Blokowanie dostępu do kont dla użytkowników indywidualnych

Jako administrator możesz chcieć uniemożliwić użytkownikom logowanie się w usługach Google przy użyciu kont innych niż te, które zostały im przypisane przez Ciebie. Na przykład możesz nie chcieć, aby używali swoich osobistych kont Gmail lub zarządzanych kont Google z innej domeny.

Uwaga: jeśli zablokujesz dostęp do kont indywidualnych, użytkownicy mogą zobaczyć taki komunikat o błędzie: „W tej sieci nie można zalogować się na to konto”.

Blokowanie kont za pomocą zasad Chrome

Aby zezwolić na dostęp do usług Google tylko użytkownikom określonych domen:

  1. Zaloguj się w Konsola administracyjna Google.

    Użyj swojego konta administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Urządzenia a potem Zarządzanie urządzeniami z Chrome.
  3. Kliknij Ustawienia użytkownika i przeglądarki.
  4. Aby zastosować to ustawienie do wszystkich użytkowników, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
  5. Kliknij Interfejs użytkownika a potem Logowanie się na kontach pomocniczych.
  6. Wybierz Zezwalaj użytkownikom na logowanie się tylko w domenach Google Workspace określonych poniżej.
  7. (Opcjonalnie) Aby zobaczyć listę swoich domen, kliknij domeny organizacji pod polem z listą domen.
  8. Wpisz listę wszystkich domen organizacji.
    (Jeśli tego nie zrobisz, użytkownicy mogą nie mieć dostępu do usług Google).
    Uwaga: gserviceaccounts.com to uwzględniona domena konieczna w przypadku uwierzytelnionych kont usługi.
  9. (Opcjonalnie) Aby dołączyć konta Google dla użytkowników indywidualnych, na przykład w domenach @gmail.com i @googlemail.com, wpisz na liście następujący tekst: consumer_accounts.
  10. Kliknij Zapisz.
  11. (Opcjonalnie) Aby uniemożliwić użytkownikom przeglądanie w trybie incognito:
    1. Na stronie głównej w konsoli administracyjnej kliknij Urządzenia a potem Zarządzanie urządzeniami z Chrome.
    2. Kliknij Ustawienia użytkownika i przeglądarki.
    3. Kliknij Tryb incognito a potem Zabroń korzystania z trybu incognito.
      Więcej informacji znajdziesz w sekcji Tryb incognito artykułu o ustawianiu zasad Chrome dotyczących użytkowników lub przeglądarek.
    4. Kliknij Zapisz.
  12. (Opcjonalnie) Rozważ ustawienie dodatkowych zasad dotyczących urządzeń:
    • Ustaw ograniczenie logowania, by na urządzeniach z Chrome OS mogli logować się tylko użytkownicy z Twojej organizacji. Więcej informacji znajdziesz w sekcji Ograniczenie logowania się artykułu o konfigurowaniu zasad dotyczących urządzeń z Chrome.
    • Wyłącz przeglądanie jako gość na urządzeniach. Więcej informacji znajdziesz w sekcji Tryb gościa artykułu o konfigurowaniu zasad dotyczących urządzeń z Chrome.

Zazwyczaj ustawienia są stosowane po kilku minutach. Może jednak minąć nawet godzina, zanim zaczną działać u wszystkich.

Blokowanie kont za pomocą internetowego serwera proxy

Krok 1. Wybierz internetowy serwer proxy

Aby zezwolić użytkownikom w Twojej sieci na uzyskiwanie dostępu do usług Google tylko przy użyciu określonych kont Google z Twojej domeny, potrzebujesz internetowego serwera proxy, który:
  • Będzie dodawał nagłówek do całego ruchu kierowanego na adres google.com – nagłówek identyfikuje domeny, z których użytkownicy mogą uzyskiwać dostęp do usług Google.
  • Obsługuje przechwytywanie transmisji SSL – w związku z tym, że większość ruchu przesyłanego do i z usługi Google jest szyfrowana, serwer proxy musi też obsługiwać przechwytywanie transmisji SSL.

