ในฐานะผู้ดูแลระบบ คุณอาจต้องการป้องกันไม่ให้ผู้ใช้ลงชื่อเข้าใช้บริการของ Google โดยใช้บัญชีอื่นนอกเหนือจากที่คุณให้ไว้ เช่น คุณอาจไม่ต้องการให้ผู้ใช้ในเครือข่ายบริษัทใช้บัญชี Gmail ส่วนตัวหรือบัญชี Google ที่มีการจัดการจากโดเมนอื่น
หมายเหตุ: เมื่อคุณบล็อกไม่ให้บัญชีผู้ใช้ทั่วไปเข้าถึง ผู้ใช้อาจเห็นข้อความแสดงข้อผิดพลาดระบุว่า "ระบบไม่อนุญาตให้บัญชีนี้ลงชื่อเข้าใช้ภายในเครือข่ายนี้"
อนุญาตสิทธิ์เข้าถึงจากโดเมนที่ระบุเท่านั้น
หากต้องการอนุญาตให้ผู้ใช้เข้าถึงบริการของ Google ได้โดยใช้บัญชีในรายการโดเมน Google Workspace ที่ระบุเท่านั้น ให้ทำดังนี้
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู อุปกรณ์Chromeการตั้งค่าผู้ใช้และเบราว์เซอร์
- หากต้องการใช้การตั้งค่ากับทุกคน ให้เลือกหน่วยขององค์กรระดับบนสุด หรือเลือกหน่วยขององค์กรระดับล่าง
- ไปที่ประสบการณ์ของผู้ใช้ลงชื่อเข้าใช้บัญชีสำรอง
- เลือกอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ในโดเมนด้านล่างนี้เท่านั้น
- ป้อนโดเมนขององค์กร
(ไม่เช่นนั้นผู้ใช้อาจเข้าถึงบริการของ Google ไม่ได้)
หมายเหตุ: ระบบรวม gserviceaccounts.com ไว้ด้วย ซึ่งเป็นโดเมนที่สำคัญสำหรับบัญชีบริการที่ตรวจสอบสิทธิ์แล้ว - (ไม่บังคับ) หากต้องการรวมบัญชี Google สําหรับผู้ใช้ทั่วไปไว้ในรายการด้วย เช่น บัญชีที่ลงท้ายด้วย @gmail.com และ @googlemail.com ให้ป้อน consumer_accounts ไว้ในรายการ
- คลิกบันทึก
โดยทั่วไปการตั้งค่าจะมีผลภายในไม่กี่นาที แต่อาจใช้เวลาถึง 1 ชั่วโมงจึงจะมีผลกับทุกคน
ขั้นตอนถัดไป
- คุณยังสามารถป้องกันไม่ให้ผู้ใช้ท่องเว็บในโหมดไม่ระบุตัวตนได้อีกด้วย โดยใช้การตั้งค่าผู้ใช้และเบราว์เซอร์ ไปที่โหมดไม่ระบุตัวตนไม่อนุญาตให้ใช้โหมดไม่ระบุตัวตน แล้วคลิกบันทึก โปรดดูรายละเอียดที่โหมดไม่ระบุตัวตน
- กำหนดข้อจำกัดในการลงชื่อเข้าใช้เพื่อจำกัดให้มีแต่เฉพาะผู้ใช้ในองค์กรเท่านั้นที่ลงชื่อเข้าใช้อุปกรณ์ที่ใช้ Chrome OS ได้ โปรดดูรายละเอียดในข้อจำกัดในการลงชื่อเข้าใช้
- ปิดการท่องเว็บในโหมดผู้มาเยือนในอุปกรณ์ โปรดดูรายละเอียดที่โหมดผู้มาเยือน
ใช้เว็บพร็อกซีเซิร์ฟเวอร์เพื่อบล็อกบัญชี
ขั้นที่ 1: เลือกเว็บพร็อกซีเซิร์ฟเวอร์
- เพิ่มส่วนหัวในการรับส่งทั้งหมดกับ google.com ส่วนหัวจะระบุโดเมนผู้ใช้ที่เข้าถึงบริการของ Google ได้
