封鎖個人帳戶的存取權

管理員可能會想禁止使用者透過非指定的帳戶登入 Google 服務。例如，您可能不希望貴公司網路內的使用者使用個人 Gmail 帳戶或其他網域的受管理 Google 帳戶。

注意：如果您封鎖個人帳戶的存取權，使用者可能會看到下列錯誤訊息：「這個帳戶無法在這個網路內登入」。

僅允許特定網域的存取權

如何讓使用者只能使用指定 Google Workspace 網域清單中的帳戶存取 Google 服務：

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「裝置」「Chrome」「設定」。系統會預設開啟「使用者與瀏覽器設定」頁面。
如果您已註冊 Chrome 瀏覽器雲端管理服務，請依序點選「選單」圖示「Chrome 瀏覽器」「設定」。
如要為所有使用者套用設定，請選取頂層機構單位；如果只要為部分使用者套用設定，請選取子機構單位。
依序點選「使用者體驗」「登入次要帳戶」。
選取「僅允許使用者登入下方的網域」。
輸入貴機構的網域。
(如果不提供這項資訊，使用者可能無法存取 Google 服務)
注意：gserviceaccounts.com 是通過驗證的服務帳戶必須加入的網域。
(選用) 如要加入 Google 個人帳戶 (例如結尾是 @gmail.com 和 @googlemail.com 的帳戶)，請在清單中輸入「consumer_accounts」。
按一下「儲存」。

設定通常會在幾分鐘內生效，但也可能需要經過一小時才會套用到所有使用者的帳戶。

如果要限制您網路上的使用者必須使用網域提供的專屬 Google 帳戶才能存取 Google 服務，您的網路 Proxy 伺服器必須具有下列功能：

您可以參考下列 Proxy 服務供應商提供的專屬操作說明，瞭解如何封鎖 Google 服務 (請選取符合您需求的伺服器)。

如要限制使用者只能使用您明確指定的 Google 帳戶登入 Google 服務，而無法使用任何其他帳戶登入，請採取下列步驟：

將所有外傳到 google.com 的流量導向您的網路 Proxy 伺服器。
在 Proxy 伺服器上啟用 SSL 攔截。
將每部用戶端裝置設為信任您的 SSL Proxy：
1. 部署 Proxy 所使用的「內部根憑證授權單位」。
2. 將「內部根憑證授權單位」標示為可信任。
針對每個 google.com 要求：
1. 攔截要求。
2. 加上 HTTP 標頭「X-GoogApps-Allowed-Domains:」，接著在後面輸入許可的網域名稱清單，並以半形逗號分隔各個項目。
  這份清單必須包含您註冊 Google Workspace 時使用的網域，以及您過去新增的所有次要網域。
  範例：X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
如要允許使用者登入特定帳戶，請在標頭中加入下列的值：
- 如為特定網域的帳戶，請加入 domain_name。舉例來說，如果是 @altostrat.com 和 @tenorstrat.com 結尾的帳戶，請加入 altostrat.com 和 tenorstrat.com
- 如為 Google 個人帳戶 (例如 @gmail.com 和 @googlemail.com)，則需加入 consumer_accounts
- 如為通過驗證的服務帳戶，請加入 gserviceaccounts.com
(選用) 建立 Proxy 政策，避免使用者自行插入標頭。

注意：

如果使用者嘗試透過未經授權的帳戶存取 Google 服務，他們會看到如下方所述的網頁：

Google 不會保留已封鎖的服務清單。凡是需要登入才能使用的服務都會遭到封鎖，無須經過驗證的服務 (例如 Google 搜尋和 YouTube) 則不會遭到封鎖。

封鎖網路服務存取權的常見方法，是使用網路 Proxy 伺服器來過濾導向特定網址的流量。但這種方法不適用於上述的情況，因為來自使用者受管理 Google 帳戶的合法流量會與您要封鎖的流量使用相同網址。

_{Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。}

我們應如何改進呢？