Przeczytaj szczegółowe instrukcje dostawców usług proxy dotyczące blokowania usług Google i wybierz serwer spełniający Twoje wymagania.

Krok 2. Skonfiguruj sieć, aby blokować określone konta

Aby uniemożliwić użytkownikom logowanie się w usługach Google przy użyciu innych kont niż te, które wyraźnie określisz:
  1. Kieruj cały ruch wychodzący do google.com przez swoje internetowe serwery proxy.
  2. Włącz przechwytywanie transmisji szyfrowanych na serwerze proxy.
  3. Skonfiguruj każde urządzenie klienckie w taki sposób, by ufało Twojemu serwerowi proxy SSL:
    1. Wdróż wewnętrzny główny urząd certyfikacji używany przez serwer proxy.
    2. Oznacz go jako zaufany.
  4. Dla każdego żądania związanego z domeną google.com:
    1. Przechwyć żądanie.
    2. Dodaj nagłówek HTTP X-GoogApps-Allowed-Domains: zawierający listę dozwolonych nazw domen rozdzielonych przecinkami.
      Dodaj do listy domenę, która posłużyła do rejestracji konta Google Workspace, i wszelkie domeny dodatkowe.
      Przykład: X-GoogApps-Allowed-Domains: moja_domena_1.com, moja_domena_2.com
  5. Aby umożliwić użytkownikom logowanie się na określonych kontach, dodaj do nagłówka te wartości:
    • nazwa_domeny w przypadku kont w określonych domenach – na przykład altostrat.com i tenorstrat.com dla kont, których nazwa kończy się na @altostrat.com i tenorstrat.com
    • consumer_accounts w przypadku kont Google, na przykład w domenach @gmail.com i @googlemail.com
    • gserviceaccounts.com w przypadku uwierzytelnionych kont usługi
  6. (Opcjonalnie) Utwórz zasady proxy, aby użytkownicy nie mogli wstawiać własnych nagłówków.

Uwaga: ta metoda blokuje logowanie się w usługach Google innych niż wyszukiwarka Google, ale nie musi blokować dostępu anonimowego.

Często zadawane pytania

Co się dzieje, gdy nieautoryzowane konta próbują uzyskać dostęp do usług?

Jeśli użytkownik spróbuje uzyskać dostęp do usług Google z nieautoryzowanego konta, zobaczy stronę internetową, która:
  • Opisuje niedostępną usługę.
  • Wyświetla nieautoryzowane konto, z którego korzysta użytkownik.
  • Wyświetla domeny, w których usługa jest dostępna.
  • Zawiera sugestię skontaktowania się z administratorem w celu uzyskania dodatkowych informacji oraz prośbę o wylogowanie się z nieautoryzowanego konta i zalogowanie się na konto autoryzowane.

Co się dzieje z usługami, które nie wymagają uwierzytelniania?

Google nie prowadzi listy zablokowanych usług. Jeśli dana usługa wymaga zalogowania się na konto, dostęp do niej zostanie zablokowany. Usługi, z których można korzystać bez uwierzytelniania, takie jak wyszukiwarka Google i YouTube, nie zostaną zablokowane.

Dlaczego nie mogę po prostu filtrować ruchu?

Typowym środkiem umożliwiającym zablokowanie dostępu do usług internetowych jest użycie internetowego serwera proxy do filtrowania ruchu skierowanego pod określone adresy URL. Takie rozwiązanie w tym przypadku nie zadziała, bo uprawniony ruch z zarządzanego konta Google użytkownika jest kierowany pod ten sam adres URL co ruch, który chcesz zablokować.



Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?
Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Zaloguj się i uzyskaj dodatkowe informacje, by szybko rozwiązać problem