Zugriff auf Privatnutzerkonten blockieren

Als Administrator möchten Sie Nutzer vielleicht daran hindern, sich über ein Konto in Google-Diensten anzumelden, das nicht von Ihnen zur Verfügung gestellt wurde. Wenn z. B. Nutzer in Ihrem Unternehmensnetzwerk ihre privaten Gmail-Konten oder ein verwaltetes Google-Konto aus einer anderen Domain nicht verwenden sollen.

Hinweis: Wenn Sie den Zugriff auf Privatnutzerkonten blockieren, erhalten Nutzer möglicherweise die folgende Fehlermeldung: "In diesem Netzwerk ist eine Anmeldung mit diesem Konto nicht möglich".

Zugriff nur von bestimmten Domains zulassen

Für ChromeOS-Geräte verfügbar.

So ermöglichen Sie Nutzern, nur über ein Konto aus einer Liste bestimmter Google Workspace-Domains auf Google-Dienste zuzugreifen:

Hinweis:Wenn Sie für diese Einstellung eine Abteilung oder ein Team einrichten möchten, lesen Sie den Hilfeartikel Organisationseinheit hinzufügen.

  1. Gehen Sie zu Menü und dann „Geräte“ > „Chrome“ > „Einstellungen“

    Hierfür ist die Administratorberechtigung „Mobilgeräteverwaltung“ erforderlich.

  2. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
  3. Gehen Sie zu Nutzererfahrungund dannIn sekundären Konten anmelden.
  4. Wählen Sie die Option Nutzer dürfen sich nur in den unten festgelegten Google Workspace-Domains anmelden aus.
  5. Geben Sie die Domains Ihrer Organisation ein. Andernfalls haben Ihre Nutzer möglicherweise keinen Zugriff auf Google-Dienste. Hinweis: gserviceaccounts.com ist enthalten und für authentifizierte Dienstkonten entscheidend.
  6. Optional: Wenn Sie Privatnutzerkonten einschließen möchten, z. B. solche, die auf @gmail.com oder @googlemail.com enden, geben Sie consumer_accounts in die Liste ein.
    1. Optional: Wenn Sie Gastkonten einschließen, aber keine Privatnutzerkonten hinzufügen möchten, geben Sie visitor_accounts in die Liste ein und nicht consumer_accounts.
  7. Klicken Sie auf Speichern.

Neue Einstellungen werden normalerweise innerhalb weniger Minuten übernommen. Es kann jedoch bis zu eine Stunde dauern, bis die Einstellung auf alle Nutzer angewendet wird.

Nächste Schritte

  • In den Einstellungen für Nutzer und Browser können Sie verhindern, dass Nutzer im Inkognitomodus surfen. Gehen Sie zu Inkognitomodusund dannInkognitomodus nicht zulassen und klicken Sie auf Speichern. Weitere Informationen finden Sie unter Inkognitomodus.
  • Legen Sie eine Anmeldebeschränkung fest, damit sich nur Nutzer in Ihrer Organisation auf Geräten mit ChromeOS anmelden können. Weitere Informationen finden Sie unter Anmeldebeschränkung.
  • Deaktivieren Sie den Gastmodus auf den Geräten. Weitere Informationen finden Sie unter Gastmodus.

Konten mithilfe eines Webproxyservers blockieren

Schritt 1: Webproxyserver auswählen

Damit Nutzer in Ihrem Netzwerk nur über bestimmte Google-Konten Ihrer Domain auf Google-Dienste zugreifen können, benötigen Sie einen Webproxyserver, der folgende Funktionen unterstützt:

  • Jeglichem an *.google.com gerichteten Traffic einen Header hinzufügen : Der Header gibt die Domains an, von denen Nutzer auf Google-Dienste zugreifen können.
  • SSL abfangen: Da der Großteil des durch den Google-Dienst verarbeiteten Traffics verschlüsselt ist, muss Ihr Proxyserver auch in der Lage sein, SSL abzufangen.

Lesen Sie am besten die Anleitung zum Blockieren von Google-Diensten für die folgenden Proxydienstanbieter und wählen Sie einen Server aus, der Ihren Anforderungen entspricht.

