Blokowanie dostępu do kont dla użytkowników indywidualnych

Jako administrator możesz chcieć uniemożliwić użytkownikom logowanie się w usługach Google przy użyciu kont innych niż te, które zostały im przypisane przez Ciebie. Na przykład możesz nie chcieć, aby użytkownicy w Twojej sieci firmowej używali swoich osobistych kont Gmail lub zarządzanych kont Google z innej domeny.

Uwaga: jeśli zablokujesz dostęp do kont indywidualnych, użytkownicy mogą zobaczyć taki komunikat o błędzie: „W tej sieci nie można zalogować się na to konto”.

Zezwalanie na dostęp tylko z określonych domen

Aby zezwolić użytkownikom na dostęp do usług Google tylko za pomocą kont z określonych domen Google Workspace:

  1. Zaloguj się na konto administratora w konsoli administracyjnej Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Kliknij  Menu  a potem  Urządzenia > Chrome > Ustawienia. Domyślnie otworzy się strona Ustawienia użytkownika i przeglądarki.

    Wymaga uprawnień administratora Zarządzanie urządzeniami mobilnymi.

    Jeśli korzystasz z zarządzania przeglądarką Chrome w chmurze, kliknij Menu  a potem  Przeglądarka Chrome > Ustawienia.

  3. (Opcjonalnie) Aby zastosować ustawienie do działu lub zespołu, z boku wybierz jednostkę organizacyjną. Pokaż mi, jak to zrobić
  4. Kliknij Interfejs użytkownika a potem Logowanie się na kontach pomocniczych.
  5. Wybierz Zezwalaj użytkownikom na logowanie się tylko w domenach określonych poniżej.
  6. Wpisz domeny organizacji.
    (Jeśli tego nie zrobisz, użytkownicy mogą nie mieć dostępu do usług Google).
    Uwaga: strona gserviceaccounts.com jest uwzględniona i ma kluczowe znaczenie w przypadku uwierzytelnionych kont usługi.
  7. (Opcjonalnie) Aby dołączyć konta Google dla użytkowników indywidualnych, na przykład zakończone na @gmail.com i @googlemail.com, wpisz na liście consumer_accounts.
  8. Kliknij Zapisz.

Zazwyczaj ustawienia są stosowane po kilku minutach. Może jednak minąć nawet godzina, zanim zaczną działać u wszystkich.

Dalsze kroki

  • W ustawieniach Użytkownicy i przeglądarki możesz też uniemożliwić użytkownikom przeglądanie w trybie incognito. Wybierz Tryb incognito a potem Zabroń korzystania z trybu incognito i kliknij Zapisz. Więcej informacji znajdziesz w sekcji Tryb incognito.
  • Ustaw ograniczenie logowania, aby na urządzeniach z Chrome OS mogli logować się tylko użytkownicy z Twojej organizacji. Więcej informacji znajdziesz w sekcji Ograniczenie logowania się.
  • Wyłącz przeglądanie jako gość na urządzeniach. Więcej informacji znajdziesz w sekcji Tryb gościa.

Blokowanie kont za pomocą internetowego serwera proxy

Krok 1. Wybierz internetowy serwer proxy

Aby zezwolić użytkownikom w Twojej sieci na uzyskiwanie dostępu do usług Google tylko przy użyciu określonych kont Google z Twojej domeny, potrzebujesz internetowego serwera proxy, który:
  • Będzie dodawał nagłówek do całego ruchu kierowanego na adres google.com – nagłówek identyfikuje domeny, z których użytkownicy mogą uzyskiwać dostęp do usług Google.
  • Obsługuje przechwytywanie transmisji SSL – w związku z tym, że większość ruchu przesyłanego do i z usługi Google jest szyfrowana, serwer proxy musi też obsługiwać przechwytywanie transmisji SSL.

Przeczytaj szczegółowe instrukcje dostawców usług proxy dotyczące blokowania usług Google i wybierz serwer spełniający Twoje wymagania.

Krok 2. Skonfiguruj sieć, aby blokować określone konta
Aby uniemożliwić użytkownikom logowanie się w usługach Google przy użyciu innych kont niż te, które wyraźnie określisz:
  1. Kieruj cały ruch wychodzący do google.com przez swoje internetowe serwery proxy.
  2. Włącz przechwytywanie transmisji szyfrowanych na serwerze proxy.
  3. Skonfiguruj każde urządzenie klienckie w taki sposób, by ufało Twojemu serwerowi proxy SSL:
    1. Wdróż wewnętrzny główny urząd certyfikacji używany przez serwer proxy.
    2. Oznacz go jako zaufany.
  4. Dla każdego żądania związanego z domeną google.com:
    1. Przechwyć żądanie.
    2. Dodaj nagłówek HTTP X-GoogApps-Allowed-Domains: zawierający listę dozwolonych nazw domen rozdzielonych przecinkami.
      Dodaj do listy domenę, która posłużyła do rejestracji konta Google Workspace, i wszelkie domeny dodatkowe.
      Przykład: X-GoogApps-Allowed-Domains: moja_domena_1.com, moja_domena_2.com
  5. Aby umożliwić użytkownikom logowanie się na określonych kontach, dodaj do nagłówka te wartości:
    • nazwa_domeny w przypadku kont w określonych domenach – na przykład altostrat.com i tenorstrat.com dla kont, których nazwa kończy się na @altostrat.com i tenorstrat.com
    • consumer_accounts w przypadku kont Google, na przykład w domenach @gmail.com i @googlemail.com
    • gserviceaccounts.com w przypadku uwierzytelnionych kont usługi
  6. (Opcjonalnie) Utwórz zasady proxy, aby użytkownicy nie mogli wstawiać własnych nagłówków.

Uwaga:

  • Ta metoda blokuje logowanie się w usługach Google innych niż wyszukiwarka Google, ale nie musi blokować dostępu anonimowego.
  • Jeśli dodasz nagłówek HTTP X-GoogApps-Allowed-Domains, użytkownikom uzyskującym dostęp do skrzynek pocztowych z przekazanym dostępem z domeny, która nie znajduje się w nagłówku, będą wyświetlać się komunikaty o błędach.

Częste pytania

Co się dzieje, gdy nieautoryzowane konta próbują uzyskać dostęp do usług?

Jeśli użytkownik spróbuje uzyskać dostęp do usług Google z nieautoryzowanego konta, zobaczy stronę internetową, która:
  • Opisuje niedostępną usługę.
  • Wyświetla nieautoryzowane konto, z którego korzysta użytkownik.
  • Wyświetla domeny, w których usługa jest dostępna.
  • Zawiera sugestię skontaktowania się z administratorem w celu uzyskania dodatkowych informacji oraz prośbę o wylogowanie się z nieautoryzowanego konta i zalogowanie się na konto autoryzowane.

Co się dzieje z usługami, które nie wymagają uwierzytelniania?

Google nie prowadzi listy zablokowanych usług. Jeśli dana usługa wymaga zalogowania się na konto, dostęp do niej zostanie zablokowany. Usługi, z których można korzystać bez uwierzytelniania, takie jak wyszukiwarka Google i YouTube, nie zostaną zablokowane.

Dlaczego nie mogę po prostu filtrować ruchu?

Typowym środkiem umożliwiającym zablokowanie dostępu do usług internetowych jest użycie internetowego serwera proxy do filtrowania ruchu skierowanego pod określone adresy URL. Takie rozwiązanie w tym przypadku nie zadziała, bo uprawniony ruch z zarządzanego konta Google użytkownika jest kierowany pod ten sam adres URL co ruch, który chcesz zablokować.

 


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

 

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
14327704043900886614
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false
false
false