บล็อกการเข้าถึงบัญชีผู้ใช้ทั่วไป

ในฐานะผู้ดูแลระบบ คุณอาจต้องการป้องกันไม่ให้ผู้ใช้ลงชื่อเข้าใช้บริการของ Google โดยใช้บัญชีอื่นนอกเหนือจากที่คุณให้ไว้ เช่น คุณอาจไม่ต้องการให้ผู้ใช้ใช้บัญชี Gmail ส่วนตัวหรือบัญชี Google ที่มีการจัดการจากโดเมนอื่น

หมายเหตุ: เมื่อคุณบล็อกไม่ให้บัญชีผู้ใช้ทั่วไปเข้าถึง ผู้ใช้อาจเห็นข้อความแสดงข้อผิดพลาดระบุว่า "ระบบไม่อนุญาตให้บัญชีนี้ลงชื่อเข้าใช้ภายในเครือข่ายนี้"

ใช้นโยบาย Chrome เพื่อบล็อกบัญชี

วิธีอนุญาตให้ผู้ใช้จากโดเมนที่ต้องการเข้าถึงบริการของ Google มีดังนี้

  1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

    ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)

  2. จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่อุปกรณ์จากนั้นการจัดการ Chrome
  3. คลิกการตั้งค่าผู้ใช้และเบราว์เซอร์
  4. หากต้องการใช้การตั้งค่ากับทุกคน ให้เลือกหน่วยขององค์กรระดับบนสุด หรือเลือกหน่วยขององค์กรระดับล่าง
  5. ไปที่ประสบการณ์ของผู้ใช้ จากนั้น ลงชื่อเข้าใช้บัญชีสำรอง
  6. เลือกอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ชุดโดเมน Google Workspace ที่ระบุไว้ด้านล่างเท่านั้น
  7. (ไม่บังคับ) หากต้องการดูรายการโดเมน ให้คลิกโดเมนขององค์กรในช่องรายการโดเมน
  8. ป้อนรายชื่อโดเมนขององค์กรทั้งหมด
    (ไม่เช่นนั้นผู้ใช้อาจเข้าถึงบริการของ Google ไม่ได้)
    หมายเหตุ: gserviceaccounts.com เป็นโดเมนสำคัญที่มีไว้สำหรับบัญชีบริการที่ตรวจสอบสิทธิ์แล้ว
  9. (ไม่บังคับ) หากต้องการรวมบัญชี Google สําหรับผู้ใช้ทั่วไปไว้ในรายการด้วย เช่น @gmail.com และ @googlemail.com ให้ป้อนข้อความ consumer_accounts ในรายการ
  10. คลิกบันทึก
  11. (ไม่บังคับ) ขั้นตอนในการป้องกันไม่ให้ผู้ใช้เรียกดูในโหมดไม่ระบุตัวตน
    1. จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่อุปกรณ์จากนั้นการจัดการ Chrome
    2. คลิกการตั้งค่าผู้ใช้และเบราว์เซอร์
    3. ไปที่โหมดไม่ระบุตัวตน จากนั้น ไม่อนุญาตให้ใช้โหมดไม่ระบุตัวตน
      โปรดดูรายละเอียดที่โหมดไม่ระบุตัวตน
    4. คลิกบันทึก
  12. (ไม่บังคับ) พิจารณาการตั้งค่านโยบายด้านอุปกรณ์เพิ่มเติมดังนี้
    • กำหนดข้อจำกัดในการลงชื่อเข้าใช้เพื่อจำกัดให้มีแต่เฉพาะผู้ใช้ในองค์กรเท่านั้นที่ลงชื่อเข้าใช้อุปกรณ์ที่ใช้ Chrome OS ได้ โปรดดูรายละเอียดในข้อจำกัดในการลงชื่อเข้าใช้
    • ปิดการท่องเว็บในโหมดผู้มาเยือนในอุปกรณ์ โปรดดูรายละเอียดที่โหมดผู้มาเยือน

โดยทั่วไปการตั้งค่าจะมีผลภายในไม่กี่นาที แต่อาจใช้เวลาถึง 1 ชั่วโมงจึงจะมีผลกับทุกคน

ใช้เว็บพร็อกซีเซิร์ฟเวอร์เพื่อบล็อกบัญชี

ขั้นที่ 1: เลือกเว็บพร็อกซีเซิร์ฟเวอร์

หากต้องการอนุญาตให้ผู้ใช้ในเครือข่ายเข้าถึงบริการของ Google โดยใช้บัญชี Google ที่ต้องการจากโดเมนเท่านั้น คุณต้องใช้เว็บพร็อกซีเซิร์ฟเวอร์เพื่อสิ่งต่อไปนี้
  • เพิ่มส่วนหัวในการรับส่งทั้งหมดกับ google.com ส่วนหัวจะระบุโดเมนผู้ใช้ที่เข้าถึงบริการของ Google ได้
  • การรองรับการสกัดกั้น SSL เนื่องจากการรับส่งของบริการ Google ส่วนใหญ่มีการเข้ารหัส พร็อกซีเซิร์ฟเวอร์ของคุณจะต้องรองรับการสกัดกั้น SSL ด้วย

