บล็อกการเข้าถึงบัญชีผู้ใช้ทั่วไป

ในฐานะผู้ดูแลระบบ คุณอาจต้องการป้องกันไม่ให้ผู้ใช้ลงชื่อเข้าใช้บริการของ Google โดยใช้บัญชีอื่นนอกเหนือจากที่คุณให้ไว้ เช่น คุณอาจไม่ต้องการให้ผู้ใช้ใช้บัญชี Gmail ส่วนตัวหรือบัญชี Google ที่มีการจัดการจากโดเมนอื่น

ใช้นโยบาย Chrome เพื่อบล็อกบัญชี

วิธีอนุญาตให้ผู้ใช้จากโดเมนที่ต้องการเข้าถึงบริการของ Google มีดังนี้

  1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

    ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)

  2. จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่อุปกรณ์แล้วการจัดการ Chrome

    หากคุณไม่เห็นอุปกรณ์ในหน้าแรก ให้คลิกการควบคุมเพิ่มเติมที่ด้านล่าง

  3. คลิกการตั้งค่าผู้ใช้และเบราว์เซอร์
  4. หากต้องการใช้การตั้งค่ากับทุกคน ให้เลือกหน่วยขององค์กรระดับบนสุด หรือเลือกหน่วยขององค์กรระดับล่าง
  5. ไปที่ประสบการณ์ของผู้ใช้ แล้ว ลงชื่อเข้าใช้บัญชีสำรอง
  6. เลือกอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ได้เฉพาะโดเมนของ G Suite ที่กำหนดไว้ด้านล่าง
  7. (ไม่บังคับ) หากต้องการดูรายการโดเมน ให้คลิกโดเมนขององค์กรภายใต้กล่องรายการโดเมน
  8. ป้อนรายชื่อโดเมนขององค์กรทั้งหมด
    (ไม่เช่นนั้นผู้ใช้อาจเข้าถึงบริการของ Google ไม่ได้)
  9. (ไม่บังคับ) หากต้องการรวมบัญชีประเภทอื่นๆ ให้ป้อนข้อความต่อไปนี้ในรายการ
    • สำหรับบัญชี Google ของผู้ใช้ทั่วไป เช่น @gmail.com และ @googlemail.com ให้เพิ่ม consumer_accounts
    • สำหรับบัญชีบริการที่ได้รับการตรวจสอบสิทธิ์ ให้เพิ่ม gserviceaccounts.com
  10. คลิกบันทึก
  11. (ไม่บังคับ) ขั้นตอนในการป้องกันไม่ให้ผู้ใช้เรียกดูในโหมดไม่ระบุตัวตน
    1. จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่อุปกรณ์แล้วการจัดการ Chrome

      หากคุณไม่เห็นอุปกรณ์ในหน้าแรก ให้คลิกการควบคุมเพิ่มเติมที่ด้านล่าง

    2. คลิกการตั้งค่าผู้ใช้และเบราว์เซอร์
    3. ไปที่โหมดไม่ระบุตัวตน แล้ว ไม่อนุญาตให้ใช้โหมดไม่ระบุตัวตน
      โปรดดูรายละเอียดที่โหมดไม่ระบุตัวตน
    4. คลิกบันทึก
  12. (ไม่บังคับ) พิจารณาการตั้งค่านโยบายด้านอุปกรณ์เพิ่มเติมดังนี้
    • กำหนดข้อจำกัดในการลงชื่อเข้าใช้เพื่อจำกัดให้มีแต่เฉพาะผู้ใช้ในองค์กรเท่านั้นที่ลงชื่อเข้าใช้อุปกรณ์ที่ใช้ Chrome OS ได้ โปรดดูรายละเอียดในข้อจำกัดในการลงชื่อเข้าใช้
    • ปิดการท่องเว็บในโหมดผู้มาเยือนในอุปกรณ์ โปรดดูรายละเอียดที่โหมดผู้มาเยือน

โดยทั่วไปการตั้งค่าจะมีผลภายในไม่กี่นาที แต่อาจใช้เวลาถึง 1 ชั่วโมงจึงจะมีผลกับทุกคน

ใช้เว็บพร็อกซีเซิร์ฟเวอร์เพื่อบล็อกบัญชี

ขั้นที่ 1: เลือกเว็บพร็อกซีเซิร์ฟเวอร์

หากต้องการอนุญาตให้ผู้ใช้ในเครือข่ายเข้าถึงบริการของ Google โดยใช้บัญชี Google ที่ต้องการจากโดเมนเท่านั้น คุณต้องใช้เว็บพร็อกซีเซิร์ฟเวอร์เพื่อสิ่งต่อไปนี้
  • เพิ่มส่วนหัวในการรับส่งทั้งหมดกับ google.com ส่วนหัวจะระบุโดเมนผู้ใช้ที่เข้าถึงบริการของ Google ได้
  • การรองรับการสกัดกั้น SSL เนื่องจากการรับส่งของบริการ Google ส่วนใหญ่มีการเข้ารหัส พร็อกซีเซิร์ฟเวอร์ของคุณจะต้องรองรับการสกัดกั้น SSL ด้วย

