Als Administrator möchten Sie Nutzer vielleicht daran hindern, sich über ein Konto in Google-Diensten anzumelden, das nicht von Ihnen zur Verfügung gestellt wurde. Wenn z. B. Nutzer in Ihrem Unternehmensnetzwerk ihre privaten Gmail-Konten oder ein verwaltetes Google-Konto aus einer anderen Domain nicht verwenden sollen.
Hinweis: Wenn Sie den Zugriff auf Privatnutzerkonten blockieren, erhalten Nutzer möglicherweise die folgende Fehlermeldung: „In diesem Netzwerk ist eine Anmeldung mit diesem Konto nicht möglich“.
Zugriff nur von bestimmten Domains zulassen
Für ChromeOS-Geräte verfügbar.
So ermöglichen Sie Nutzern, nur über ein Konto aus einer Liste bestimmter Google Workspace-Domains auf Google-Dienste zuzugreifen:
Hinweis:Wenn Sie für diese Einstellung eine Abteilung oder ein Team einrichten möchten, lesen Sie den Hilfeartikel Organisationseinheit hinzufügen.
-
Öffnen Sie das Dreistrich-Menü
Geräte > Chrome > Einstellungen.
Hierfür ist die Administratorberechtigung Mobilgeräteverwaltung erforderlich.
- Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
- Gehen Sie zu Nutzererfahrung
In sekundären Konten anmelden.
- Wählen Sie die Option Nutzer dürfen sich nur in den unten festgelegten Google Workspace-Domains anmelden aus.
- Geben Sie die Domains Ihrer Organisation ein. Andernfalls haben Ihre Nutzer möglicherweise keinen Zugriff auf Google-Dienste. Hinweis: gserviceaccounts.com ist enthalten und für authentifizierte Dienstkonten entscheidend.
- Optional: Wenn Sie zulassen möchten, dass sich gmail.com-Konten und Privatnutzerkonten mit geschäftlichen Adressen in den von Ihnen aufgeführten Workspace-Domains anmelden, fügen Sie consumer_accounts hinzu.
Optional: Wenn Sie zulassen möchten, dass E‑Mail-Adressen, die nicht mit einem Google-Konto verknüpft sind, an Drive-Dateien und ‑Ordnern mitarbeiten können, wählen Sie eine Option aus:
- Wenn Sie alle E-Mail-Adressen ohne Google-Konto zulassen möchten, fügen Sie visitor_accounts hinzu.
- Wenn Sie E-Mail-Adressen ohne Google-Konto nur für die von Ihnen aufgeführten Domains zulassen möchten, fügen Sie in_domain_visitor_accounts hinzu. Weitere Informationen zu Gastkonten finden Sie unter Freigabe für Nutzer außerhalb von Google mit der Besucherfreigabe ermöglichen.
Klicken Sie auf Speichern.
Neue Einstellungen werden normalerweise innerhalb weniger Minuten übernommen. Es kann jedoch bis zu einer Stunde dauern, bis die Einstellung auf alle Nutzer angewendet wird.
Nächste Schritte
- In den Einstellungen für Nutzer und Browser können Sie verhindern, dass Nutzer im Inkognitomodus surfen. Gehen Sie zu Inkognitomodus
Inkognitomodus nicht zulassen und klicken Sie auf Speichern. Weitere Informationen finden Sie im Hilfeartikel Inkognitomodus.
- Legen Sie eine Anmeldebeschränkung fest, damit sich nur Nutzer in Ihrer Organisation auf Geräten mit ChromeOS anmelden können. Weitere Informationen
- Deaktivieren Sie den Gastmodus auf den Geräten. Weitere Informationen zum Gastmodus
Konten mithilfe eines Webproxyservers blockieren
Schritt 1: Webproxyserver auswählen
Damit Nutzer in Ihrem Netzwerk nur über bestimmte Google-Konten Ihrer Domain auf Google-Dienste zugreifen können, benötigen Sie einen Webproxyserver, der Folgendes kann:
- Jeglichem an *.google.com gerichteten Traffic einen Header hinzufügen. Der Header gibt die Domains an, von denen Nutzer auf Google-Dienste zugreifen können.
- SSL abfangen: Da der Großteil des durch den Google-Dienst verarbeiteten Traffics verschlüsselt ist, muss Ihr Proxyserver auch in der Lage sein, SSL abzufangen.