โปรดอ่านวิธีบล็อกบริการของ Google จากผู้ให้บริการพร็อกซีต่อไปนี้โดยเลือกเซิร์ฟเวอร์ที่ตรงกับความต้องการของคุณ

ขั้นตอนที่ 2: กำหนดค่าเครือข่ายเพื่อบล็อกบางบัญชี

หากต้องการป้องกันไม่ให้ผู้ใช้ลงชื่อเข้าใช้บริการของ Google โดยใช้บัญชี Google อื่นนอกเหนือจากที่คุณระบุให้โดยตรง ให้ทำดังนี้
  1. กำหนดเส้นทางการรับส่งขาออกทั้งหมดไปที่ google.com ผ่านเว็บพร็อกซีเซิร์ฟเวอร์
  2. เปิดใช้การสกัดกั้น SSL ในพร็อกซีเซิร์ฟเวอร์
  3. กำหนดค่าอุปกรณ์ไคลเอ็นต์ทั้งหมดให้เชื่อถือพร็อกซี SSL
    1. ทำให้ Internal Root Certificate Authority ที่พร็อกซีใช้ใช้งานได้
    2. ทำเครื่องหมายว่าเชื่อถือได้
  4. สำหรับคำขอ google.com แต่ละรายการ ให้ทำดังนี้
    1. สกัดกั้นคำขอ
    2. เพิ่มส่วนหัว HTTP เป็น X-GoogApps-Allowed-Domains: ตามด้วยรายการที่คั่นด้วยคอมมาซึ่งระบุชื่อโดเมนที่อนุญาต
      ตรวจสอบว่ารายการมีโดเมนที่จดทะเบียนกับ Google Workspace และโดเมนรองทั้งหมดที่คุณอาจเพิ่มไว้
      เช่น X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. หากต้องการอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้บัญชีที่ต้องการ ให้เพิ่มค่าต่อไปนี้ในส่วนหัว
    • domain_name สำหรับบัญชีในโดเมนที่ระบุ เช่น altostrat.com และ tenorstrat.com สำหรับบัญชีที่ลงท้ายด้วย @altostrat.com และ tenorstrat.com
    • consumer_accounts สำหรับบัญชี Google สำหรับผู้ใช้ทั่วไป เช่น @gmail.com และ @googlemail.com
    • gserviceaccounts.com สำหรับบัญชีบริการที่ตรวจสอบสิทธิ์แล้ว
  6. (ไม่บังคับ) สร้างนโยบายของพร็อกซีเพื่อป้องกันไม่ให้ผู้ใช้แทรกส่วนหัวด้วยตนเอง

หมายเหตุ: วิธีนี้จะบล็อกการลงชื่อเข้าใช้บริการสำหรับผู้บริโภคของ Google ที่นอกเหนือจาก Google Search แต่ไม่ได้ป้องกันการเข้าถึงโดยไม่ระบุชื่อ

คำถามที่พบบ่อย

จะเกิดอะไรขึ้นหากบัญชีที่ไม่ได้รับอนุญาตพยายามเข้าถึงบริการ

หากผู้ใช้พยายามเข้าถึงบริการของ Google จากบัญชีที่ไม่ได้รับอนุญาต ผู้ใช้จะเห็นหน้าเว็บที่ทำดังนี้
  • อธิบายเกี่ยวกับบริการที่ใช้งานไม่ได้
  • แสดงให้เห็นว่าบัญชีที่ใช้งานอยู่เป็นบัญชีที่ไม่ได้รับอนุญาต
  • แสดงรายการโดเมนที่ใช้บริการได้
  • แนะนำให้ผู้ใช้ติดต่อผู้ดูแลเครือข่ายเพื่อขอข้อมูลเพิ่มเติมและออกจากระบบบัญชีที่ไม่ได้รับอนุญาต รวมถึงให้ลงชื่อเข้าใช้ด้วยบัญชีที่ได้รับอนุญาต

จะเกิดอะไรขึ้นกับบริการที่ไม่ต้องมีการตรวจสอบสิทธิ์

Google จะไม่จัดการรายการบริการที่ถูกบล็อก หากมีบริการที่ต้องลงชื่อเข้าใจ การเข้าถึงจะถูกบล็อก บริการที่ไม่ต้องตรวจสอบสิทธิ์เช่น Google Search และ YouTube จะไม่ถูกบล็อก

ทำไมถึงกรองการเข้าชมแทนไม่ได้

วิธีทั่วไปในการบล็อกการเข้าถึงบริการทางเว็บคือการใช้เว็บพร็อกซีเซิร์ฟเวอร์กรองการรับส่งข้อมูลกับ URL ที่กำหนด แต่วิธีนี้จะใช้ไม่ได้ในกรณีนี้ เนื่องจากการรับส่งข้อมูลที่ถูกต้องจากบัญชี Google ที่มีการจัดการของผู้ใช้จะไปที่ URL เดียวกับการรับส่งที่คุณต้องการบล็อก


Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร