Blockera åtkomst till konsumentkonton

Som administratör kan du vilja förhindra att användare loggar in på tjänster från Google från andra konton än dem du har försett dem med. Du kanske till exempel inte vill att användare i företagsnätverket ska använda sina personliga Gmail-konton eller hanterade Google-konton från en annan domän.

Obs! När du blockerar åtkomst till konsumentkonton kan användarna se följande felmeddelande: ”Det här kontot får inte logga in i nätverket”.

Tillåt endast åtkomst från specifika domäner

Ge användare åtkomst till Google-tjänster med ett konto enbart från en lista med angivna Google Workspace-domäner:

Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
I administratörskonsolen öppnar du menyn EnheterChromeInställningar. Sidan Inställningar för användare och webbläsare öppnas som standard.
Om du har registrerat dig för Chrome Browser Cloud Management öppnar du menyn Webbläsaren ChromeInställningar.
Om du vill att inställningen ska gälla alla väljer du organisationsenheten på den högsta nivån. Välj annars en underordnad organisationsenhet.
Öppna Användarupplevelse Logga in på sekundära kontot.
Välj Tillåt användarna att enbart logga in på domänerna nedan.
Ange organisationens domäner.
(Om du inte gör det kan det hända att dina användare inte får åtkomst till Google-tjänster.)
Obs! gserviceaccounts.com ingår och är nödvändig för autentiserade tjänstkonton.
(Valfritt) Ange consumer_accounts på listan om du vill inkludera Google-konsumentkonton, exempelvis de som slutar på @gmail.com och @googlemail.com.
Klicka på Spara.

Inställningarna tillämpas normalt inom några minuter. Det kan dock ta upp till en timme innan de tillämpas för alla.

Nästa steg

Via inställningarna för användare och webbläsare kan du även förhindra att användarna surfar i inkognitoläge. Öppna InkognitolägeTillåt inte inkognitoläge och klicka på Spara. Mer information finns i Inkognitoläge.
Ange en inloggningsbegränsning så att enbart användare i din organisation kan logga in på enheter som kör Chrome OS. Mer information finns i Inloggningsbegränsning.
Stäng av gästsessioner på enheter. Mer information finns i Gästläge.

Använd en webbproxyserver för att blockera konton

Steg 1: Välj en webbproxyserver

Om du bara vill ge användare åtkomst till tjänster från Google med specifika Google-konton från din domän måste du se till att webbproxyservern kan göra följande

Lägga till en rubrik i all trafik som dirigeras till google.com – rubriken identifierar domänerna vars användare kan komma åt Googles tjänster.
Stöd för SSL-ingrepp – eftersom den mesta trafiken via Google-tjänsten är krypterad måste proxyservern också ha stöd för SSL-ingrepp.

Läs specifika anvisningar om hur du spärrar Googles tjänster från följande proxytjänstleverantörer genom att välja en server som uppfyller dina behov.

Steg 2: Konfigurera nätverket för att blockera vissa konton

Så här förhindrar du att användare loggar in på tjänster från Google med andra Google-konton än dem du uttryckligen tillåter:

Dirigera all utgående trafik till google.com genom dina webbproxyservrar.
Aktivera SSL-ingrepp på proxyservern.
Konfigurera samtliga klientenheter för att lita på din SSL-proxy:
1. Implementera den interna rotcertifikatutfärdare som används av proxyn.
2. Markera den som betrodd.
För varje begäran på google.com:
1. Gör ett ingrepp i begäran.
2. Lägg till HTTP-rubriken X-GoogApps-Allowed-Domains: följt av en kommaseparerad lista med tillåtna domännamn.
  Se till att listan inkluderar domänen som du registrerade för Google Workspace och eventuella sekundära domäner som du har lagt till.
  Exempel: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
Lägg till följande värden i rubriken om du vill tillåta användare att logga in på specifika konton:
- domain_name för konton på specifika domäner, som altostrat.com och tenorstrat.com för konton som slutar på @altostrat.com och tenorstrat.com
- consumer_accounts för Google-konsumentkonton, till exempel @gmail.com och @googlemail.com
- gserviceaccounts.com för autentiserade tjänstkonton
(Valfritt) Skapa en proxyprincip för att förhindra att användare lägger in egna rubriker.

Obs!

Detta tillvägagångssätt blockerar inloggningsåtkomst till andra konsumenttjänster från Google än Google Sök, men det förbjuder inte nödvändigtvis anonym åtkomst.
När du lägger till HTTP-rubriken X-GoogApps-Allowed-Domains ser användarna fel om åtkomst till delegerade postlådor från en domän som inte finns i rubriken.

Vanliga frågor

Vad händer om obehöriga konton försöker få åtkomst till tjänster?

Om en användare försöker komma åt Google-tjänster från ett otillåtet konto visas en webbsida som:

beskriver tjänsten som inte är tillgänglig
visar det obehöriga kontot som används
visar de domäner där tjänsten är tillgänglig
föreslår att användaren kontaktar nätverksadministratören för mer information samt loggar ut från det obehöriga kontot och loggar in igen med ett behörigt.

Vad händer med tjänster som inte behöver autentisering?

Google har ingen lista över blockerade tjänster. Om en viss tjänst kräver inloggning blir åtkomsten blockerad. Tjänster som inte kräver autentisering, till exempel Google Sök och YouTube, blockeras inte.

Varför kan jag inte bara filtrera trafiken i stället?

Ett vanligt sätt att blockera tillgången till webbtjänster är att använda en serverwebbproxy som filtrerar trafik riktad till vissa webbadresser. Detta tillvägagångssätt fungerar inte i det här fallet eftersom legitim trafik från en användares hanterade Google-konto går till samma webbadress som den trafik du vill blockera.

_{Google, Google Workspace och relaterade märken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är kopplade till.}

Var det här till hjälp?

Hur kan vi förbättra den?