- การรองรับการสกัดกั้น SSL เนื่องจากการรับส่งของบริการ Google ส่วนใหญ่มีการเข้ารหัส พร็อกซีเซิร์ฟเวอร์ของคุณจะต้องรองรับการสกัดกั้น SSL ด้วย
โปรดอ่านวิธีบล็อกบริการของ Google จากผู้ให้บริการพร็อกซีต่อไปนี้โดยเลือกเซิร์ฟเวอร์ที่ตรงกับความต้องการของคุณ
- กำหนดเส้นทางการรับส่งขาออกทั้งหมดไปที่ google.com ผ่านเว็บพร็อกซีเซิร์ฟเวอร์
- เปิดใช้การสกัดกั้น SSL ในพร็อกซีเซิร์ฟเวอร์
- กำหนดค่าอุปกรณ์ไคลเอ็นต์ทั้งหมดให้เชื่อถือพร็อกซี SSL
- ทำให้ Internal Root Certificate Authority ที่พร็อกซีใช้ใช้งานได้
- ทำเครื่องหมายว่าเชื่อถือได้
- สำหรับคำขอ google.com แต่ละรายการ ให้ทำดังนี้
- สกัดกั้นคำขอ
- เพิ่มส่วนหัว HTTP เป็น X-GoogApps-Allowed-Domains: ตามด้วยรายการที่คั่นด้วยคอมมาซึ่งระบุชื่อโดเมนที่อนุญาต
ตรวจสอบว่ารายการมีโดเมนที่จดทะเบียนกับ Google Workspace และโดเมนรองทั้งหมดที่คุณอาจเพิ่มไว้
เช่นX-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
- หากต้องการอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้บัญชีที่ต้องการ ให้เพิ่มค่าต่อไปนี้ในส่วนหัว
- domain_name สำหรับบัญชีในโดเมนที่ระบุ เช่น altostrat.com และ tenorstrat.com สำหรับบัญชีที่ลงท้ายด้วย @altostrat.com และ tenorstrat.com
- consumer_accounts สำหรับบัญชี Google สำหรับผู้ใช้ทั่วไป เช่น @gmail.com และ @googlemail.com
- gserviceaccounts.com สำหรับบัญชีบริการที่ตรวจสอบสิทธิ์แล้ว
- (ไม่บังคับ) สร้างนโยบายของพร็อกซีเพื่อป้องกันไม่ให้ผู้ใช้แทรกส่วนหัวด้วยตนเอง
หมายเหตุ:
- วิธีนี้จะบล็อกสิทธิ์ลงชื่อเข้าใช้บริการสำหรับผู้ใช้ทั่วไปของ Google ที่นอกเหนือจาก Google Search แต่ไม่ได้ป้องกันการเข้าถึงโดยไม่ระบุชื่อ
- เมื่อเพิ่มส่วนหัว HTTP โดยระบุ X-GoogApps-Allowed-Domains ผู้ใช้จะพบข้อผิดพลาดในการเข้าถึงกล่องจดหมายที่ได้รับสิทธิ์จากโดเมนที่ไม่อยู่ในส่วนหัว
คำถามที่พบบ่อย
จะเกิดอะไรขึ้นหากบัญชีที่ไม่ได้รับอนุญาตพยายามเข้าถึงบริการ
- อธิบายเกี่ยวกับบริการที่ใช้งานไม่ได้
- แสดงให้เห็นว่าบัญชีที่ใช้งานอยู่เป็นบัญชีที่ไม่ได้รับอนุญาต
- แสดงรายการโดเมนที่ใช้บริการได้
- แนะนำให้ผู้ใช้ติดต่อผู้ดูแลเครือข่ายเพื่อขอข้อมูลเพิ่มเติมและออกจากระบบบัญชีที่ไม่ได้รับอนุญาต รวมถึงให้ลงชื่อเข้าใช้ด้วยบัญชีที่ได้รับอนุญาต
จะเกิดอะไรขึ้นกับบริการที่ไม่ต้องมีการตรวจสอบสิทธิ์
ทำไมถึงกรองการเข้าชมแทนไม่ได้
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง