Bloquer l'accès aux comptes personnels

En tant qu'administrateur, vous souhaiterez certainement empêcher les utilisateurs de se connecter à des services Google à l'aide d'autres comptes que ceux que vous mettez à leur disposition. Par exemple, vous pouvez empêcher les utilisateurs de votre réseau d'entreprise d'utiliser leur compte Gmail personnel ou un compte Google géré appartenant à un autre domaine.

Remarque : Lorsque vous bloquez l'accès aux comptes personnels, le message d'erreur "Ce compte n'est pas autorisé à se connecter au sein de ce réseau" peut s'afficher.

Autoriser l'accès uniquement depuis des domaines spécifiques

Pour autoriser les utilisateurs à accéder aux services Google à l'aide d'un compte uniquement à partir d'une liste de domaines Google Workspace spécifiés :

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu puis AppareilspuisChromepuisParamètres. La page Paramètres des utilisateurs et du navigateur s'ouvre par défaut.

    Si vous vous êtes inscrit à la gestion cloud du navigateur Chrome, accédez à Menu puis Navigateur ChromepuisParamètres.

  3. Pour appliquer le paramètre à tous les utilisateurs, vérifiez que l'unité organisationnelle racine est sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  4. Accédez à Expérience utilisateur puis Connexion aux comptes secondaires.
  5. Sélectionnez Autoriser les utilisateurs à se connecter uniquement aux domaines Google Workspace définis ci-dessous.
  6. Saisissez les domaines de votre organisation.
    Si vous ne le faites pas, les utilisateurs pourraient ne pas avoir accès aux services Google.
    Remarque : gserviceaccounts.com, qui fait partie de ces domaines, est essentiel aux comptes de service authentifiés.
  7. (Facultatif) Pour inclure les comptes Google grand public tels que ceux se terminant par @gmail.com et @googlemail.com, saisissez consumer_accounts dans la liste.
  8. Cliquez sur Enregistrer.

En principe, les paramètres sont appliqués en quelques minutes. Toutefois, leur propagation à tous les comptes utilisateur peut prendre jusqu'à une heure.

Étapes suivantes

  • Sous "Paramètres des utilisateurs et du navigateur", vous pouvez également empêcher les utilisateurs de naviguer en mode navigation privée. Accédez à Mode navigation privéepuisInterdire le mode navigation privée, puis cliquez sur Enregistrer. Pour en savoir plus, consultez Mode navigation privée.
  • Définissez une restriction de connexion afin que seuls les utilisateurs de votre organisation puissent se connecter aux appareils exécutant Chrome OS. Pour en savoir plus, consultez Restriction de connexion.
  • Désactivez la navigation en tant qu'invité sur les appareils. Pour en savoir plus, consultez Mode Invité.

Bloquer des comptes à l'aide d'un serveur proxy Web

Étape 1 : Choisissez un serveur proxy Web

Pour autoriser les utilisateurs de votre réseau à accéder aux services Google uniquement à l'aide de certains comptes Google de votre domaine, vous devez disposer d'un serveur proxy Web permettant :
  • l'ajout d'un en-tête à l'ensemble du trafic dirigé vers google.com, afin de désigner les domaines à partir desquels les utilisateurs peuvent accéder aux services Google ;
  • de permettre l'interception du trafic SSL : sachant que le trafic dans votre service Google est généralement chiffré, votre serveur proxy doit également permettre l'interception du trafic SSL.

Consultez les instructions relatives aux fournisseurs de services proxy suivants pour savoir comment bloquer les services Google et choisir un serveur répondant à vos besoins.

Étape 2 : Configurez le réseau de façon à bloquer certains comptes
Pour empêcher les utilisateurs de se connecter aux services Google avec des comptes Google autres que ceux explicitement spécifiés :
  1. Dirigez l'ensemble du trafic destiné à google.com vers vos serveurs proxy.
  2. Activez l'interception SSL sur le serveur proxy.
  3. Configurez chaque appareil client afin qu'il fasse confiance à votre proxy SSL :
    1. Déployez l'autorité de certification racine interne utilisée par le proxy.
    2. Marquez-la comme étant de confiance.
  4. Pour chaque requête google.com :
    1. Interceptez la requête.
    2. Ajoutez l'en-tête HTTP X-GoogApps-Allowed-Domains, suivi d'une liste des noms de domaine autorisés, séparés par des virgules.
      Veillez à ce que cette liste comprenne bien le domaine avec lequel vous vous êtes inscrit à Google Workspace, ainsi que tous les domaines secondaires que vous avez ajoutés.
      Exemple : X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Pour permettre aux utilisateurs de se connecter à des comptes spécifiques, ajoutez les valeurs suivantes à l'en-tête :
    • domain_name pour les comptes sur des domaines spécifiques, tels que altostrat.com et tenorstrat.com pour les comptes se terminant par @altostrat.com et @tenorstrat.com
    • consumer_accounts pour les comptes Google grand public, tels que @gmail.com et @googlemail.com
    • gserviceaccounts.com pour les comptes de service authentifiés
  6. (Facultatif) Créez une règle de proxy pour empêcher les utilisateurs d'insérer leurs propres en-têtes.

Remarques :

  • Cette méthode permet de bloquer l'accès aux services Google grand public en tant qu'utilisateur connecté, à l'exception de la recherche Google. Mais elle n'empêche pas d'accéder à ces services de façon anonyme.
  • Lorsque vous ajoutez l'en-tête HTTP X-GoogApps-Allowed-Domains, les utilisateurs voient s'afficher des erreurs s'ils accèdent à des boîtes aux lettres déléguées dont le domaine n'est pas inclus dans l'en-tête.

Questions fréquentes

Que se passe-t-il si des comptes non autorisés tentent d'accéder aux services ?

Si un utilisateur tente d'accéder aux services Google à partir d'un compte non autorisé, une page Web s'affiche. Celle-ci :
  • décrit le service indisponible ;
  • affiche le compte non autorisé de l'utilisateur ;
  • répertorie les domaines pour lesquels le service est disponible ;
  • lui suggère de contacter un administrateur réseau pour obtenir plus d'informations, de se déconnecter du compte non autorisé et de se connecter avec un compte autorisé.

Que se passe-t-il avec les services pour lesquels l'authentification n'est pas requise ?

Google ne tient pas de liste des services bloqués. Si un service précis nécessite une connexion, l'accès est bloqué. Les services ne nécessitant pas d'authentification, tels que la recherche Google et YouTube, ne sont pas bloqués.

Pourquoi ne puis-je pas simplement filtrer le trafic ?

La méthode la plus courante pour bloquer l'accès consiste à accéder aux services Web via un serveur proxy filtrant le trafic destiné à certaines URL. Ici, cette méthode ne peut pas être appliquée, car le trafic légitime du compte Google géré d'un utilisateur est acheminé vers la même URL que le trafic que vous souhaitez bloquer.

 


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

 

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
15751276856528587019
true
Rechercher dans le centre d'aide
true
true
true
false
false