アカウントだけに Google サービスへのログインを許可するには:
  1. google.com 宛てのすべての送信トラフィックがウェブ プロキシ サーバーを経由するようにします。
  2. プロキシ サーバーで SSL インターセプトを有効にします。
  3. SSL プロキシを信頼するよう、すべてのクライアント デバイスを設定します。
    1. プロキシで使用される内部ルート認証局を導入します。
    2. 信頼できる認証局として設定します。
  4. google.com の各リクエストに対して次の処理を行います。
    1. リクエストをインターセプトします。
    2. X-GoogApps-Allowed-Domains:」という HTTP ヘッダーを追加し、許可されるドメイン名のカンマ区切りのリストを続けて指定します。
      G Suite に登録したドメインと追加したセカンダリ ドメインを必ずリストに含めるようにしてください。
      例: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. ユーザーが特定のアカウントにログインできるように、ヘッダーに次の値を追加します。
    • 特定のドメインのアカウントの場合はドメイン名(例: アカウントの末尾が @altostrat.com の場合は「altostrat.com」、tenorstrat.com の場合は「tenorstrat.com」)
    • 一般ユーザー向け Google アカウントの場合は アカウントの @ マーク以降の部分(例: @gmail.com、@googlemail.com)
    • 認証されたサービス アカウントの場合は [サービス アカウント].com
  6. (省略可)ユーザーが独自のヘッダーを挿入しないようにプロキシ ポリシーを作成します。

: 上記の設定により Google 検索を除く Google の一般ユーザー向けサービスへのログインを防ぐことができますが、必ずしも匿名アクセスを禁止するものではありません。

よくある質問

許可されていないアカウントからサービスを利用しようとすると、どうなりますか?

許可されていないアカウントから Google サービスを利用しようとすると、次の内容がウェブページに表示されます。
  • サービスを利用できないことについての説明
  • ユーザーが現在使用している、許可されていないアカウント名
  • サービスが利用できないドメインのリスト
  • ネットワーク管理者に詳細を問い合わせ、許可されていないアカウントからログアウトし、許可されているアカウントでログインし直すことをすすめるアドバイス

認証を必要としないサービスを利用しようとした場合はどうなりますか?

ブロックされたサービスのリストを Google で保持してはいないため、ログインが必要なサービスでは利用がブロックされる一方で、認証を必要としないサービス(Google 検索、YouTube など)のご利用は制限されません。

トラフィックを除外してサービスをブロックできないのはなぜですか?

ウェブサービスの利用をブロックする一般的な方法は、特定の URL に送信されるトラフィックをウェブ プロキシ サーバーを使ってフィルタすることですが、上記のケースではこの方法が使えません。管理対象の Google アカウントからの正当なトラフィックが、ブロックしたいトラフィックと同じ URL に送られるためです。
この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。