禁止访问个人用户帐号

作为管理员，您可能想要禁止用户使用您为其提供的帐号以外的其他帐号登录 Google 服务。例如，您可能不希望公司网络内的用户使用个人 Gmail 帐号或其他网域的受管理 Google 帐号。

注意：您禁止访问个人用户帐号后，用户可能会看到以下错误消息：“此帐号不能在此网络中登录”。

仅允许特定网域的访问权限

如要仅允许用户使用一系列指定 Google Workspace 网域中的帐号访问 Google 服务，请执行以下操作：

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标设备Chrome设置。默认情况下，系统会打开用户和浏览器设置页面。
如果您已注册 Chrome 浏览器云管理，请依次点击“菜单”图标 Chrome 浏览器设置。
要将设置应用于所有人，请将顶级单位部门保持为已选中状态。否则，请选择某个下级单位部门。
转到用户体验 登录辅助帐号。
选择仅允许用户登录下方设置的网域。
输入贵单位的域名。
（如果您没有输入所有网域，您的用户可能会无法使用 Google 服务。）
注意：为确保通过了身份验证的服务帐号能够正常访问，gserviceaccounts.com 也应包含在其中。
（可选）如要添加个人用户 Google 帐号（例如以 @gmail.com 和 @googlemail.com 结尾的帐号），请在列表中输入 consumer_accounts。
点击保存。

设置通常会在几分钟后生效，但最长也可能需要 1 小时才能应用到所有用户。

如要仅允许您网络中的用户使用您网域的特定 Google 帐号访问 Google 服务，您需要拥有具备以下功能的网络代理服务器：

请参阅具体说明，了解如何从下列代理服务提供商中屏蔽 Google 服务（请选择符合您需求的服务器）。

要防止用户使用除了您明确指定的帐号以外的其他 Google 帐号登录 Google 服务，请执行以下操作：

通过网络代理服务器将所有出站流量转送至 google.com。
在代理服务器上启用 SSL 拦截。
将每一台客户端设备都配置为信任您的 SSL 代理：
1. 部署代理使用的内部根证书颁发机构。
2. 将代理标记为受信任。
针对每一个 google.com 请求，请执行以下操作：
1. 拦截请求。
2. 添加 HTTP 标头 X-GoogApps-Allowed-Domains:，并在后面加上已获得允许的域名的列表（以英文逗号分隔）。
  请确保该列表包含您注册 Google Workspace 时使用的域名，以及您添加的所有辅助域名。
  示例：X-GoogApps-Allowed-Domains: <我的域名 1>.com, <我的域名 2>.com
如要允许用户登录特定帐号，请在标头中添加以下值：
- domain_name：如要允许用户登录特定网域的帐号，例如以“@altostrat.com”和“tenorstrat.com”结尾的帐号，请输入 altostrat.com 和 tenorstrat.com
- consumer_accounts：如要允许用户登录个人 Google 帐号（例如 @gmail.com 和 @googlemail.com 帐号），请输入“consumer_accounts”
- gserviceaccounts.com：如要允许用户登录通过身份验证的服务帐号，请输入“gserviceaccounts.com”
（可选）创建代理政策，禁止用户自行插入标头。

注意：

如果用户尝试通过未经授权的帐号访问 Google 服务，则会看到显示以下内容的网页：

Google 不会保留已屏蔽的服务的列表。如果有特定服务需要登录，用户将无法访问。不需要身份验证的服务（例如 Google 搜索和 YouTube）不会遭到屏蔽。

禁止访问网络服务的一种常见方法就是使用网络代理服务器过滤定向到特定网址的流量，但这种方法不适合上述情况，因为来自用户受管理的 Google 帐号的合法流量会与您想要禁止的流量转到同一个网址。

_{“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。}

您有什么改进建议？