Как заблокировать доступ обычных аккаунтов к сервисам

Как администратор, вы можете запретить доступ к сервисам Google пользователям в вашей корпоративной сети, если они пытаются войти в эти сервисы с помощью личных аккаунтов Gmail или управляемых аккаунтов Google другого домена.

Примечание. Если вы заблокируете доступ для обычных пользователей, они могут получать следующее сообщение об ошибке: "В этот аккаунт нельзя входить в сети, к которой вы подключены".

Как разрешить доступ только из определенных доменов

Чтобы пользователи могли работать с сервисами Google только в аккаунтах, относящихся к указанным вами доменам Google Workspace, выполните следующие действия:

Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
В консоли администратора нажмите на значок меню УстройстваChromeНастройки. По умолчанию откроется страница Настройки пользователей и браузеров.
Если вы зарегистрировались в системе облачного управления браузером Chrome, нажмите на значок меню Браузер ChromeНастройки.
Чтобы применить настройки ко всем пользователям, выберите организационное подразделение верхнего уровня. В обратном случае выберите дочернее подразделение.
Выберите Взаимодействие пользователей с системойВход в дополнительные аккаунты.
Выберите Разрешить пользователям входить только в перечисленные ниже домены Google Workspace.
Введите домены вашей организации.
В противном случае сервисы Google могут быть недоступны для пользователей.
Примечание. В список уже включен gserviceaccounts.com – важный домен для аутентифицированных сервисных аккаунтов.
Если вы хотите включить обычные аккаунты Google, такие как @gmail.com и @googlemail.com, введите в списке следующий текст: consumer_accounts.
Нажмите Сохранить.

Обычно настройки вступают в силу через несколько минут, но иногда этот процесс может занимать до часа.

Что дальше

В разделе "Пользователи и браузеры" можно отключить режим инкогнито. Для этого выберите Режим инкогнитоЗапретить режим инкогнито и нажмите Сохранить. Подробнее о режиме инкогнито…
Чтобы в аккаунт на устройстве Chrome OS могли войти только пользователи организации, задайте правило "Ограничение доступа". Подробнее…
Отключите гостевой режим на устройствах. Подробнее…

Как ограничить доступ к сервисам с помощью прокси-сервера

Шаг 1. Выберите прокси-сервер

Чтобы разрешить доступ к сервисам Google только определенным аккаунтам из вашего домена, требуется прокси-сервер, который:

Добавляет заголовки во все запросы, поступающие на адрес google.com. В заголовках указываются домены, из которых доступ к сервисам Google разрешен.
Поддерживает функции перехвата SSL-трафика. Это необходимо, поскольку основная часть трафика сервисов Google шифруется.

Выберите подходящий прокси-сервер и ознакомьтесь с инструкциями о том, как с помощью него заблокировать сервисы Google.

Шаг 2. Настройте параметры сети для блокировки определенных аккаунтов

Чтобы запретить пользователям доступ к сервисам Google из любых аккаунтов, кроме предоставленных вами, настройте параметры описанным ниже образом.

Направьте весь трафик на адрес google.com через ваши прокси-серверы.
Включите SSL-перехват на прокси-сервере.
Настройте клиентские устройства как доверенные для прокси-сервера SSL.
1. Разверните внутренний корневой сертификат, используемый прокси-сервером.
2. Сделайте этот сертификат доверенным.
Убедитесь, что при отправке запроса на адрес google.com выполняются перечисленные ниже действия.
1. Запрос перехватывается.
2. К нему добавляется HTTP-заголовок X-GoogApps-Allowed-Domains:, за которым следует список разрешенных доменных имен, разделенных запятой.
  Включите в этот список свой домен, зарегистрированный в Google Workspace, а также все добавленные вами дополнительные домены.
  Пример: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
Чтобы разрешить пользователям входить в определенные аккаунты, добавьте к заголовку следующие значения:
- domennoe-imya: для аккаунтов определенных доменов, например altostrat.com и tenorstrat.com для аккаунтов, оканчивающихся на @altostrat.com и @tenorstrat.com.
- consumer_accounts – для обычных аккаунтов Google, таких как @gmail.com и @googlemail.com.
- gserviceaccounts.com – для аутентифицированных сервисных аккаунтов.
Чтобы запретить пользователям вставлять собственные заголовки, создайте соответствующее правило для прокси-сервера.

Примечания

Этот способ позволяет блокировать вход в аккаунты всех пользовательских сервисов Google, кроме Поиска, но не предотвращает анонимный доступ к ним.
Если добавить HTTP-заголовок X-GoogApps-Allowed-Domains, пользователи не смогут получить доступ к делегированным почтовым ящикам из доменов, которые не указаны в заголовке.

Часто задаваемые вопросы

Что произойдет, если неавторизованные аккаунты попытаются получить доступ к сервисам?

При попытке доступа к сервисам Google с неавторизованным аккаунтом пользователь увидит страницу со следующей информацией:

описанием недоступного сервиса;
именем используемого неавторизованного аккаунта;
списком доменов, для которых сервис доступен;
предложением обратиться к администратору за дополнительной информацией, выйти из неавторизованного аккаунта и снова войти с помощью авторизованного.

Что произойдет с сервисами, которые не требуют аутентификации?

Google не хранит список заблокированных сервисов. Если для входа в определенный сервис требуется ввод учетных данных, в доступе будет отказано. Сервисы, которые не требуют аутентификации, например Google Поиск и YouTube, блокироваться не будут.

Почему я не могу фильтровать трафик?

Для блокировки доступа к веб-сервисам обычно используется прокси-сервер, который фильтрует трафик, поступающий на определенные URL. В данном случае такой подход не сработает, поскольку полезный трафик из управляемого аккаунта Google поступает на тот же URL, что и трафик, который требуется отсечь.

_{Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.}

Эта информация оказалась полезной?

Как можно улучшить эту статью?