Blockera åtkomst till konsumentkonton

Som administratör kan du vilja förhindra att användare loggar in på tjänster från Google från andra konton än dem du har försett dem med. Du kanske till exempel inte vill att de ska använda sina personliga Gmail-konton eller hanterade Google-konton från en annan domän.

Använd Chrome-principer för att blockera konton

Om du bara till tillåta användare från specifika domäner att få åtkomst till Googles tjänster på Chromebooks och via andra hanterade Chrome-webbläsare:

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Öppna Enhetshantering följt av Chrome-hantering på startsidan för administratörskonsolen.

    Om du inte ser Enhetshantering på startsidan klickar du på Fler kontroller längst ned.

  3. Klicka på Användarinställningar.
  4. Till vänster väljer du den organisation som innehåller användarna du vill göra inställningar för.
    • Välj organisationen på toppnivå om inställningen ska gälla alla användare.
    • Annars väljer du en underordnad organisation.
      Läs mer om om hur organisationsstrukturen fungerar.
    Viktigt! Om du vill tillämpa principer för Chrome-webbläsaranvändare på Windows-, Mac- eller Linux-datorer ser du till att Chrome-hantering är aktiverat för den här organisationen.
  5. Öppna Användarupplevelse följt av Logga in i webbläsaren.
  6. Välj Tillåt användarna att enbart logga in på de G Suite-domäner som anges nedan.
  7. (Valfritt) Om du vill se en lista över dina domäner klickar du på organisationens domäner i listrutan Domän.
  8. Öppna listan över alla organisationens domäner.
    (Om du inte gör det kan det hända att dina användare inte får åtkomst till Google-tjänster.)
  9. (Valfritt) Om du vill inkludera andra typer av konton anger du följande text i listan:
    • För Google-konsumentkonton, till exempel @gmail.com och @googlemail.com, lägger du till consumer_accounts.
    • För autentiserade tjänstkonton lägger du till gserviceaccounts.com.
  10. (Valfritt) Om du vill hindra användare från att bläddra i inkognitoläge öppnar du Inkognitoläge följt av Tillåt inte inkognitoläge.
    Mer information finns i Inkognitoläge/0}.
  11. Klicka på Spara längst ned.
    Inställningarna tillämpas normalt inom några minuter, Men det kan ta upp till en timme innan de tillämpas för alla.
  12. (Valfritt) Överväg att ange följande enhetsprinciper:
    • Ange en inloggningsbegränsning så att enbart användare i din organisation kan logga in på enheter som kör Chrome OS. Mer information finns i se Inloggningsbegränsning.
    • Stäng av gästbläddring på enheter. Mer information finns i Gästläge.

Använd en webbproxyserver för att blockera konton

Steg 1: Välj en webbproxyserver

Om du bara vill ge användare åtkomst till tjänster från Google med specifika Google-konton från din domän måste du se till att webbproxyservern kan göra följande:
  • Lägga till en en rubrik i all trafik som dirigeras till google.com – rubriken identifierar domänerna vars användare kan komma åt Googles tjänster.
  • Stöd för SSL-ingrepp – eftersom den mesta trafiken via Google-tjänsten är krypterad måste proxyservern också ha stöd för SSL-ingrepp.

Läs specifika anvisningar om hur du spärrar Googles tjänster från följande proxytjänstleverantörer genom att välja en server som uppfyller dina behov.

Steg 2: Konfigurera nätverket för att blockera vissa konton

Så här förhindrar du att användare loggar in på tjänster från Google med andra Google-konton än dem du uttryckligen tillåter:
  1. Dirigera all utgående trafik till google.com genom dina webbproxyservrar.
  2. Aktivera SSL-ingrepp på proxyservern.
  3. Konfigurera samtliga klientenheter för att lita på din SSL-proxy.
    1. Implementera den interna rotcertifikatutfärdare som används av proxyn.
    2. Markera den som betrodd.
  4. För varje begäran på google.com:
    1. Gör ett ingrepp i begäran.
    2. Lägg till HTTP-rubriken X-GoogApps-Allowed-Domains: följt av en kommaseparerad lista med tillåtna domännamn.
      Se till att listan inkluderar domänen som du registrerade för G Suite och alla eventuella sekundära domäner som du har lagt till.
      Exempel: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Lägg till följande värden i rubriken om du vill tillåta användare att logga in på specifika konton:
    • domain_name för konton på specifika domäner, som altostrat.com och tenorstrat.com för konton som slutar på @ altostrat.com och tenorstrat.com
    • consumer_accounts för Google-konsumentkonton, till exempel @gmail.com och @googlemail.com
    • gserviceaccounts.com för autentiserade tjänstkonton
  6. (Valfritt) Skapa en proxyprincip för att förhindra att användare lägger in egna rubriker.

Obs! Detta tillvägagångssätt blockerar inloggningsåtkomst till andra konsumenttjänster från Google än Google Sök, men det förbjuder inte nödvändigtvis anonym åtkomst.

Vanliga frågor

Vad händer om obehöriga konton försöker få åtkomst till tjänster?

Om en användare försöker komma åt Google-tjänster från ett otillåtet konto visas en webbsida som:
  • beskriver tjänsten som inte är tillgänglig
  • visar det obehöriga kontot som används
  • visar de domäner där tjänsten inte är tillgänglig
  • föreslår att användaren kontaktar nätverksadministratören för mer information samt loggar ut från det obehöriga kontot och loggar in igen med ett behörigt.

Vad händer med tjänster som inte behöver autentisering?

Google har ingen lista över blockerade tjänster. Om en viss tjänst kräver inloggning blir åtkomsten blockerad. Tjänster som inte kräver autentisering, till exempel Google Sök och YouTube, blockeras inte.

Varför kan jag inte bara filtrera trafiken i stället?

Ett vanligt sätt att blockera tillgången till webbtjänster är att använda en serverwebbproxy som filtrerar trafik riktad till vissa webbadresser. Detta tillvägagångssätt fungerar inte i det här fallet eftersom legitim trafik från en användares hanterade Google-konto går till samma webbadress som den trafik du vill blockera.
Var det här till hjälp?
Hur kan vi förbättra den?