Lesen Sie am besten die Anleitung zum Blockieren von Google-Diensten für die folgenden Proxydienstanbieter und wählen Sie einen Server aus, der Ihren Anforderungen entspricht.
Schritt 2: Netzwerk zum Blockieren bestimmter Konten konfigurieren
So hindern Sie Nutzer daran, sich bei Google-Diensten mit anderen Konten als den explizit von Ihnen angegebenen anzumelden:
- Leiten Sie jeglichen zu *.google.com ausgehenden Traffic über Ihre Webproxyserver.
- Aktivieren Sie das Abfangen von SSL auf dem Proxyserver.
- Konfigurieren Sie jedes Clientgerät so, dass es Ihren SSL-Proxy als vertrauenswürdig anerkennt:
- Stellen Sie die interne Stammzertifizierungsstelle bereit, die vom Proxy verwendet wird.
- Kennzeichnen Sie sie als vertrauenswürdig.
- Bei jeder Anfrage für *.google.com:
- Fangen Sie die Anfrage ab.
- Fügen Sie den HTTP-Header X-GoogApps-Allowed-Domains: gefolgt von einer durch Kommas getrennten Liste mit zugelassenen Domainnamen hinzu.
Die Liste muss die bei Google Workspace registrierte Domain sowie alle sekundären Domains enthalten, die Sie möglicherweise angegeben haben.
Beispiel:X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
- Damit Nutzer sich in bestimmten Konten anmelden können, fügen Sie dem Header die folgenden Werte hinzu:
- domain_name (für Konten in bestimmten Domains, z. B. altostrat.com oder tenorstrat.com für Konten, die auf @altostrat.com bzw. @tenorstrat.com enden)
- consumer_accounts (für private Google-Konten, z. B. @gmail.com oder @googlemail.com)
- visitor_accounts für Google-Gastkonten
Wenn Sie Nutzern erlauben möchten, sich in Gastkonten anzumelden, private Konten aber blockieren möchten, fügen Sie visitor_accounts in den Header ein und schließen Sie consumer_accounts aus. - gserviceaccounts.com (für authentifizierte Dienstkonten)
- Optional: Erstellen Sie eine Proxyrichtlinie, damit Nutzer nicht ihre eigenen Header einfügen.
Hinweis:
- Mit dieser Vorgehensweise ist der Anmeldezugriff auf alle Nutzerdienste von Google mit Ausnahme der Google Suche blockiert. Der anonyme Zugriff wird jedoch nicht unbedingt verhindert.
- Wenn Sie den HTTP-Header X-GoogApps-Allowed-Domains hinzufügen, werden Nutzern beim Zugriff auf delegierte Postfächer von einer Domain, die nicht im Header enthalten ist, Fehler angezeigt.
Häufig gestellte Fragen
Was geschieht, wenn versucht wird, über nicht autorisierte Konten auf Dienste zuzugreifen?
Wenn ein Nutzer versucht, von einem nicht autorisierten Konto auf Google-Dienste zuzugreifen, wird eine Webseite angezeigt, auf die Folgendes zutrifft:
- Der nicht verfügbare Dienst wird beschrieben.
- Angaben zum nicht autorisierten Konto
- Eine Liste der Domains, in denen der Dienst verfügbar ist
- Die Empfehlung, sich an einen Netzwerkadministrator zu wenden sowie sich aus dem nicht autorisierten Konto abzumelden und sich anschließend im autorisierten Konto neu anzumelden
Was geschieht mit Diensten, für die keine Authentifizierung erforderlich ist?
Google führt keine Liste mit blockierten Diensten. Falls zur Nutzung eines bestimmten Dienstes eine Anmeldung erforderlich ist, wird der Zugriff blockiert. Dienste, für die keine Nutzerauthentifizierung erforderlich ist, z. B. die Google Suche oder YouTube, werden nicht blockiert.
Warum kann ich nicht einfach den Traffic filtern?
Der Zugriff auf Webdienste wird üblicherweise mithilfe eines Webproxyservers blockiert, der den an bestimmte URLs gerichteten Traffic filtert. In diesem Fall funktioniert dieser Ansatz jedoch nicht, da der zulässige Traffic vom verwalteten Google-Konto eines Nutzers dieselbe URL adressiert wie derjenige, den Sie blockieren möchten.
Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.