Как заблокировать доступ обычных аккаунтов к сервисам

Как администратор, вы можете запретить доступ к сервисам Google для аккаунтов, созданных не вами, например личных аккаунтов Gmail или управляемых аккаунтов Google другого домена.

Примечание. Если вы заблокируете доступ для обычных пользователей, они могут получать следующее сообщение об ошибке: "В этот аккаунт нельзя входить в сети, к которой вы подключены".

Как ограничить доступ к сервисам с помощью правил Chrome

Чтобы разрешить доступ к сервисам Google только для пользователей определенных доменов:

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Устройстваа затемУправление устройствами Chrome OS.
  3. Нажмите Настройки пользователей и браузеров.
  4. Чтобы применить настройки ко всем пользователям, выберите организационное подразделение верхнего уровня. В обратном случае выберите дочернее подразделение.
  5. Выберите Взаимодействие пользователей с системой а затем Вход в дополнительные аккаунты.
  6. Выберите Разрешить пользователям входить только в перечисленные ниже домены Google Workspace.
  7. Если вы хотите посмотреть список своих доменов, нажмите на ссылку домены своей организации под этим полем.
  8. Укажите список всех доменов вашей организации.
    В противном случае сервисы Google могут быть недоступны для пользователей.
    Примечание. gserviceaccounts.com – критически важный домен для аутентифицированных сервисных аккаунтов.
  9. Чтобы включить обычные аккаунты Google, такие как @gmail.com и @googlemail.com, введите в списке следующий текст: consumer_accounts.
  10. Нажмите Сохранить.
  11. При необходимости запретить пользователям работать в режиме инкогнито:
    1. На главной странице консоли администратора выберите Устройстваа затемУправление устройствами Chrome OS.
    2. Нажмите Настройки пользователей и браузеров.
    3. Перейдите в раздел Режим инкогнито а затем Запретить режим инкогнито.
      Подробнее о режиме инкогнито
    4. Нажмите Сохранить.
  12. При необходимости вы можете настроить указанные ниже правила на уровне устройств.
    • Чтобы в аккаунт на устройстве с Chrome OS могли войти только пользователи организации, задайте правило "Ограничение доступа". Подробнее…
    • Отключите гостевой режим на устройствах. Подробнее…

Обычно настройки вступают в силу через несколько минут, но иногда этот процесс может занимать до часа.

Как ограничить доступ к сервисам с помощью прокси-сервера

Шаг 1. Выберите прокси-сервер

Чтобы разрешить доступ к сервисам Google только определенным аккаунтам из вашего домена, требуется прокси-сервер, который:
  • Добавляет заголовки во все запросы, поступающие на адрес google.com. В заголовках указываются домены, из которых доступ к сервисам Google разрешен.
  • Поддерживает функции перехвата SSL-трафика. Это необходимо, поскольку основная часть трафика сервисов Google шифруется.

Выберите подходящий прокси-сервер и ознакомьтесь с инструкциями о том, как с помощью него заблокировать сервисы Google.

Шаг 2. Настройте параметры сети для блокировки определенных аккаунтов
Чтобы запретить пользователям доступ к сервисам Google из любых аккаунтов, кроме предоставленных вами, настройте параметры описанным ниже образом.
  1. Направьте весь трафик на адрес google.com через ваши прокси-серверы.
  2. Включите SSL-перехват на прокси-сервере.
  3. Настройте клиентские устройства как доверенные для прокси-сервера SSL.
    1. Разверните внутренний корневой сертификат, используемый прокси-сервером.
    2. Сделайте этот сертификат доверенным.
  4. Убедитесь, что при отправке запроса на адрес google.com выполняются перечисленные ниже действия.
    1. Запрос перехватывается.
    2. К нему добавляется HTTP-заголовок X-GoogApps-Allowed-Domains:, за которым следует список разрешенных доменных имен, разделенных запятой.
      Включите в этот список свой домен, зарегистрированный в Google Workspace, а также все добавленные вами дополнительные домены.
      Пример: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Чтобы разрешить пользователям входить в определенные аккаунты, добавьте к заголовку следующие значения:
    • domennoe-imya: для аккаунтов определенных доменов, например altostrat.com и tenorstrat.com для аккаунтов, оканчивающихся на @altostrat.com и @tenorstrat.com.
    • consumer_accounts: для обычных аккаунтов Google, таких как @gmail.com и @googlemail.com.
    • gserviceaccounts.com: для аутентифицированных сервисных аккаунтов.
  6. Чтобы запретить пользователям вставлять собственные заголовки, создайте соответствующее правило для прокси-сервера.

Примечания

  • Этот способ позволяет блокировать вход в аккаунты всех пользовательских сервисов Google, кроме Поиска, но не предотвращает анонимный доступ к ним.
  • Если добавить HTTP-заголовок X-GoogApps-Allowed-Domains, пользователи не смогут получить доступ к делегированным почтовым ящикам из доменов, которые не указаны в заголовке.

Часто задаваемые вопросы

Что произойдет, если неавторизованные аккаунты попытаются получить доступ к сервисам?

При попытке доступа к сервисам Google с неавторизованным аккаунтом пользователь увидит страницу со следующей информацией:
  • описанием недоступного сервиса;
  • именем используемого неавторизованного аккаунта;
  • списком доменов, для которых сервис доступен;
  • предложением обратиться к администратору за дополнительной информацией, выйти из неавторизованного аккаунта и снова войти с помощью авторизованного.

Что произойдет с сервисами, которые не требуют аутентификации?

Google не хранит список заблокированных сервисов. Если для входа в определенный сервис требуется ввод учетных данных, в доступе будет отказано. Сервисы, которые не требуют аутентификации, например Google Поиск и YouTube, блокироваться не будут.

Почему я не могу фильтровать трафик?

Для блокировки доступа к веб-сервисам обычно используется прокси-сервер, который фильтрует трафик, поступающий на определенные URL. В данном случае такой подход не сработает, поскольку полезный трафик из управляемого аккаунта Google поступает на тот же URL, что и трафик, который требуется отсечь.

 


Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

 

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.