Como administrador, es posible que quieras impedir que los usuarios accedan a los servicios de Google con cuentas que no sean las que les proporcionaste. Por ejemplo, es posible que no quieras que los usuarios de tu red corporativa usen sus cuentas personales de Gmail o una Cuenta de Google administrada de otro dominio.
Nota: Cuando bloqueas el acceso a las cuentas personales, es posible que los usuarios vean el siguiente mensaje de error: "Esta cuenta no puede acceder a esta red".
Permite el acceso solo desde dominios específicos
Disponible para dispositivos ChromeOS.
Para permitir que los usuarios accedan a los servicios de Google usando una cuenta solo de una lista de dominios de Google Workspace especificados, haz lo siguiente:
Antes de comenzar: Si necesitas establecer un departamento o equipo para este parámetro de configuración, consulta Cómo agregar una unidad organizativa.
-
Ve a Menú
Dispositivos > Chrome > Configuración.
Requiere tener el privilegio de administrador para la Administración de dispositivos móviles.
- (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
- Ve a Experiencia del usuario
Acceder a las cuentas secundarias.
- Selecciona Permitir que los usuarios solo accedan a la siguiente configuración de dominios de Google Workspace.
- Ingresa los dominios de tu organización. (Si no lo haces, es posible que los usuarios no tengan acceso a los servicios de Google). Nota: gserviceaccounts.com está incluido y es fundamental para las cuentas de servicio autenticadas.
- (Opcional) Para permitir que las cuentas de gmail.com y las cuentas personales con direcciones comerciales accedan a los dominios de Workspace que enumeraste, agrega consumer_accounts.
(Opcional) Para permitir que las direcciones de correo electrónico que no están asociadas con una Cuenta de Google colaboren en archivos y carpetas de Drive, elige una opción:
- Para permitir todas las direcciones de correo electrónico sin una Cuenta de Google, agrega visitor_accounts.
- Para permitir direcciones de correo electrónico sin una Cuenta de Google solo para los dominios específicos que enumeraste, agrega in_domain_visitor_accounts. Para obtener detalles sobre las cuentas de visitante, consulta Permite compartir contenido con usuarios que no son de Google con el uso compartido de visitantes.
Haz clic en Guardar.
Por lo general, la configuración se aplica en minutos. Sin embargo, es posible que tarde hasta una hora en aplicarse para todos.
Próximos pasos
- En la configuración de Usuarios y navegadores, también puedes evitar que los usuarios naveguen en modo Incógnito. Ve a Modo Incógnito
No permitir modo incógnito y haz clic en Guardar. Para obtener más información, consulta Modo Incógnito.
- Establece una restricción de acceso para que solo los usuarios de tu organización puedan acceder a los dispositivos con ChromeOS. Para conocer los detalles, consulta Restricción de acceso.
- Desactiva la navegación como invitado en los dispositivos. Para obtener detalles, consulta Modo de invitado.
Usa un servidor proxy web para bloquear cuentas
Paso 1: Elige un servidor proxy web
Para permitir que solo los usuarios de tu red accedan a los servicios de Google con Cuentas de Google específicas de tu dominio, necesitas un servidor proxy web que pueda hacer lo siguiente:
- Agregar un encabezado a todo el tráfico dirigido a *.google.com: El encabezado identifica los dominios desde los que los usuarios pueden acceder a los servicios de Google.
- Admitir la intercepción de SSL: Dado que la mayor parte del tráfico a través de tu servicio de Google está encriptado, tu servidor proxy también debe admitir la intercepción de SSL.
Lee las instrucciones específicas para bloquear los servicios de Google de los siguientes proveedores de servicios proxy y selecciona un servidor que satisfaga tus necesidades.
Paso 2: Configura la red para bloquear ciertas cuentas
Para evitar que los usuarios accedan a los servicios de Google con Cuentas de Google que no sean las que especificaste de forma explícita, haz lo siguiente:
- Enruta todo el tráfico saliente a *.google.com a través de tus servidores proxy web.
- Habilita la intercepción de SSL en el servidor proxy.
- Configura cada dispositivo cliente para que confíe en tu proxy SSL:
- Implementa la autoridad certificadora raíz interna que usa el proxy.
- Márcala como de confianza.
- Para cada solicitud de *.google.com, haz lo siguiente:
- Intercepta la solicitud.
- Agrega el encabezado HTTP X-GoogApps-Allowed-Domains: seguido de una lista separada por comas con los nombres de dominio permitidos.
Asegúrate de que la lista incluya el dominio que registraste en Google Workspace y los dominios secundarios que agregaste.
Ejemplo:X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
- Para permitir que los usuarios accedan a cuentas específicas, agrega los siguientes valores al encabezado:
- domain_name para cuentas en dominios específicos, como altostrat.com y tenorstrat.com para cuentas que terminan en @altostrat.com y tenorstrat.com
- consumer_accounts para Cuentas de Google personales, como @gmail.com y @googlemail.com
- visitor_accounts para Cuentas de Google de visitante
Para permitir que los usuarios accedan a cuentas de visitante mientras bloqueas las cuentas personales, agrega visitor_accounts al encabezado y excluye consumer_accounts - gserviceaccounts.com para cuentas de servicio autenticadas
- (Opcional) Crea una política de proxy para evitar que los usuarios inserten sus propios encabezados.
Nota:
- Este enfoque bloquea el acceso a los servicios personales de Google que no sean la Búsqueda de Google, pero no necesariamente prohíbe el acceso anónimo.
- Cuando agregues el encabezado HTTP X-GoogApps-Allowed-Domains, los usuarios verán errores al acceder a los buzones delegados desde un dominio que no está en el encabezado.
Preguntas frecuentes
¿Qué sucede si las cuentas no autorizadas intentan acceder a los servicios?
Si un usuario intenta acceder a los servicios de Google desde una cuenta no autorizada, verá una página web que incluye lo siguiente:
- Describe el servicio no disponible.
- Muestra la cuenta no autorizada que está usando.
- Enumera los dominios en los que está disponible el servicio.
- Sugiere que se comunique con un administrador de red para obtener más información, que salga de su cuenta no autorizada y que acceda con una cuenta autorizada.
¿Qué sucede con los servicios que no necesitan autenticación?
Google no mantiene una lista de servicios bloqueados. Si un servicio en particular requiere acceso, se bloquea. Los servicios que no requieren autenticación, como la Búsqueda de Google y YouTube, no se bloquearán.
¿Por qué no puedo filtrar el tráfico?
Una forma común de bloquear el acceso a los servicios web es usar un servidor proxy web para filtrar el tráfico dirigido a URLs específicas. Este enfoque no funcionará en este caso porque el tráfico legítimo de la Cuenta de Google administrada de un usuario va a la misma URL que el tráfico que deseas bloquear.
Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.