封鎖個人帳戶的存取權

管理員可能會想禁止使用者透過非指定的帳戶登入 Google 服務。例如,您可能不希望使用者運用個人 Gmail 帳戶或其他網域的受管理 Google 帳戶。

注意:如果您封鎖個人帳戶的存取權,使用者可能會看到下列錯誤訊息:「這個帳戶無法在這個網路內登入」

使用 Chrome 政策封鎖帳戶

如何只允許特定網域的使用者存取 Google 服務:

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [裝置] 接下來 [Chrome 管理服務]
  3. 按一下 [使用者與瀏覽器設定]
  4. 如要為所有使用者套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位
  5. 依序點選 [使用者體驗] 接下來 [登入次要帳戶]
  6. 選取 [僅允許使用者登入下方設定的 Google Workspace 網域]
  7. (選用) 如要查看您的網域清單,請點選網域清單方塊下方的 [機構網域]
  8. 輸入貴機構的所有網域。
    (如果不提供這項資訊,使用者可能無法存取 Google 服務)
    注意:gserviceaccounts.com 是通過驗證的服務帳戶必須加入的網域。
  9. (選用) 如要加入 Google 個人帳戶 (例如 @gmail.com 和 @googlemail.com),請在清單中輸入下列文字:consumer_accounts
  10. 按一下 [儲存]
  11. (選用) 如要禁止使用者使用無痕模式瀏覽:
    1. 在管理控制台首頁中,依序前往 [裝置] 接下來 [Chrome 管理服務]
    2. 按一下 [使用者與瀏覽器設定]
    3. 前往「無痕模式」接下來 [禁止無痕模式]
      詳情請參閱無痕模式
    4. 按一下 [儲存]
  12. (選用) 您可以考慮設定其他裝置政策:
    • 設定登入限制,只允許貴機構的使用者登入搭載 Chrome 作業系統的裝置。詳情請參閱登入限制
    • 關閉裝置上的訪客瀏覽功能。詳情請參閱訪客模式

設定通常會在幾分鐘內生效,但也可能需要經過一小時才會套用到所有使用者的裝置上。

使用網路 Proxy 伺服器封鎖帳戶

步驟 1:選擇網路 Proxy 伺服器

如果要限制您網路上的使用者必須使用網域提供的專屬 Google 帳戶才能存取 Google 服務,您的網路 Proxy 伺服器必須具有下列功能:
  • 為所有導向 google.com 的流量加上標頭:標頭的作用是指出哪些網域的使用者可以存取 Google 服務。
  • 支援安全資料傳輸層 (SSL) 攔截:由於大多數經過您 Google 服務的流量已受到加密保護,因此您的 Proxy 伺服器也必須支援 SSL 攔截。

您可以參考下列 Proxy 服務供應商提供的專屬操作說明,瞭解如何封鎖 Google 服務 (請選取符合您需求的伺服器)。

步驟 2:配置封鎖特定帳戶的網路設定
如要限制使用者只能使用您明確指定的 Google 帳戶登入 Google 服務,而無法使用任何其他帳戶登入,請採取下列步驟:
  1. 將所有外傳到 google.com 的流量導向您的網路 Proxy 伺服器。
  2. 在 Proxy 伺服器上啟用 SSL 攔截。
  3. 將每部用戶端裝置設為信任您的 SSL Proxy:
    1. 部署 Proxy 所使用的「內部根憑證授權單位」。
    2. 將「內部根憑證授權單位」標示為可信任。
  4. 針對每個 google.com 要求:
    1. 攔截要求。
    2. 加上 HTTP 標頭「X-GoogApps-Allowed-Domains:」,接著在後面輸入許可的網域名稱清單,並以半形逗號分隔各個項目。
      這份清單必須包含您註冊 Google Workspace 時使用的網域,以及您過去新增的所有次要網域。
      範例:X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. 如要允許使用者登入特定帳戶,請在標頭中加入下列的值:
    • 如為特定網域的帳戶,請加入 domain_name。舉例來說,如果是 @altostrat.com 和 @tenorstrat.com 結尾的帳戶,請加入 altostrat.comtenorstrat.com
    • 如為 Google 個人帳戶 (例如 @gmail.com 和 @googlemail.com),則需加入 consumer_accounts
    • 如為通過驗證的服務帳戶,請加入 gserviceaccounts.com
  6. (選用) 建立 Proxy 政策,避免使用者自行插入標頭。

注意:

  • 這個方法可以封鎖 Google 個人服務的登入存取權 (Google 搜尋除外),但不一定能禁止匿名存取。
  • 如果您新增 X-GoogApps-Allowed-Domains HTTP 標頭,則使用者透過不在標頭中的網域存取委派信箱時,會看到錯誤訊息。

常見問題

如有未經授權的帳戶試圖存取服務,會發生什麼情況?

如果使用者嘗試透過未經授權的帳戶存取 Google 服務,他們會看到如下方所述的網頁:
  • 列出無法存取的服務
  • 顯示使用者所登入的未經授權帳戶
  • 列出可使用該服務的網域
  • 建議使用者與網路管理員聯絡以便瞭解詳情,同時請使用者登出未經授權的帳戶,再重新透過授權帳戶登入。

如果服務不必經過驗證,會怎麼樣?

Google 不會保留已封鎖的服務清單。凡是需要登入才能使用的服務都會遭到封鎖,無須經過驗證的服務 (例如 Google 搜尋和 YouTube) 則不會遭到封鎖。

為什麼不能直接過濾流量?

封鎖網路服務存取權的常見方法,是使用網路 Proxy 伺服器來過濾導向特定網址的流量。但這種方法不適用於上述的情況,因為來自使用者受管理 Google 帳戶的合法流量會與您要封鎖的流量使用相同網址。

 


Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。

 

這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題