Schritt 2: Netzwerk zum Blockieren bestimmter Konten konfigurieren

So hindern Sie Nutzer daran, sich bei Google-Diensten mit anderen Konten als den von Ihnen angegebenen anzumelden:

  1. Leiten Sie jeglichen zu *.google.com ausgehenden Traffic über Ihre Webproxyserver.
  2. Aktivieren Sie das Abfangen von SSL auf dem Proxyserver.
  3. Konfigurieren Sie jedes Clientgerät so, dass es Ihren SSL-Proxy als vertrauenswürdig anerkennt:
    1. Stellen Sie die interne Stammzertifizierungsstelle bereit, die vom Proxy verwendet wird.
    2. Kennzeichnen Sie sie als vertrauenswürdig.
  4. Für jede *.google.com-Anfrage:
    1. Fangen Sie die Anfrage ab.
    2. Fügen Sie den HTTP-Header X-GoogApps-Allowed-Domains: gefolgt von einer durch Kommas getrennten Liste mit zugelassenen Domainnamen hinzu.
      Die Liste muss die bei Google Workspace registrierte Domain sowie alle sekundären Domains enthalten, die Sie möglicherweise angegeben haben.
      Beispiel: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
  5. Wenn sich Nutzer in bestimmten Konten anmelden dürfen, fügen Sie dem Header die folgenden Werte hinzu:
    • domain_name (für Konten in bestimmten Domains, z. B. altostrat.com oder tenorstrat.com für Konten, die auf @altostrat.com bzw. @tenorstrat.com enden)
    • consumer_accounts (für private Google-Konten, z. B. @gmail.com oder @googlemail.com)
    • visitor_accounts (für Gastkonten)
      Wenn sich Nutzer in Gastkonten anmelden, aber keine Privatnutzerkonten verwenden dürfen, fügen Sie dem Header visitor_accounts hinzu und schließen Sie consumer_accounts aus.
    • gserviceaccounts.com (für authentifizierte Dienstkonten)
  6. Optional: Erstellen Sie eine Proxyrichtlinie, damit Nutzer nicht ihre eigenen Header einfügen.

Hinweis:

  • Mit diesem Ansatz wird der Anmeldezugriff auf andere Google-Dienste für Privatnutzer als die Google Suche blockiert, aber der anonyme Zugriff wird nicht unbedingt verhindert.
  • Wenn Sie den HTTP-Header X-GoogApps-Allowed-Domains hinzufügen, werden Nutzern beim Zugriff auf delegierte Postfächer von einer Domain, die nicht im Header enthalten ist, Fehler angezeigt.

Häufige Fragen

Was geschieht, wenn versucht wird, über nicht autorisierte Konten auf Dienste zuzugreifen?

Wenn ein Nutzer versucht, von einem nicht autorisierten Konto auf Google-Dienste zuzugreifen, wird eine Webseite mit den folgenden Informationen angezeigt:

  • Eine Beschreibung des nicht verfügbaren Dienstes
  • Angaben zum nicht autorisierten Konto
  • Eine Liste der Domains, in denen der Dienst verfügbar ist
  • Die Empfehlung, sich an einen Netzwerkadministrator zu wenden sowie sich aus dem nicht autorisierten Konto abzumelden und sich anschließend im autorisierten Konto neu anzumelden

Was geschieht mit Diensten, für die keine Authentifizierung erforderlich ist?

Google führt keine Liste mit blockierten Diensten. Wenn für einen bestimmten Dienst eine Anmeldung erforderlich ist, wird der Zugriff blockiert. Dienste, für die keine Nutzerauthentifizierung erforderlich ist, z. B. die Google Suche oder YouTube, werden nicht blockiert.

Warum kann ich nicht einfach den Traffic filtern?

Der Zugriff auf Webdienste wird üblicherweise mithilfe eines Webproxyservers blockiert, der den an bestimmte URLs gerichteten Traffic filtert. In diesem Fall funktioniert dieser Ansatz jedoch nicht, da der zulässige Traffic vom verwalteten Google-Konto eines Nutzers dieselbe URL adressiert wie derjenige, den Sie blockieren möchten.


Google, Google Workspace sowie zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.