禁止访问个人用户帐号

作为管理员,您可能想要禁止用户使用您为其提供的帐号以外的其他帐号登录 Google 服务。例如,您可能不希望用户使用个人 Gmail 帐号或其他网域的受管理 Google 帐号。

注意:您禁止访问个人用户帐号后,用户可能会看到以下错误消息:“此帐号不能在此网络中登录”

使用 Chrome 政策屏蔽帐号

要仅允许特定网域的用户使用 Google 服务,请执行以下操作:

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到设备 接着点击 Chrome 管理
  3. 点击用户和浏览器设置
  4. 要将设置应用于所有人,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门
  5. 转到用户体验 接着点击 登录辅助帐号
  6. 选择仅允许用户登录下方设置的 Google Workspace 网域
  7. (可选)如要查看您的网域列表,请点击网域列表框下方的单位网域
  8. 输入您单位的所有网域的列表。
    (如果您没有输入所有网域,您的用户可能会无法使用 Google 服务。)
    注意:请务必为通过了身份验证的服务帐号输入 gserviceaccounts.com
  9. 如需添加 @gmail.com 和 @googlemail.com 一类的个人用户 Google 帐号,请在列表中输入以下内容:consumer_accounts
  10. 点击保存
  11. (可选)要禁止用户在无痕模式下浏览内容,请执行以下操作:
    1. 在管理控制台首页,转到设备 接着点击 Chrome 管理
    2. 点击用户和浏览器设置
    3. 转到无痕模式 接着点击 不允许使用无痕模式
      有关详情,请参阅无痕模式
    4. 点击保存
  12. (可选)您可以考虑设置其他设备政策:
    • 设置登录限制,仅允许您单位中的用户登录运行 Chrome 操作系统的设备。有关详情,请参阅登录限制
    • 关闭设备上的访客浏览功能。有关详情,请参阅访客模式

设置通常会在几分钟后生效,但最长也可能需要 1 小时才能应用到所有用户。

使用网络代理服务器屏蔽帐号

第 1 步:选择网络代理服务器

如要仅允许您网络中的用户使用您网域的特定 Google 帐号访问 Google 服务,您需要拥有具备以下功能的网络代理服务器:
  • 可为定向至 google.com 的所有流量添加标头 - 标头的作用是识别可访问 Google 服务的用户所属的网域。
  • 支持 SSL 拦截 - 由于大多数 Google 服务流量已经过加密,所以您的代理服务器也需要支持 SSL 拦截。

请参阅具体说明,了解如何从下列代理服务提供商中屏蔽 Google 服务(请选择符合您需求的服务器)。

第 2 步:配置网络以屏蔽特定帐号
要防止用户使用除了您明确指定的帐号以外的其他 Google 帐号登录 Google 服务,请执行以下操作:
  1. 通过网络代理服务器将所有出站流量转送至 google.com。
  2. 在代理服务器上启用 SSL 拦截。
  3. 将每一台客户端设备都配置为信任您的 SSL 代理:
    1. 部署代理使用的内部根证书颁发机构。
    2. 将代理标记为受信任。
  4. 针对每一个 google.com 请求,请执行以下操作:
    1. 拦截请求。
    2. 添加 HTTP 标头 X-GoogApps-Allowed-Domains:,并在后面加上已获得允许的域名的列表(以英文逗号分隔)。
      请确保该列表包含您注册 Google Workspace 时使用的域名,以及您添加的所有辅助域名。
      示例:X-GoogApps-Allowed-Domains: <我的域名 1>.com, <我的域名 2>.com
  5. 如要允许用户登录特定帐号,请在标头中添加以下值:
    • domain_name:如要允许用户登录特定网域的帐号,例如以“@altostrat.com”和“tenorstrat.com”结尾的帐号,请输入 altostrat.comtenorstrat.com
    • consumer_accounts:如要允许用户登录个人 Google 帐号(例如 @gmail.com 和 @googlemail.com 帐号),请输入“consumer_accounts”
    • gserviceaccounts.com:如要允许用户登录通过身份验证的服务帐号,请输入“gserviceaccounts.com”
  6. (可选)创建代理政策,禁止用户自行插入标头。

注意

  • 通过这种方式可禁止用户登录除 Google 搜索以外的 Google 个人用户服务,但不一定能禁止匿名访问。
  • 如果您添加了 X-GoogApps-Allowed-Domains HTTP 标头,则用户通过标头中未包含的网域访问委托的邮箱时会看到错误提示。

常见问题

如果未经授权的帐号尝试访问服务会怎么样?

如果用户尝试通过未经授权的帐号访问 Google 服务,则会看到显示以下内容的网页:
  • 对不可用的服务的说明
  • 用户使用的未经授权的帐号
  • 可使用相应服务的网域列表
  • 给用户的建议:让用户与网络管理员联系以了解详情,同时请他们先退出未经授权的帐号,然后再使用已获得授权的帐号登录

不需要身份验证的服务会怎么样?

Google 不会保留已屏蔽的服务的列表。如果有特定服务需要登录,用户将无法访问。不需要身份验证的服务(例如 Google 搜索和 YouTube)不会遭到屏蔽。

为什么不能直接过滤流量?

禁止访问网络服务的一种常见方法就是使用网络代理服务器过滤定向到特定网址的流量,但这种方法不适合上述情况,因为来自用户受管理的 Google 帐号的合法流量会与您想要禁止的流量转到同一个网址。

 


“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。

 

该内容对您有帮助吗?
您有什么改进建议?

需要更多帮助?

登录可获取更多支持选项,以便快速解决您的问题