โปรดอ่านวิธีบล็อกบริการของ Google จากผู้ให้บริการพร็อกซีต่อไปนี้โดยเลือกเซิร์ฟเวอร์ที่ตรงกับความต้องการของคุณ

ขั้นตอนที่ 2: กำหนดค่าเครือข่ายเพื่อบล็อกบางบัญชี

หากต้องการป้องกันไม่ให้ผู้ใช้ลงชื่อเข้าใช้บริการของ Google โดยใช้บัญชี Google อื่นนอกเหนือจากที่คุณระบุให้โดยตรง ให้ทำดังนี้
  1. กำหนดเส้นทางการรับส่งขาออกทั้งหมดไปที่ google.com ผ่านเว็บพร็อกซีเซิร์ฟเวอร์
  2. เปิดใช้การสกัดกั้น SSL ในพร็อกซีเซิร์ฟเวอร์
  3. กำหนดค่าอุปกรณ์ไคลเอ็นต์ทั้งหมดให้เชื่อถือพร็อกซี SSL
    1. ทำให้ Internal Root Certificate Authority ที่พร็อกซีใช้ใช้งานได้
    2. ทำเครื่องหมายว่าเชื่อถือได้
  4. สำหรับคำขอ google.com แต่ละรายการ ให้ทำดังนี้
    1. สกัดกั้นคำขอ
    2. เพิ่มส่วนหัว HTTP ว่า X-GoogApps-Allowed-Domains: ตามด้วยรายการที่คั่นด้วยเครื่องหมายจุลภาคพร้อมชื่อโดเมนที่อนุญาต
      ตรวจสอบให้แน่ใจว่ารายการรวมโดเมนที่ลงทะเบียนกับ G Suite และโดเมนระดับรองทั้งหมดที่คุณอาจเพิ่มไว้
      เช่น X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. หากต้องการอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้บัญชีที่ต้องการ ให้เพิ่มค่าต่อไปนี้ในส่วนหัว
    • domain_name สำหรับบัญชีในโดเมนที่ระบุ เช่น altostrat.com และ tenorstrat.com สำหรับบัญชีที่ลงท้ายด้วย @altostrat.com และ tenorstrat.com
    • consumer_accounts สำหรับบัญชี Google สำหรับผู้ใช้ทั่วไป เช่น @gmail.com และ @googlemail.com
    • gserviceaccounts.com สำหรับบัญชีบริการที่ตรวจสอบสิทธิ์แล้ว
  6. (ไม่บังคับ) สร้างนโยบายของพร็อกซีเพื่อป้องกันไม่ให้ผู้ใช้แทรกส่วนหัวด้วยตนเอง

หมายเหตุ: วิธีนี้จะบล็อกการลงชื่อเข้าใช้บริการสำหรับผู้บริโภคของ Google ที่นอกเหนือจาก Google Search แต่ไม่ได้ป้องกันการเข้าถึงโดยไม่ระบุชื่อ

คำถามที่พบบ่อย

จะเกิดอะไรขึ้นหากบัญชีที่ไม่ได้รับอนุญาตพยายามเข้าถึงบริการ

หากผู้ใช้พยายามเข้าถึงบริการของ Google จากบัญชีที่ไม่ได้รับอนุญาต ผู้ใช้จะเห็นหน้าเว็บที่ทำดังนี้
  • อธิบายเกี่ยวกับบริการที่ใช้งานไม่ได้
  • บัญชีที่ใช้งานอยู่เป็นบัญชีที่ไม่ได้รับอนุญาต
  • แสดงรายการโดเมนของบริการไม่พร้อมใช้งาน
  • ข้อความแนะนำให้ผู้ใช้ติดต่อผู้ดูแลระบบเครือข่ายเพื่อขอข้อมูลเพิ่มเติมและออกจากบัญชีที่ไม่ได้รับอนุญาต รวมถึงให้ลงชื่อเข้าใช้ด้วยบัญชีที่ได้รับอนุญาต

จะเกิดอะไรขึ้นกับบริการที่ไม่ต้องมีการตรวจสอบสิทธิ์

Google จะไม่จัดการรายการบริการที่ถูกบล็อก หากมีบริการที่ต้องลงชื่อเข้าใจ การเข้าถึงจะถูกบล็อก บริการที่ไม่ต้องตรวจสอบสิทธิ์เช่น Google Search และ YouTube จะไม่ถูกบล็อก

ทำไมถึงกรองการเข้าชมแทนไม่ได้

วิธีทั่วไปในการบล็อกการเข้าถึงบริการทางเว็บก็คือใช้เว็บพร็อกซีเซิร์ฟเวอร์เพื่อกรองการรับส่งข้อมูลกับ URL ที่กำหนด ซึ่งวิธีนี้จะใช้ไม่ได้ในกรณีนี้ เนื่องจากการรับส่งข้อมูลที่ถูกต้องจากบัญชี Google ที่มีการจัดการของผู้ใช้จะไปที่ URL เดียวกับการรับส่งที่คุณต้องการบล็อก
ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร